assicurazioni, cyber risk, sicurezza

ASSICURAZIONE CYBER : perche’ e’ importante e quali protezioni si possono attivare per PMI e Professionisti

cyber risk, sicurezza

VIOLAZIONE PRIVACY con una telefonata : il Garante Privacy sanziona Azienda per € 50.000

Quando il mancato aggiornamento di un numero di telefono di soggetto interessato provoca un DATA BREACH, quali soluzioni assicurative a tutela del Titolare del trattamento , dell’incaricato al trattamento a copertura della richiesta danni e delle sanzioni ? Un importante ordinanza del Garante della Privacy in queste ultime settimane ha riguardato un’azienda del territorio romagnolo, ed una materia molto scottante come la “violazione dei diritti e le libertà fondamentali della persona interessata” , con pesanti ripercussioni per le aziende,  sulla gestione dei dati e dei rapporti con Clienti e Dipendenti.  E soprattutto sulla necessita’ di tenere traccia documentale e digitalizzata dei documenti “privacy” per dimostrare la conformita’ al GDPR, il Regolamento Europeo sul Trattamento dei dati  (UE 679/2016).

A fronte di un “data breach” ci sono richieste di risarcimento danni e sanzioni , per i danni provocati a Terzi. Quali contratti assicurativi si possono attivare per dare un ombrello protettivo alle Aziende ? Per tutelare il Data Controller – Titolare del Trattamento – , il Data Processor – Responsabile del Trattamento  per i Danni provocati a Terzi, esistono polizze ad hoc – vedi cyber policy -per la RESPONSABILITA’ CIVILE da violazione privacy, anche con apposite sezioni di assicurazioni CYBER RISK , le ultime nate per coprire i casi di violazione privacy  nello svolgimento dell’ attività online, come l’errato invio di dati particolari tramite email . Oppure  se a causa di un attacco hacker  ( es. ramsonware ) o una frode di ingegneria sociale ( es. phishing), con l’involontario contributo degli addetti dell’azienda, si trasferiscono erroneamente dati o fondi a terzi e alla rete. La polizza deve prevedere anche la copertura di “data breach offline”, ossia la violazione privacy avvenuta come nel caso in esame, durante attività di contatto con i clienti , oppure a causa di violazione privacy avvenuta attraverso documenti cartacei mal riposti . Anche se non c’è stato aggiornamento del database aziendale dei numeri di telefono dei clienti con le relative disposizioni di “delega” a fornire informazioni e dati a persone diverse dal Cliente.Per quanto riguarda le sanzioni, nelle polizze  “non sono assicurabili le sanzioni inflitte direttamente al Contraente che sottoscrive una polizza ; mentre si possono assicurare le “sanzioni inflitte a Terzi” , per errore del Contraente -assicurato.

Per ulteriori informazioni vi invitiamo a telefonare a GOLINUCCI srl tel. 0547 22351 od inviare email a privacy@golinucci.it

I fatti 

l’Azienda USL della Romagna ha rappresentato che, in data XX, veniva ricoverata, presso il reparto di ginecologia (UO ginecologia-ostetricia-PO Faenza), una paziente che chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi e forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Nonostante cio, successivamente alle dimissioni della paziente (avvenute in data 3 marzo 2020), l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa. L’operatrice sanitaria aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’anagrafica informatizzata della Azienda, fornito dalla stessa in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello indicato dalla paziente nel corso dell’evento del 1° marzo 2019, riportato all’interno della cartella clinica. 

Le informazioni disvelate al marito della paziente, che ha risposto al telefono, hanno riguardato solo la tipologia di reparto presso cui l’interessata è stata ricoverata e non sarebbero state date ulteriori indicazioni sullo stato di salute della stessa. 

Istruttoria del Garante Privacy

Con specifico riguardo alle “misure organizzative implementate” in relazione al caso in esame, è stato evidenziato che “la procedura della cartella clinica dell’U.O. Ginecologia dell’Ospedale di Faenza non era informatizzata” e il modulo sottoscritto dall’interessata, con il diniego a fornire informazioni circa il suo stato di salute a soggetti terzi, è stato inserito nella cartella clinica (già esistente al momento del ricovero) che riportava però sul frontespizio un recapito telefonico, uguale a quello indicato nell’anagrafica aziendale unica, utilizzato dall’infermiera per reperire la paziente, ma differente rispetto a quello da ultimo fornito dalla paziente stessa. In altri termini, rispetto all’interessata risultavano presenti due diversi contatti telefonici e, solo all’interno della cartella clinica, era presente la modulistica sottoscritta con la quale la stessa chiedeva espressamente che il suo stato di salute, in relazione all’ultimo ricovero in corso, non fosse comunicato a nessuno, fornendo a tal fine uno specifico numero di telefono, per eventuali contatti relativi a tale ricovero. 

L’Azienda, in riferimento alla violazione, ha altresì riportato quanto verbalizzato nell’incontro del 18 dicembre 2019, dove si specifica che l’infermiera era stata incaricata dal medico presente, impegnato in pronto soccorso, a consegnare la lettera di dimissioni all’interessata e che “consegnata la lettera in mano alla signora, l’infermiera si è assentata per rispondere a una chiamata (campanello) di un’altra degente, invitando la signora (…) ad attenderla e al ritorno, per confrontarsi con la sig.ra relativamente al contenuto della lettera (di dimissione, ndr) e delle disposizioni mediche, la signora si era allontanata senza avvisare”. L’infermiera allora, verificata la circostanza che le era stato prescritto un farmaco e non avendo avuto modo di fornire indicazioni in ordine all’assunzione dello stesso, ha tentato rapidamente di contattare la paziente, rinvenendo nell’anagrafica aziendale “il numero telefonico a cui contattarla anziché ricorrere a quello fornito dalla stessa nella fase di pre-ricovero”. 

Con riferimento alla formazione del personale è stato evidenziato che l’Azienda svolge regolarmente attività di formazione sulla disciplina in materia di protezione dei dati personali, sia a distanza che in presenza. 

L’Azienda ha, altresì, evidenziato che “a seguito del data breach in parola, l’UO Gestione servizi informativi ha eseguito uno studio di fattibilità per una rimodulazione della gestione dei numeri di telefono dei pazienti ricoverati. Con il fornitore informatico della Gestione Ricoveri (sistema ADT) si modificherà il workflow come segue: 

1. verrà configurato il Tab-Privacy della gestione ADT per il consenso alla comunicazione dello stato di salute del paziente con campo di descrizione per numero di telefono e nominativo indicati dal paziente al momento del ricovero; 2. il sistema obbligherà l’operatore a compilare l’opzione di scelta e il campo descrittivo sopracitato anche con possibilità di stampa del modulo da conservare nella cartella cartacea; 3. il Tab Privacy sarà l’unico punto di gestione e consultazione dei dati telefonici per il singolo evento di ricovero, eliminando o oscurando le informazioni dei riferimenti telefonici da tutti gli altri archivi informatici relativi al ricovero e dal frontespizio della cartella clinica; 4. nell’eventualità di un successivo ricovero il Tab privacy dovrà essere rivalorizzato”. 

L’Azienda ha rappresentato, inoltre, che “a partire dal 20.1.2020 il Comitato aziendale per la protezione dei dati personali di concerto con il DPO, ha attivato e messo a disposizione dei Responsabili di U.O. una check list di autovalutazione relativamente all’attività ambulatoriale e all’attività di ricovero, quale strumento utile sia agli stessi che all’Azienda per il monitoraggio dell’adeguatezza delle misure tecniche ed organizzative aziendali al fine di garantire la sicurezza del trattamento dei dati”. 

L’Azienda ha rappresentato, infine, di avere ritenuto superflua la comunicazione della violazione all’interessata, come strumento per attenuare gli effetti negativi della violazione, secondo quando previsto dal considerando 83 del Regolamento, in quanto le informazioni rilasciate dall’infermiera hanno riguardato solo il reparto in cui la stessa è stata ricoverata e non anche i motivi del ricovero e perché “nel frattempo il marito della paziente aveva appreso, peraltro in altro modo e da soggetti non riconducibili alla Azienda USL della Romagna, l’avvenuto ricovero e il motivo specifico dello stesso”. 

In particolare l’Ufficio (Garante Privacy ndr), ha rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda le violazioni degli articoli 5, par. 1, lett. a), d) e f), 9 e 32 par. 1, lett. b) del Regolamento. Nel produrre i propri scritti difensivi, l’Azienda fornendo taluni specifici ulteriori elementi volti a circostanziare la violazione occorsa e a consentire, all’ Autorità (Garante Privacy , ndr) , una ponderata valutazione della stessa ai sensi dell’art. 83 del Regolamento (nota del 29 giugno 2020, prot. n. 2020/0160798/P) ha evidenziato che: 

– l’interessata era stata sottoposta ad un intervento di interruzione volontaria di gravidanza; 

– l’infermiera che ha tentato di contattare l’interessata, causando la violazione, si trovava in una situazione di emergenza, in quanto chiamata da un’altra paziente del reparto e tenuta contestualmente a sostituire il medico nella consegna della lettera di dimissioni alla paziente; 

– l’infermiera, nel tentare di contattare l’interessata, si è limitata ad introdursi alla persona che ha risposto al telefono (che poi è risultata essere il marito dell’interessata) quale “infermiera della ginecologia di Faenza” e a dire di dover parlare con la paziente per una terapia, senza alcuno esplicito riferimento ai motivi del ricovero né all’intervento. 

In considerazione degli eventi, l’Azienda ha ritenuto che la violazione occorsa non possa essere attribuita né alla colpa né al dolo dell’Azienda stessa avendo, in primo luogo, l’interessata stessa contribuito al verificarsi degli eventi, allontanandosi dal reparto senza attendere il ritorno dell’infermiera e tenendo, quindi, un comportamento non corretto, ed essendosi l’Azienda preoccupata di far sottoscrivere alla paziente il modulo per “autorizzare o meno la comunicazione dei dati a terzi”. 

Con riferimento all’entità della violazione e conseguentemente al suo impatto sui diritti e le libertà fondamentali dell’interessata, l’Azienda ha ritenuto che non possa essersi trattato di un evento grave, non avendo la violazione avuto ad oggetto il disvelamento di specifici aspetti connessi ai motivi del ricovero. Conseguentemente l’Azienda ha ritenuto di non aver prodotto conseguenze negative in capo all’interessata. 

Con riferimento alle misure tecniche adottate per prevenire ulteriori simili eventi, l’Azienda ha ribadito di avere concluso con esito positivo lo studio di fattibilità per la rimodulazione informatica della gestione dei numeri di telefono dei pazienti, come sopra riportato. È stato, tuttavia, precisato che, a causa della situazione emergenziale legata alla pandemia da COVID-19, che ha interessato in modo particolare l’Azienda, il nuovo sistema non è ancora operativo. 

Da un punto di vista organizzativo è stato infine rappresentato che l’Azienda ha predisposto una modulistica unica aziendale “con la quale i pazienti che accedono alle strutture ospedaliere possono esprimere la loro volontà di comunicare o non comunicare i propri dati di salute ai terzi” e introdotto una specifica policy aziendale per le “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”. 

Esito dell’attività istruttoria 

Ai sensi del Regolamento (GDPR EU 679/2016), i dati personali devono essere trattati in modo lecito, corretto e trasparente, devono essere esatti rispetto alle finalità per le quali sono trattati e devono essere adottate misure tecniche e organizzative adeguate a garantire l’integrità e la riservatezza degli stessi e a prevenire trattamenti non autorizzati o illeciti (art. 5, par. 1 lett. a) d) e f) del Regolamento). 

In merito alla fattispecie in esame appare opportuno precisare, altresì, che alla luce del Regolamento si intende per “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1). 

In tale contesto, devono considerarsi dati sulla salute tutti “i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (cons. 35 del Regolamento). 

Il Regolamento nel sancire un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute, ammette che essi possano essere trattati solo in presenza di una delle condizioni di cui all’art. 9, par. 2 (cfr. in particolare, l’art. 9, par. 2 lett. a), g), h) e i)). 

Il titolare, chiamato al rispetto dei principi applicabili al trattamento, è tenuto altresì a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento). 

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (cons. 35, art. 9 Regolamento e art. 83 del Codice, in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in http://www.gpdt.it , doc. web n. 1191411, art. 22, comma 4, del citato d.lgs. n. 101/2018). 

In particolare, l’art. 83 del Codice, prevede che, tra gli altri, le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(…) idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare: 

il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati; la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute; a tale riguardo, si rinvia, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”.
Alla luce degli elementi acquisiti e delle dichiarazioni rese nel corso dell’istruttoria, è emerso che: 

la condotta dell’infermiera ha comportato l’utilizzo di un numero di telefono diverso rispetto a quello indicato dalla paziente per eventuali contatti afferenti all’ultimo ricovero (in violazione dell’art. 5, par. 1 lett. d) del Regolamento); 

la condotta dell’infermiera ha comportato l’esplicita correlazione, da parte di un soggetto terzo non legittimato, tra l’interessata e un determinato reparto di degenza indicativo, di uno specifico stato di salute (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento); 

da tale condotta è, quindi, discesa una comunicazione di dati idonei a rivelare lo stato di salute dell’interessata effettuata non solo in assenza di idonea base giuridica ma anche in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di soggetti terzi (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento); tale condotta, nel ledere la fiducia e l’affidamento dell’interessata nella struttura sanitaria alla quale si è rivolta, ha comportato altresì un trattamento di dati personali in violazione del principio di correttezza (in violazione degli artt. 5, par. 1 lett. a) del Regolamento); la condotta è stata causata dall’inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute in quanto non sussiste prova delle presenza di strumenti idonei ad assicurare il rispetto della volontà dell’interessata di essere contattata solo a un determinato numero di telefono (in violazione degli artt. 5, par. 1 lett. f) e 32 del Regolamento); 

la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera, si è rivelata insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, in quanto non corroborata da ulteriori adeguate misure tecniche e/o organizzative che tenessero nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile) (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento); 

con riferimento alla rilevata inadeguatezza delle misure tecniche e organizzative implementate occorre altresì considerare che l’interessata si era sottoposta a un trattamento terapeutico di interruzione volontaria di gravidanza per il quale il legislatore nazionale richiede esplicitamente che venga assicurato al più alto livello il rispetto della dignità e della riservatezza della donna, al punto che spetta solo a quest’ultima decidere se coinvolgere, o meno, il padre del nascituro nella decisione di interrompere la gravidanza (art. 5 legge 22 maggio 1978, n. 194); la condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione occorsa. Ciò, in quanto, come, detto essa è imputabile all’inadeguatezza delle misure tecniche e organizzative implementate che è possibile giudicare in quanto tale, a prescindere sia dalla supposta incidenza causale della condotta dell’interessata sugli eventi, che dal fatto che il marito della stessa abbia appreso in altro modo della causa del ricovero (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento). 

Conclusioni 

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. 

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda USL della Romagna nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento. 

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i). 

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda si è impegnata a implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, nonché a predisporre una modulistica unica aziendale “con la quale i pazienti (…) possono esprimere la loro volontà di comunicare o non comunicare” informazioni sul proprio stato di salute ai terzi e introdotto una specifica policy aziendale per “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento. 

Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice) 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019). 

La violazione degli artt. 5, par. 1, lett. a), d) e f), e 9 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria, di cui all’art. 83, par. 5, lett. a) del Regolamento, mentre la violazione dell’art. 32, par. 1 lett. b) alla sanzione di cui all’art. 83, par. 4, lett. a) del Regolamento. 

Al riguardo, in forza dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate, determinata dalla condotta dell’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento. 

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che: 

– l’illiceità del trattamento è connotata da una particolare gravità e ha prodotto un impatto dannoso notevolmente elevato sulla vita privata dell’interessata (art. 83, par. 2, lett. a) del Regolamento); 

– il trattamento dei dati effettuato dall’Azienda ha riguardato dati idonei a rilevare lo stato di salute (art. 83, par. 2, lett. g) del Regolamento); 

la condotta è imputabile alla colpa dell’Azienda, nella misura in cui risulta dimostrato che non sono state implementate misure tecniche e organizzative efficaci e adeguate ad assicurare il rispetto della volontà dei pazienti di non far conoscere a soggetti terzi notizie circa il proprio stato di salute (art. 83, par. 2, lett. b), d) del Regolamento); 

– in ragione dell’estrema delicatezza dell’intervento di interruzione volontaria di gravidanza, il vigente regime giuridico prevede, a garanzia della dignità delle interessate, un sistema rafforzato di tutele (art. 83, par. 2, lett. k) del Regolamento; cfr. l. 174 del 1978); 

– le considerazioni sopra svolte circa la peculiarità di questo intervento sanitario sono tali da riconoscere all’interessata una posizione di particolare vulnerabilità (art. 83, par. 2, lett. k) del Regolamento); 

  • l’Autorità ha preso conoscenza dell’evento a seguito della tempestiva notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento); 

– la violazione ha riguardato un singolo interessato (art. 83, par. 2 lett. a) del Regolamento); 

– l’Azienda ha reagito all’evento, impegnandosi nella implementazione di nuove misure tecniche e organizzative per la gestione dei numeri di telefono dei pazienti ed è stata adottata una specifica policy per assicurare l’effettività del diritto degli interessati a non disvelare a soggetti terzi notizie correlate alla propria degenza in ospedale; 

– l’Azienda, nonostante lo stato emergenziale dovuto dalla pandemia da Covid-19 in corso, si è dimostrata estremamente collaborativa con l’Autorità in fase istruttoria non mancando mai di fornire riscontri puntuali e tempestivi; 

– l’assenza di dolo da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento); 

– l’immediata presa in carico della problematica a cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento); 

– l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione con l’Autorità e non risultano, altresì precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. c), d) e f) del Regolamento); 

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000,00 (cinquantamila), per la violazione degli artt. 5, par. 1, lett. a) d) f), 9 e 32, par. 1 lett. b) del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, in considerazione della tipologia di dati personali oggetto di illecito trattamento. 

TUTTO CIO’ PREMESSO IL GARANTE 

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda, per la violazione degli artt. 5, par. 1, lett. a), d), f), 9 e 32, par. 1 lett. b) del Regolamento, nei termini di cui in motivazione; 

ORDINA 

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, infligge all’Azienda con sede legale in Via De Gasperi, 8-48121 Ravenna CF/P.IVA 02483810392, di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata; 

INGIUNGE 

alla predetta Azienda, di pagare la somma di € 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato –di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011). 

DISPONE 

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante. 

Fonte : newsletter Garante Privacy

cyber risk, sicurezza

Campari, attacco hacker: pagamenti e dati sensibili dei dipendenti a rischio

Il cyber risk (o attacco informatico) è quotidianamente tra i crimini raccontati dai media e tra le minacce sempre più crescenti che mettono a repentaglio la sicurezza delle aziende.

È al terzo posto tra i “rischi prodotti dall’uomo” dopo il “crollo dei mercati” e la “crisi del prezzo del petrolio” secondo il City Index dei Lloyd’s 2015-2025. Il 53% degli attacchi cyber produce danni superiori ai 500.000 dollari (Fonte: Cisco). L’impatto della criminalità informatica sull’economia globale è stimato in 600 miliardi di dollari. Come potete leggere successivamente, l’attacco informatico conosciuto come “estorsione” o “ransomware” è , a detta anche del manager di Bitglass una delle minacce malware in più rapida crescita e la maggior parte delle aziende oggi non è preparata per un attacco ransomware, per non parlare del ripristino di emergenza dopo il fatto.

Ha fatto rapidamente il giro del mondo la notizia del Gruppo Campari, che possiede i marchi Aperol, Grand Marnier, Averna e Cynar, ha subito un attacco hacker, con il furto di 2 terabyte di dati, per cui è stato richiesto un riscatto di 15 milioni di dollari. La società ha fatto sapere in un comunicato che, in seguito a indagini tecniche, è stato confermato l’appropriamento indebito dei dati dei lavoratori e di altre aziende.

Attacco hacker a Campari Group: quali dati sono stati rubati

Le informazioni compromesse risultano essere quelle della active directory dei dipendenti ed ex dipendenti, contenenti dati sensibili come nome, cognome, indirizzo e-mail, numero di cellulare, ruolo all’interno dell’azienda e numero identificativo. Inoltre gli hacker hanno avuto accesso ad alcuni contratti e dati contabili, principalmente riguardanti la consociata statunitense del gruppo, Campari America LLC.

In seguito all’attacco malware, sono stati rubati anche i dati aziendali di clientifornitori e partner commerciali, con dettagli di pagamento, dati di contatto e informazioni commerciali. Inoltre gli hacker potrebbero aver preso anche i dati di contatto della stampa e i curricula inviati alla società dai candidati.

Campari fa sapere che attraverso la breccia informatica, i malviventi hanno avuto accesso tramite la posta elettronica anche ai dettagli di pagamento, compenso, valutazione delle prestazioni, documenti di identità. Il gruppo sottolinea che non vengono detenuti sui propri server i dati di carte di credito personali. Tutte le password utilizzate nei sistemi Campari sono crittografate, e non ci sono per ora evidenze che siano state in qualche modo manomesse.

Attacco informatico a Campari: perché gli hacker hanno rubato i dati

Gli hacker hanno rubato i dati di Campari Group, esfiltrandoli, cioè copiandoli in altri server, e manomettendoli. Questo attacco potrebbe costituire un problema serio per i dipendenti e i collaboratori dell’azienda, esposti a un uso improprio dei dati personali e a tentativi di phishing frode.

Potrebbero essere stati alterati anche i codici Iban per i pagamenti, con conseguenti ritardi per gli stipendi dei lavoratori. Fonte : Qui Finanza

Ragnar Locker comincia a diffondere i dati rubati a Campari

Il gruppo del cybercrime dietro al ransomware Ragnar Locker ha cominciato a diffondere i dati rubati a Campari. Lo ha fatto sul suo blog, con due archivi scaricabili solo tramite browser Tor. Lo ha denunciato l’esperto di cybersecurity Roberto Catalano. Secondo quanto fanno trapelare i criminali sono stati resi disponibili documenti con i nomi degli impiegati, accordi NDA e file aziendali. Fonte : difesaesicurezza.com

Attacco del doppio riscatto, tutti i danni per le aziende colpite

Un’azienda colpita da questo attacco – crittazione, furto e minaccia di pubblicazione – subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del GDPR (regolamento Europeo sul trattamento dati ) Fonte : cybersecurity360.it

Italian liquor giant Campari Group recently suffered a successful Ragnar Locker ransomware attack that involved hackers exfiltrating up to 2TB of company data that included bank statements, employee records, and celebrity agreements.

On Tuesday, Campari Group issued a statement about the cyber attack, stating that the attack presumably took place on 1st November and forced it to quickly isolate its computer systems and servers to prevent the malware from spreading across the entire network.

“The company has implemented a temporary suspension of IT services, as some systems have been isolated in order to allow their sanitation and progressive restart in safe conditions for a timely restoration of ordinary operations. At the same time, an investigation into the attack was launched, which is still ongoing,” the company said.

A ransom note sent by the Ragnar Locker ransomware gang to the Campari Group was recently accessed by Bleeping Computer who said the note was discovered by security researcher Pancak3. In the note, the hacker group said it exfiltrated more than 2TB of company data that included bank statements, employee records, celebrity agreements, licensing certificates, government letters, accounting files, and agreements and contracts with importers, resellers, and distributors.

The Ragnar Locker gang said it expected to company to quickly contact it via live chat to make a deal, failing which it would either publish all the stolen data or sell the data through an auction to third parties. Campari Group was also promised “a very special price” by the hackers if it contacted them within two days of receiving the note.

Commenting on the Ragnar Locker attack targeting Campari Group’s servers, Raif Mehment, VP EMEA at Bitglass said that for Campari Group, not only is there the demand of $15 million (should they choose to pay the ransom) but there is the cost of downtime, lost sales opportunities, damage to brand reputation and potential fines for non-compliance that could come into play.

“Ransomware is one of the fastest-growing malware threats and this case is just one of many that demonstrates that most companies today are not prepared for a ransomware attack – let alone disaster recovery after the fact”.

Source: teiss.co.uk

una protezione dal cyber risk avviene attraverso il risk management e con polizze assicurative CYBER RISK . Per informazioni GOLINUCCI srl cyber-risk@golinucci.it

cyber risk

HOTEL & CYBER RISK : CLIENTI TENUTI “IN OSTAGGIO” DA HACKER

Un albergo tenuto in ostaggio da un gruppo di hacker sulle alpi austriache. L’atmosfera è degna delle migliori fantasie di Ian Fleming, ma non si tratta del primo caso e non sarà neanche l’ultimo. Stavolta è toccato al Romantik Seehotel Jaegerwirt, un lussuoso albergo con vista mozzafiato sul lago Turracher See, in Austria. I suoi ospiti sono rimasti chiusi fuori dalle stanze, senza la possibilità di poter rientrare, fino al pagamento di un riscatto.

Il management dell’hotel ha deciso di rendere pubblica la faccenda perché sono in parecchi gli albergatori raggiunti da minacce del genere. «La struttura era completamente prenotata e con 180 ospiti non avevamo altra scelta che cedere – ha spiegato il Managing Director Christoph Brandstaetter ». Si tratta del terzo attacco informatico che, questa volta, è riuscito a prendere il controllo dell’intero sistema di accesso alle camere. Un duro colpo, scagliato proprio nel primo weekend della stagione invernale, che ha portato al blackout di tutti i computer dell’albergo, mettendo fuori uso anche il sistemi di prenotazione e cassa.

pexels-photo-3771087

I pirati hanno promesso di ripristinare il sistema solo in cambio di un pagamento in Bitcoin di 1500 euro. «Tornare alla normalità dopo il primo attacco di quest’estate ci è costato diverse migliaia di euro» ha spiegato il management .Via il dente, via il dolore? Non proprio. «Ogni euro pagato a questi ricattatori ci fa male. Sappiamo che altri colleghi sono stati attaccati nello stesso modo». L’albergo, che esiste da 111 anni, sta prendendo in considerazione l’idea di ripristinare le vecchie serrature, «Proprio come al tempo dei nostri bisnonni». Fonte :Il Messaggero

Contro gli attacchi di ” ransomware” come quello sopra descritto, che trasmette virus nella rete informatica dell’hotel, blocca i dati e richiede un riscatto, esiste la polizza assicurativa CYBER RISK , che copre molti rischi, che sono la causa di incidenti “cyber” : nella tabella sottoriportata la statistica delle cause di “cyber incidents” nel settore alberghiero/hospitaly ( Fonte Chubb Cyber Index) .

Per il 24% dei casi i danni derivano da hacker ; per il 17% da Frodi / Abusi; per il 16% da Malware (software malevolo) che si introduce nella rete informatica ; per il 13% a causa di attacchi Social ( phising, blackmail,..) e Fisici (perdita dei beni informatici, devices ), per il 12% per Errori Umani , per il 6% Altre cause.

cyber-hotel

Golinucci Srl, broker assicurativo specializzato da 7 anni  nelle coperture assicurative contro il CYBER RISK, offre soluzioni articolate e personalizzabili per garantire:

  • Responsabilita’ Civile del Titolare  e/o Responsabile del Trattamento
  • Perdita di Dati – Interruzione dell’Attività – Ripristino del Sistema Informatico dell’Azienda
  • Crimine Informatico come Estorsione, estendibile al Trasferimento Fraudolento di Fondi

Per saperne di piu’ : cyber-risk@golinucci.it

https://www.golinucci.it/CR1

https://www.golinucci.it/prodotti-e-servizi/per-le-aziende/cyber-risk