Il Garante sanziona una casa di cura “bucata” dagli hacktivisti per non aver adottato sufficienti misure di protezione dei dati sanitari.
Antefatto: la violazione dei dati personali
Una casa di cura notifica al Garante per la protezione dei dati personali una violazione di dati sanitari. Il gruppo di hacktivisti LulzSec_ITA viola il profilo Twitter aziendale e vi pubblica immagini radiografiche riconducibili alla struttura. «Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da password di default. Che schifo», il messaggio pubblicato. La fondazione che gestisce la casa di cura comunica al Garante il data breach, non appena informata sui fatti dalla polizia postale.
Emerge che la casa di cura aveva in uso un un software tramite il quale i medici accedevano da remoto ai documenti diagnostici degli ospiti. Tale sistema è stato implementato come misura anti assembramento per fronteggiare il Covid19. Il problema è che a tale portale si accedeva con l’uso di password di default. Dai log è emerso che gli hacktivisti di LulzSec avevano realmente avuto accesso alle radiografie di due soli pazienti, senza possibilità di vedere i referti perché questi, al contrario delle immagini diagnostiche, non erano disponibili online.
Nella notifica, la Casa di Cura dichiara che non sussistono i presupposti per la comunicazione di cui all’art34 GDPR ritendendo le conseguenze
“nulle per gli interessati, in quanto l’accesso ha consentito di individuare solo nome e cognome, ma non altri dati tali da individuare il soggetto in modo univoco; nemmeno il nome della Fondazione Borghi è stato scoperto.
Nel frattempo la fondazione che gestisce la casa di cura si rivale legalmente sul responsabile del trattamento.
User Admin, pass Admin
l Garante si attiva e avvia l’istruttoria. La Casa di Cura, tramite la documentazione fornita dal responsabile del trattamento, dichiara che
“questo gruppo [gli hacker, n.d.a.] è riuscito ad entrare nell’IP pubblico […] nello specifico non è stata usata per la configurazione la porta standard “80” ma la una porta NON STANDARD “88”, solo arrivando a questo punto ha trovato l’accesso “admin” “admin” […] Il radiologo ha sempre usato questa password per gli accessi”
Appena venuto a conoscenza della violazione, il responsabile del trattamento ha provveduto alla modifica delle password di default e all’adozione del protocollo di comunicazione sicuro HTTPS.
Per approfondire > 400 milioni di immagini medico / diagnostiche esposte senza protezione sul web: Italia maglia nera in Europa
Per approfondire > Ricordate la notizia dei 730 milioni di immagini sanitarie esposte in Internet? Ecco, la situazione è peggiorata
L’istruttoria del Garante scopre gravi criticità
Si legge nel provvedimento del Garante:
“il mancato utilizzo di strumenti di crittografia per la trasmissione dei dati e l’accesso al software MED Dream in assenza di controlli sulla qualità delle password utilizzate -per utenze tecniche e per utenze in uso a soggetti autorizzati- , di misure per la modifica obbligatoria delle stesse al primo utilizzo o, comunque, periodicamente, nonché di meccanismi di blocco automatico delle utenze, non risultavano conformi alle disposizioni di cui all’art. 5, par. 1, lett. f) e all’art. 32 del Regolamento, tenuto conto della natura dei dati in questione (anche relativi alla salute) e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi.
La decisione del Garante: la Casa di cura è comunque responsabile
Nel provvedimento si legge:
“tenuto conto della natura dei dati oggetto di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, si ritiene che l’utilizzo del protocollo http per accedere al software MED Dream, nonché l’assegnazione di un’utenza di tipo amministrativo (admin) e password non robusta (admin) al medico radiologo, non possano essere considerate misure idonee a garantire un adeguato livello di sicurezza”.
Poco conta, secondo il Garante, che il sistema di consultazione delle immagini sia stato installato da remoto durante il lockdown. Il protocollo HTTPS, le configurazioni di accesso al software e la creazione di utenti nominali corrispondenti ai singoli medici sono tutte attività eseguibili anche da remoto, anche nel contesto emergenziale.
Qui il punto si fa interessante: per il Garante
“La circostanza che la società Med Store Saronno s.r.l., quale Responsabile del Trattamento, ha garantito che l’installazione del software MED Dream avrebbe consentito l’accesso da remoto alla diagnostica per immagini, assicurando “la piena compliance al GDPR”, non esonera da responsabilità la Casa di cura, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dalla Società Med Store Saronno s.r.l.”
Il provvedimento: il trattamento dei dati è da considerarsi illecito
Insomma: i dati personali dei pazienti non sono stati protetti con misure tecniche adatte a garantire un idoneo livello di sicurezza. Ciò ha contribuito al creare le premesse che hanno reso possibile la violazione dei dati personali ad opera di LulzSec_ITA. Di questa violazione sono responsabili non soltanto la società che ha fornito il software MED Dream, ma anche la Casa di Cura che non ha provveduto ad adottare le dovute misure. Il trattamento di questi dati è da ritenersi quindi illegittimo perchè non ricorrono i presupposti di sicurezza.
D’altra parte, date le correzioni a posteriori della violazione ad opera di LulzSec_ITA, il trattamento illecito di dati sanitari è da ritenersi concluso.
Il Garante, tenuto di conto che:
- l’episodio è isolato e dovuto al comportamento doloso di un soggetto terzo;
- la responsabilità della Casa di Cura è di natura colposa ed assume la forma della colpa lieve;
- la violazione ha riguardato dati sanitari, ma non ha interessao referti ma solo pohissimi fotogrammi;
- gli attaccanti hanno pubblicato le immagini su twitter oscurando tutti i dati utili a identificare il paziente;
- la Casa di Cura si è attivata immediatamente una volta venuta a conoscenza della violazione
- la necessità dell’adozione di un sistema di accesso remoto alle immagini diagnostiche a causa del contesto emergenziale pandemico
ha emesso sanzione per un ammontare di 30.000 euro per la violazione degli artt.5 e 32 del GDPR. Il Garante ha anche disposto, a fini sanzionatori, la pubblicazione del provvedimento sul proprio sito istituzionale.
Qui è disponibile il provvedimento
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!