La compromissione di un anello della catena di gestione dei dati è un evento che coinvolge tutti gli attori che la compongono: un problema di sicurezza che si verifica presso un provider di servizi utilizzato da diversi clienti può infatti scatenare una catena di eventi simile a un “effetto domino“, con ripercussioni su ciascun cliente coinvolto.
Di conseguenza, le misure di sicurezza lungo la catena di fornitura non sono solo importanti, ma vitali e il ruolo del titolare del trattamento dei dati assume una rilevanza centrale.
Corretta gestione della catena dei fornitori: i casi Synlab e Westpole
Ci insegnano molto, in questo senso, i casi Synlab di questi giorni e quello Westpole di dicembre scorso, per capire l’importanza di una corretta gestione della catena dei fornitori e del notevole impatto di un possibile incidente di sicurezza.
Il cyberattacco a Synlab e le ripercussioni
Synlab è uno dei principali fornitori di servizi di diagnosi medica, i cui centri italiani di diagnostica medica, anche relativi a dati genetici, sono distribuiti in nove Regioni italiane. Si è vista costretta a sospendere a livello nazionale tutte le attività presso i punti prelievo (prelievi e consegna campioni), incluso il download e il ritiro dei referti dai propri clienti.
Tale blocco di attività, in considerazione della particolarità e diffusività dei servizi svolti, anche su mandato di aziende sanitarie pubbliche, ha provocato l’impossibilità di accedere ai dati sanitari di un enorme numero di cittadini e potrebbe provocare persino la perdita di una serie di loro campioni biologici, materiali altamente deperibili e le cui preziose informazioni rimangono stabili soltanto per brevi periodi.
Nell’ultimo aggiornamento sul sito Synlab, del 28 aprile, l’azienda fa sapere che “prosegue il lavoro per ripristinare l’attività a seguito dell’attacco cybercriminale”.
L’attacco informatico a Westpole
Prendiamo anche come esempio quello dell’attacco informatico subito l’8 dicembre 2023 da Westpole, una nota software house, azienda specializzata nella produzione di software e applicazioni utilizzati dalla maggior parte delle pubbliche amministrazioni sul territorio nazionale, attacco che ha causato uno dei più gravi incidenti che hanno colpito i servizi digitali.
Questo evento ha messo fuori uso circa mille uffici della Pubblica Amministrazione, ha provocato lo spegnimento di 1.500 macchine virtuali e della relativa infrastruttura cloud, bloccando di fatto i software offerti da un importante gruppo aziendale per la gestione digitale dei servizi da parte degli uffici pubblici.
Le PA coinvolte per più giorni hanno subito il blocco di tutta una serie di servizi, tra i quali i documenti salvati nel cloud, l’albo pretorio online, lo spazio pubblico di avvisi e notifiche e il sistema del protocollo informatico.
La notifica al Garante privacy
Naturalmente l‘indisponibilità dei dati e l’impossibilità di svolgere le proprie ordinarie attività ha di conseguenza costretto tutte le amministrazioni coinvolte a notificare all’Autorità Garante Privacy l’accaduto così come previsto dal citato articolo 33.
L’Autorità stessa si sarà quindi trovata senza alcun dubbio a dover gestire l’impatto di una serie copiosa di notifiche inoltrate attraverso l’apposito servizio online originate da un solo evento malevolo.
Outsourcing e supply chain: un equilibrio delicato
In taluni recenti provvedimenti l’Autorità Garante l’Autorità Garante Privacy ha peraltro preso di nuovo in esame il delicato rapporto esistente fra il titolare del trattamento e i vari soggetti di cui questi si serve per svolgere le attività di trattamento dei dati personali di cui risponde, anche per quanto concerne le possibili conseguenze di incidenti di sicurezza.
La problematica assume sempre maggiore rilevanza alla luce di una più che consolidata strategia manageriale di outsourcing e del ricorso a vere e proprie.
Tale strategia, che consente talora il ricorso a una vera e propria catena di fornitori di beni o servizi, a volte già precostituita, necessita della loro stretta collaborazione per soddisfare le esigenze della clientela.
L’importanza delle misure di sicurezza lungo tutta la catena di fornitura
E nel caso, non certo eccezionale, in cui questa preveda lo svolgimento di attività di trattamento di informazioni di carattere personale è necessario, come noto, che i rapporti tra cliente e l’intera catena di fornitura siano regolati non solo sotto il profilo puramente contrattuale ma anche, alla luce delle disposizioni dell’articolo 28 del Regolamento UE 2016/679, sotto quello delle conseguenti responsabilità del trattamento di dati.
A tal proposito è ormai pacifico che pochi servizi possano essere effettivamente svolti dai fornitori di beni o servizi per conto dei propri clienti senza che si avvalgano di terze parti, altri soggetti ai quali viene demandato lo svolgimento di fasi dell’attività o il supporto o la manutenzione, anche relativamente ai software e hardware, database e/o piattaforme utilizzate.
Pensiamo ad esempio ad un servizio di distribuzione di un prodotto, un farmaco o altro dispositivo, a domicilio degli assistiti di un’azienda sanitaria, caso in cui il servizio offerto prevede già all’origine la collaborazione, anche attraverso attività di trattamento elettronico di dati, di più fornitori che assicurano l’approvvigionamento e/o la distribuzione dei beni all’interessato.
Oppure pensiamo ad un “Service”, un’azienda che fornisce attrezzature, assistenza o servizi specializzati alla clientela, come ad esempio un laboratorio di analisi che processa campioni biologici per molti clienti, avvalendosi di strumenti, hardware, software e supporto logistico forniti da altri partner.
Sempre più spesso a tal proposito ci troviamo a leggere Provvedimenti adottati dall’Autorità Garante Privacy, in cui questa si trova a dover affrontare violazioni dei dati in cui sono coinvolti più attori oltre al titolare del trattamento dei dati personali, in particolare fornitori di beni o servizi.
I rapporti tra titolari e fornitori e le responsabilità sotto il profilo della protezione dei dati
È quindi necessario in tali casi per il Garante analizzare anche i rapporti tra tali soggetti e le responsabilità che questi si sono assunti sotto il profilo della protezione dei dati personali.
Pertanto assume sempre più rilievo per il titolare del trattamento disciplinare correttamente con l’apposito contratto o atto giuridico le misure previste dall’articolo 28 del Regolamento UE 2016/679 qualora intenda avviare una attività di trattamento di dati personali avvalendosi di altri soggetti, sia qualora questi siano coinvolti nelle fasi di approvvigionamento o fornitura del materiale o degli strumenti necessari alla produzione dei prodotti o servizi, della effettiva produzione del prodotto e della sua gestione, o della consegna o distribuzione.
In particolare, visti i ridotti tempi consentiti al Titolare del trattamento per notificare all’Autorità Garante Privacy le violazioni di dati personali previste dall’articolo 33 del Regolamento, (72 ore da quando questi ne è venuto a conoscenza), risulta di particolare interesse disciplinare adeguatamente i tempi e le modalità di segnalazione degli eventuali incidenti di sicurezza e successiva collaborazione dei fornitori coinvolti.
Le responsabilità del titolare se il trattamento dati nella supply chain è inadeguato
Sempre più spesso infatti lo svolgimento di attività di trattamento dei dati personali da parte degli attori coinvolti in tale catena di gestione di beni o servizi si è dimostrata non del tutto adeguata al vigente quadro normativo e pertanto fonte di responsabilità anche per il titolare del trattamento, soggetto sul quale ricade comunque una responsabilità di rango elevato.
A tal proposito, infatti, il Considerando 74 del citato Regolamento recita “(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
È pertanto necessario che il titolare si assicuri la protezione dei dati lungo tutta la catena di fornitura di beni e servizi dei quali si avvale e che i suoi partner dispongano effettivamente di sistemi di protezione delle informazioni trattate per conto della propria clientela per evitare anche che gli hacker possano perpetrare attacchi, sfruttando vulnerabilità della catena stessa.
Le misure di sicurezza implementate devono essere capaci di prevenire attacchi informatici che possano danneggiare il patrimonio informativo oggetto di trattamento o bloccare l’operatività delle imprese coinvolte, provocando danni ingenti o un’interruzione delle forniture dei servizi o dei prodotti a tutti gli anelli della catena di cui queste fanno parte.
In sintesi qualora il titolare si avvalga di una serie di partner per l’assolvimento dei propri compiti questi non dovrebbe ritenersi come una realtà indipendente o autonoma rispetto al sistema complessivo di trattamento di dati del quale si avvale.
Il titolare dovrebbe senza alcun dubbio assicurarsi che tutti gli altri attori coinvolti dispongano di sistemi di trattamento protetti con misure adeguate di sicurezza tecnica ed organizzativa, così come indicato dall’articolo 32 del Regolamento.
Data Breach e attacchi hacker: l’effetto domino
La debolezza o scarsa efficacia di queste misure, come noto, può facilitare violazioni di dati o Data Breach, la cui analisi, valutazione e gestione è però di esclusiva competenza del Titolare.
Ne discende che l’incidente di sicurezza occorso ad un fornitore di servizi del quale si avvalgano una serie di clienti può causare un vero e proprio “effetto domino”, avviando una serie ripetuta e a volte non del tutto coordinata di attività che si ripercuotono su ogni cliente (titolare del trattamento).
Ciò in quanto, come noto, la compromissione di un anello della catena di gestione dei dati è un evento che coinvolge tutti gli attori che la compongono e che la sicurezza reale di una azienda è pari alla sicurezza dell’anello più debole della catena stessa.
Molti problemi di sicurezza informatica si verificano presso fornitori di beni e servizi, la cui attività non è direttamente finalizzata alla soddisfazione di bisogni degli interessati, ma a supportare le attività di altre aziende titolari delle attività di trattamento di dati personali.
Conclusioni
Dalla lettura degli esiti di un indagine specialistica di Capterra, emerge che nel 2023 tre aziende su cinque, il 61%, sono state colpite da attacchi alla catena di fornitura e che i rischi sono in aumento e che il Centro studi Juniper calcola un aumento dei costi di questi attacchi informatici del 76% nel 2026 rispetto al 2023.
È quindi necessario che tutti gli attori coinvolti nella catena di servizio e approvvigionamento provvedano ad implementare adeguatamente le misure di sicurezza, eliminando i punti deboli del sistema che gli hacker potrebbero sfruttare per perpetrare attacchi.
