Articoli

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.

Dati sanitari: pubblicate le nuove linee guida del Consiglio d’Europa

Avv. Vincenzo Colarocco

Il Consiglio d’Europa, con una raccomandazione adottata lo scorso 27 Marzo[1] (in seguito la “Raccomandazione”), ha fornito una serie di linee guida per i 47 Stati membri con l’intento di guidare i medesimi nel corretto trattamento dei dati sanitari.

Chiara intenzione del succitato organismo è quella di esortare i Paesi Europei a garantire, nel diritto e nella pratica, che l’elaborazione di tali categorie particolari di dati ai sensi dell’art. 9 del Regolamento UE 679/2016 (“GDPR” o “Regolamento”) venga posta in essere nel pieno rispetto dei diritti umani in un particolare momento storico caratterizzato dal crescente utilizzo di nuove tecnologie[2]. Proprio tale presupposto comporta la necessità di impostare il trattamento considerando i capisaldi della privacy by design e della privacy by default posti alla base del Regolamento, nonché le previsioni di cui all’art. 32 del GDPR. Pertanto, le misure di protezione da attuarsi dovrebbero essere incorporate sin dalla fase di progettazione di qualsiasi sistema di informazione che elabora dati relativi alla salute. In più, al fine di ulteriormente vedere attuati tali principi, la Raccomandazione precisa che il rispetto delle dette previsioni dovrebbe essere regolarmente rivisto durante l’intero ciclo di vita del trattamento e che il titolare deve effettuare, prima di iniziare il trattamento e a intervalli regolari, una valutazione del potenziale impatto in termini di protezione dei dati e rispetto della privacy, comprese le misure volte a mitigare il rischio.

La Raccomandazione, poi, pone alcune interessanti precisazioni in merito alle base giuridiche che potrebbero legittimare il trattamento dei dati sanitari. Infatti, dopo aver previsto che alla base del detto trattamento sussista il consenso informato dell’interessato (in linea con quanto previsto ai sensi dell’art. 9 del GDPR), si prevedono, alternativamente, due ulteriori situazioni che sembrerebbero quindi escludere la preventiva raccolta di un consenso:

  1. i) quando il trattamento è necessario per l’esecuzione di un contratto stipulato dall’interessato con un operatore sanitario soggetto a condizioni definite dalla legge, compreso l’obbligo di segretezza;
  2. ii) quando tali dati sono stati resi manifestamenti pubblici dall’interessato stesso.

Con riferimento alle tempistiche di conservazione (c.d. “retention”) da applicarsi alla categoria dei dati sanitari, la Raccomandazione prevede che, purché dietro predisposizione di misure di sicurezza adeguate, la retention possa dilatarsi[3] qualora si preveda un trattamento per finalità di archiviazione nell’interesse pubblico o per scopi scientifici o storici o, ancora, di ricerca e statistica. In questo caso i dati dovrebbero, in linea di principio, essere resi anonimi non appena la ricerca, l’attività di archiviazione o lo studio statistico lo consentano; qualora tanto non fosse possibile, si potrebbe ricorrere alla pseudonimizzazione per salvaguardare i diritti e le libertà fondamentali dell’interessato.

Appare in conclusione evidente come la Raccomandazione segua quasi pedissequamente le prescrizioni di cui al GDPR, resta in ogni caso da segnalarsi come le indicazioni fornite appaiano estremamente attuali e pertinenti stante la sussistenza di una crescente digitalizzazione che, seppur evidentemente foriera di un miglioramento delle cure mediche e dell’assistenza al paziente, comporta, inevitabilmente, un aumento esponenziale della quantità di dati sanitari soggetti ad operazioni di trattamento e, per l’effetto, la necessità di applicare misure legali e tecniche che consentano un’efficace protezione di ogni individuo.

 

[1] Rinvenibile al seguente URL: https://search.coe.int/cm/pages/result_details.aspx?objectid=090000168093b26e.

[2] La Raccomandazione in esame delinea anche una serie di indicazioni per quanto attiene al trattamento di dati sanitari raccolti mediante dispositivi mobili che, impiantati nell’individuo o meno, possano rivelare informazioni sul suo stato fisico o mentale, o abbiano ad oggetto qualsiasi informazione riguardante le prestazioni di assistenza sanitaria e di assistenza sociale.

[3] Pertanto superando le tempistiche di conservazione strettamente necessarie al perseguimento della finalità di cura e assistenza del paziente interessato.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.