Il Data Breach che ha interessato l’azienda sanitaria abruzzese fa riflettere sull’importanza di una implementazione dei principi di risk management, business continuity e cyber security, al fine di migliorare la propria organizzazione.
L’attacco ransomware lanciato dal gruppo Hacker Monti in primavera presso ASL 1 Abruzzo, ha causato la violazione dei dati personali dei pazienti e per questo motivo l’azienda ospedaliera è stata obbligata ad una comunicazione pubblica sul proprio sito.
Il Garante della privacy ha dichiarato che la comunicazione pubblica (15 giorni di tempo per comunicare alle persone la violazione dei propri dati personali) adottata dall’organizzazione per quanto tempestiva e aggiornata al susseguirsi degli eventi, non è conforme all’art. 34 del Regolamento che determina l’assolvimento degli obblighi.
Senza entrare nel dettaglio del Regolamento e degli Articoli, la comunicazione pubblica non è sufficientemente efficace perché i soggetti interessati non sono stati contattati direttamente e, anche solo per confermare l’avvenuta verifica dell’accaduto, avrebbero dovuto visitare il sito dell’azienda sanitaria.
La modalità di comunicazione pubblica adottata dall’Asl può arrecare agli interessati “un danno effettivo, concreto, attuale e rilevante pregiudizio agli utenti che non sono stati finora informati, e considerati i possibili rischi di discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali derivanti dalla compromissione della riservatezza dei dati personali.”
Così l’Autorità ha ravvisato la necessità e l’urgenza di ingiungere all’Azienda di comunicare individualmente e con un ordine basato sul rischio associato.
Sul sito dell’ASL, è stato necessario inserire un template di lettera a contenuto diversificato in base alle categorie degli interessati e al relativo profilo di rischio associato (basso-medio-alto-critico), con l’indicazione dei recapiti del DPO (Data Protection Officer) e dei centri d’ascolto attivati per l’occasione, con informazioni sulle possibili conseguenze sui diritti e le libertà, da consegnare all’interessato, al primo contatto utile. Dunque, una comunicazione ancora una volta passiva, per la quale avrebbe dovuto attivarsi direttamente l’interessato, nel frattempo sarebbe rimasto potenzialmente ignaro della violazione dei dati.
È naturalmente impensabile organizzarsi in modo da contattare i pazienti uno ad uno – sono centinaia di migliaia – ma è fondamentale, oltre che obbligatorio, comunicare la violazione utilizzando messaggi dedicati allo scopo senza inviare insieme informazioni di altra natura. La gestione del Data Breach è una procedura ancora in corso e non conosciamo per il momento l’evoluzione finale, secondo le indicazioni del Garante della Privacy, ma l’applicazione corretta della legge appare molto complessa. Le azioni di risk management, business continuity e cyber security sono essenziali in forma preventiva anche per evitare o ridurre le conseguenze di un Data Breach e affrontare le sfide attuali e future con la massima cyber resilience.
