Data breach e GDPR: LulzSecITA dichiara di aver attaccato la rete del San Raffaele di Milano. L’ospedale smentisce. Cosa fare in questi casi?

Tutti ricorderete il misterioso “attacco hacker” che ad inizio Aprile 2020, in piena emergenza Covid,  era stato indicato come causa dei problemi di accesso al sito dell’ INPS. In quell’occasione, i vari team di esperti di sicurezza informatica e di hacking etico, avevano subito dichiarato di essere estranei all’accaduto.

Stavolta invece è stato proprio il team di hacktivisti  LulzSecITA  ad aver dichiarato di aver attaccato nelle scorse settimane, il sistema informatico dell’ ospedale San Raffaele di Milano (struttura nota a livello internazionale) tramite i propri social.

Sul proprio  profilo twitter, LulzSecITA     pubblica numerose foto, come questa per dimostrare di essere effettivamente in possesso di informazioni (tra cui dati pesonali e dati particolari, o “sensibili” per usare la definizione usata nella normativa privacy del 2003), contenute nei database del sistema ed addirittura di essere in possesso di informazioni sulla rete LAN della struttura vittima del data breach.

L’ Ospedale San Raffaele, secondo quanto riportato da alcune testate, ha smentito l’attacco, precisando che quei dati diffusi sui social si riferiscono ad un tentativo di intrusione avvenuto nei mesi scorsi, che non ha comportato l’accesso a dati sensibili.

Al di là dell’episodio riportato, alla luce del regolamento UE 679/2016 (GDPR) , quello che è avvenuto un data breach, cioè una violazione del sistema di sicurezza che comporta ,accidentalmente o in modo illecito, la distruzione, la modifica,la perdita,, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Questa situazione , che si può verificare anche nel sistema informatico più moderno ed aggironato, nel glossario del GDPR viene appunto indicata come Data Breach e viene gestita seguendo una procedura specifica.

Cosa fare in caso di data breach?

Secondo il GDPR (art 33) , in caso di data breach, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.)  senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Si può facilmente intuire che la segnalazione in questi casi non è facoltativa ma obbligatoria e non si può far finta di nulla. Oltre all’art 33 del GDPR, in caso di data breach che potrebbero comportare rischi  per i diritti e le libertà delle persone fisiche ,il titolare comunica senza ritardo agli interessati quanto è accaduto (rispettando i criteri indicati nell’art 34 del GDPR). Anche questa operazione non è facoltativa e deve essere svolta in tempi rapidi. Non occorre temere una perdita d’immagine, anzi.  La comunicazione al Garante ed agli interessati, permette di evitare consegnuenze futuri ben peggiori.

In queste operazioni di notifica, chiaramente vengono coinvolti anche i  responsabili della sicurezza informatica della struttura e il DPO, che potranno dare un contributo importante per quantificare l’entità dei danni subiti ed individuare le contromisure da adottare.