Data breach Regione Lazio
A cura di Paola Righetti
Vi ricordate l’attacco informatico alla Regione Lazio nell’agosto del 2021?
A seguito di tale attacco, il Garante della Protezione dei Dati Personali ha avviato un’ispezione, il cui esito è stato comunicato con la newsletter del 10 aprile scorso. In essa il Garante informa che in data 21 Marzo 2024 ha emanato 3 provvedimenti sanzionatori nei confronti rispettivamente di Regione Lazio, LAZIOCrea e la ASL 3 (provv. 10002287, 10002324 e 10002533).
Dai provvedimenti del Garante c’è sempre da imparare, per orientare le interpretazioni sui requisiti del GDPR.
Spesso la certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) UNI CEI ISO/IEC 27001:2017, viene indicata come una certificazione che mette l’azienda al sicuro dalle sanzioni del Garante per la protezione dei dati, come vedremo non è così e lo testimonia la sanzione di 270.000 euro inflitta al titolare del trattamento: la Regione Lazio.
Nel provvedimento relativo alla Regione Lazio (provv. 10002287), tra le altre cose il garante fornisce la sua interpretazione sul possesso delle certificazioni volontarie relative al Sistema di Gestione per la Sicurezza delle Informazioni (UNI CEI ISO/IEC 27001:2017): “.. con riferimento alle ricorrenti argomentazioni fondate sul possesso, da parte di LAZIOcrea, della certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) in conformità alla norma UNI CEI EN ISO/IEC 27001:2017, con estensione ai controlli della ISO 27017 e ISO 27018, si evidenzia che tale certificazione non rientra, al momento, tra quelle previste dall’art. 42 del Regolamento.
In ogni caso, la certificazione ai sensi dell’art. 42 del Regolamento, seppur possa essere utilizzata, da titolari o responsabili, come elemento per dimostrare il rispetto degli obblighi del Regolamento, non ne implica automaticamente il rispetto.
Inoltre, occorre considerare che la certificazione di un SGSI può essere limitata a specifici ambiti (servizi e/o sedi) dell’organizzazione (riportati sinteticamente nel certificato rilasciato dall’organismo di certificazione) e che il processo di certificazione di un SGSI, basato principalmente sui risultati degli audit (verifiche documentali e sul campo), contiene elementi di incertezza sia perché legato al concetto di rischio sia perché svolto su un campione dei processi che l’organizzazione, ferma restando la sua buona fede, sottopone a certificazione.
La certificazione di un SGSI basato sulla ISO/IEC 27001, quindi, non garantisce, di per sé, livelli di sicurezza, controlli o misure di sicurezza stabiliti o fissati a priori, ma assicura l’adozione dei controlli che l’organizzazione ha identificato e ritenuto adeguati sulla base di una propria valutazione del rischio.
Il titolare del trattamento, pertanto, quando si avvale di un responsabile del trattamento certificato, secondo meccanismi di certificazione, a prescindere che siano approvati o meno ai sensi dell’art. 42 del Regolamento, dovrebbe sempre verificare se le garanzie offerte dal medesimo responsabile siano efficaci e adeguate ai trattamenti a quest’ultimo affidati”.
La Regione Lazio, infatti, durante le ispezioni aveva più volte ribadito, che le misure di sicurezza implementate da LazioCrea erano adeguate perché la società era certificata ISO/IEC 27001.
“...con specifico riferimento alle misure adottate dal responsabile, sulla base delle istruzioni impartite del titolare, al fine di assicurare il rispetto degli obblighi di sicurezza di cui all’art. 32 del Regolamento, resta comunque fermo che il titolare rimane responsabile dell’attuazione di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, come richiesto dall’art. 24 del medesimo (cfr. punti 37 e 135). D’altronde, oltre agli imperativi obblighi di vigilanza, le responsabilità in capo al titolare non si esauriscono con la stipula dell’atto giuridico di cui all’art. 28, par. 3, del Regolamento e con la disposizione delle istruzioni relative al trattamento, ma durano per tutto il tempo in cui il responsabile tratta i dati per suo conto. Pertanto, sia il titolare che il responsabile possono essere oggetto di sanzioni in caso di inadempimento degli obblighi stabiliti dal Regolamento poiché entrambi sono direttamente tenuti ad assicurarne il rispetto (cfr. punto 9 delle citate Linee guida)”.
Nel caso di specie, il Garante ha considerato che le misure di sicurezza implementate dalla Regione Lazio, per mezzo di LAZIOCrea, non fossero adeguate al rischio, infatti: “i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali, anche sulla salute, di milioni di interessati assistiti. Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti anche a categorie particolari. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.”
In questo scenario, è fondamentale riconoscere che l’essere in possesso di certificazioni come la ISO/IEC 27001 non esonera le organizzazioni dal continuo monitoraggio e aggiornamento delle proprie pratiche di sicurezza.
La vicenda della Regione Lazio ci ricorda l’importanza di un approccio proattivo e responsabile verso la protezione dei dati, in cui la certificazione non è vista solo come un traguardo raggiunto, ma come parte di un processo di miglioramento continuo.