Il caso di un attacco hacker del 2015 a un’azienda Usa e della conseguente azione legale intentata da 16 Stati, ci dà l’occasione per fare un confronto tra il Gdpr e la normativa Usa sulla protezione dei dati.
I fatti
Nel maggio 2015 Medical Informatic Engineering Inc. (“MIE”) e la sua controllata NoMoreClipboard LLC hanno subito un attacco hacker sulla piattaforma proprietaria WebChart, con il furto dei dati di quasi quattro milioni di interessati.
Tali dati si qualificano come ePHI (electronic Protected Health Information) ai sensi della HIPAA “Health Insurance Portability and Accountability Act of 1996 (HIPAA), Public Law 104-191”: nomi, indirizzi e-mail e numeri di telefono, usernames, passwords, domande e risposte di sicurezza, date di nascita, risultati di esami di laboratorio, condizioni di salute, diagnosi, condizioni di disabilità etc.
Nel dicembre 2018, l’Arizona e altri 15 stati (Arkansas, Connecticut, Florida, Indiana, Iowa, Kansas, Kentucky, Louisiana, Michigan, Minnesota, Nebraska, North Carolina, Tennessee, West Virginia e Wisconsin) hanno depositato un’azione legale contro MIE, sostenendo la violazione dell’HIPAA e delle varie legislazioni di protezione di dati personali applicabili dei singoli Stati.
Recentemente è stata firmata una transazione per 900,000 dollari da dividere tra i sedici stati per coprire i costi dell’investigazione e delle spese legali. Quanto rimanente verrà diviso tra le organizzazioni presente per la tutela dei consumatori, protezione dei dati personali presenti nei 16 stati. È pendente una class action dei consumatori presso la stessa corte dove si è insediato il giudizio di cui sopra.
Gli aspetti di protezione di dati personali
I 16 stati hanno contestato a MIE varie violazioni anche del security rule che compone l’HIPAA insieme alla Privacy Rule.
Queste le principali:
- Non implementazione di misure di sicurezza dei dati personali, riconosciute dal mercato come misure basilari;
- Assenza di controlli di sicurezza per prevenire sfruttamenti di vulnerabilità nei propri sistemi informatici;
- Inadeguata ed inefficace risposta alla violazione dei dati personali che ha causato la violazione di numerose scadenze di notifica previste dalle leggi dei vari stati; e
- Non cifratura dei PHIE sensibili.
Questi i principali impegni richiesti a MIE, oltre al pagamento della somma di 900.000 dollari:
- Implementare e mantenere un programma di sicurezza che abbia misure amministrative, tecniche e fisiche di sicurezza appropriate alla propria struttura e ai dati trattati;
- Assicurarsi i privilegi di amministratore non siano dati ad utenti generici;
- Implementare un sistema di autenticazione multilivello per accedere al portale di Web Chart;
- Formazione annuale ai propri dipendenti; e
- Condurre una risk analysis annuale da un terzo indipendente dei rischi di sicurezza che sarà poi trasmessa per revisione all’Indiana Attorney General e condivisa con i 15 stati parti del contenzioso.
Considerazioni sugli aspetti di protezione dei dati personali
Possiamo evidenziare che le violazioni commesse fanno emergere l’assenza di un’adeguata cultura della protezione dei dati personali sia dalle violazioni principali sia dagli impegni posti a carico di MIE. Pare interessante notare il concetto di “basic industry-accepted data security measures”.
Tale definizione viene ripresa dal nostro ordinamento, nel GDPR nel principio di accountability e nelle misure di sicurezza ex art.22 e 32, par 1 richieste al titolare ed al responsabile del trattamento (pseudonimizzazione e la cifratura dei dati personali; capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento). Altro documento guida in ambito italiano è il provvedimento 27 novembre 2008 che offre ancora una valida guida nella scelta delle misure di sicurezza da adottare, nonostante gli 11 anni.
Altro aspetto interessante è sicuramente quello della cooperazione tra gli Stati, possibile grazie alla presenza di una normativa federale comune che porta ad un’azione comune contro l’impresa. Tale prospettiva si scontra però con il principio europeo dello sportello unico (one stop shop) e della presenza, in certi casi della Leading Authority, art.56 GDPR.
Sportello unico e leading authority nella Ue
Infatti, a differenza degli Usa, dove la normativa federale comune ad oggi fa riferimento principalmente solo ai dati sanitari, mentre ogni singolo Stato ha la sua normativa privacy, il GDPR si applica nello stesso modo a tutti gli stati membri senza distinzione di settore, propria nella volontà armonizzatrice dell’Unione europea. Dunque, il titolare del trattamento con sedi sparse nel territorio di più stati membri in Europa non ha a che fare con le autorità di 28 stati membri, ma solo con una autorità che può imporre all’impresa regole valide per tutte le proprie sedi europee. Il principio del one stop shop e la presenza della Leading Authority puntano a creare più uniformità e semplificazione per le imprese, ma causando non poche difficoltà nell’individuazione della stessa.
Per questi motivi, in Europa, stante così la normativa, un caso simile potrebbe verificarsi tendenzialmente solo a livello investigativo di cooperazione tra le varie autorità garanti, vedendo però un’unica autorità comminare la sanzione e richiedere gli impegni al gruppo d’imprese coinvolte a meno di ricadere per ogni stato nell’ipotesi del paragrafo 2 dell’articolo 56 (il trattamento riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro).
Ultimo aspetto interessante riguarda l’obbligo di formazione annuale imposto a MIE. L’obbligo di formazione è ricavabile dall’art. 29 del GDPR che prevede l’istruzione degli incaricati. L’errore umano insieme alle scarse misure di sicurezza è il principale fattore dei data breach. Non può essere eliminato come fattore di rischio, ma è necessario mitigarlo con una formazione adeguata agli incaricati, facendo trasparire il commitment del senior management e l’importanza della materia trattata.
