Come proteggersi da malware e attacchi hacker in un mondo digitale sempre più articolato e complesso? Il rischio di data breach e violazione della privacy è un tema sempre più fondamentale per le aziende.

La raccolta dei dati personali è utile a un’esperienza personalizzata per l’utente, che può migliorare i propri servizi tracciando le abitudini di consumo. La parte oscura della medaglia, però, è il data breach, ossia una violazione della sicurezza che comporta accidentalmente e illecitamente una distruzione, perdita o divulgazione non autorizzata dei dati sensibili.

Privacy e data breach sono oggetto degli articoli 33 e 34 del Regolamento GDPR (General Data Protection Regulation) entrato in vigore nel 2016 e responsabilità dell’European Data Protection Board (EDPB).

Un esempio di data breach e sanzioni

Nell’agosto 2021, il GPDP (Garante per la Protezione dei Dati Personali) ha sanzionato la Regione Lazio, LazioCrea e ASL Roma 3, le quali avevano subìto un attacco ransomware nei giorni precedenti. L’attacco hacker ha causato un data breach importante, che ha portato alla violazione di 7.4 milioni di dati di cittadini.

Le società sanitarie, per evitare ulteriori danni, decisero di spegnere tutti i sistemi, portando offline oltre 180 server. Il down si è protratto per 48 ore, ma anche dopo il ripristino, i sistemi hanno riscontrato molti disservizi dal momento che il ransomware aveva colpito anche alcuni backup.

Il GPDP ha immediatamente aperto l’istruttoria poiché subìre un attacco hacker non esime dal ricevere sanzioni. Alla luce soprattutto dell’elevato numero di interessati e della tipologia di informazioni sensibili esposte. 

Per questo sono state comminate tre sanzioni, una per ogni azienda di sanità laziale. La Regione Lazio ha ricevuto una sanzione di 120.000€, LazioCrea di 271.000€ e ASL Roma 3 di 10.000€.

Le aziende regionali sanitarie “pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche. L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti”.

I tre separati provvedimenti, oltre a sanzionare, danno un avvertimento alle aziende. Non avere chiara la catena della privacy, i Regolamenti e le modalità con cui può avvenire un data breach, possono portare a errori che hanno ripercussioni inaccettabili su clienti e altre organizzazioni. 

Articolo di T.S.

L’articolo Data breach e privacy, rischi e attività preventive proviene da Notiziario USPI.