Le Implicazioni della Sanzione alla Regione Lazio.

Un Caso di Studio sul Rispetto del GDPR e la Certificazione ISO/IEC 27001


Vi ricordate l’attacco informatico alla Regione Lazio nell’agosto del 2021?

A seguito di tale attacco, il Garante della Protezione dei dati ha avviato un’ispezione, il cui esito è stato comunicato con la newsletter del 10 aprile scorso. In essa il Garante ha comunicato che in data   21 Marzo 2024 ha emanato 3 provvedimenti sanzionatori nei confronti rispettivamente di Regione Lazio, LAZIOCrea e la ASL 3 (provv. 10002287, 10002324 e 10002533), mettendo in luce importanti lezioni sui requisiti del GDPR.


La Valutazione della Certificazione ISO/IEC 27001

Dai provvedimenti del Garante c’è sempre da imparare, per orientare le interpretazioni sui requisiti del GDPR.

In particolare, nel provvedimento relativo alla Regione Lazio (provv. 10002287), tra le altre cose il garante fornisce la sua interpretazione sul possesso delle certificazioni volontarie relative al Sistema di Gestione per la Sicurezza delle Informazioni (UNI CEI ISO/IEC 27001:2017):

 “.. con riferimento alle ricorrenti argomentazioni fondate sul possesso, da parte di LAZIOcrea, della certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) in conformità alla norma UNI CEI EN ISO/IEC 27001:2017, con estensione ai controlli della ISO 27017 e ISO 27018, si evidenzia che tale certificazione non rientra, al momento, tra quelle previste dall’art. 42 del Regolamento.

 In ogni caso, la certificazione ai sensi dell’art. 42 del Regolamento, seppur possa essere utilizzata, da titolari o responsabili, come elemento per dimostrare il rispetto degli obblighi del Regolamento, non ne implica automaticamente il rispetto.


Le Limitazioni delle Certificazioni di Sicurezza

 Inoltre, occorre considerare che la certificazione di un SGSI può essere limitata a specifici ambiti (servizi e/o sedi) dell’organizzazione (riportati sinteticamente nel certificato rilasciato dall’organismo di certificazione) e che il processo di certificazione di un SGSI, basato principalmente sui risultati degli audit (verifiche documentali e sul campo), contiene elementi di incertezza sia perché legato al concetto di rischio sia perché svolto su un campione dei processi che l’organizzazione, ferma restando la sua buona fede, sottopone a certificazione.

La certificazione di un SGSI basato sulla ISO/IEC 27001, quindi, non garantisce, di per sé, livelli di sicurezza, controlli o misure di sicurezza stabiliti o fissati a priori, ma assicura l’adozione dei controlli che l'organizzazione ha identificato e ritenuto adeguati sulla base di una propria valutazione del rischio.

 

Il titolare del trattamento, pertanto, quando si avvale di un responsabile del trattamento certificato, secondo meccanismi di certificazione, a prescindere che siano approvati o meno ai sensi dell’art. 42 del Regolamento, dovrebbe sempre verificare se le garanzie offerte dal medesimo responsabile siano efficaci e adeguate ai trattamenti a quest’ultimo affidati”

 

La Regione Lazio, infatti, durante le ispezioni aveva più volte ribadito,  che le misure di sicurezza implementate da LazioCrea erano adeguate perché la società era certificata ISO/IEC 27001.


Responsabilità e Vigilanza Continua

“..con specifico riferimento alle misure adottate dal responsabile, sulla base delle istruzioni impartite del titolare, al fine di assicurare il rispetto degli obblighi di sicurezza di cui all’art. 32 del Regolamento, resta comunque fermo che il titolare rimane responsabile dell’attuazione di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, come richiesto dall’art. 24 del medesimo (cfr. punti 37 e 135).

D’altronde, oltre agli imperativi obblighi di vigilanza, le responsabilità in capo al titolare non si esauriscono con la stipula dell’atto giuridico di cui all’art. 28, par. 3, del Regolamento e con la disposizione delle istruzioni relative al trattamento, ma durano per tutto il tempo in cui il responsabile tratta i dati per suo conto. Pertanto, sia il titolare che il responsabile possono essere oggetto di sanzioni in caso di inadempimento degli obblighi stabiliti dal Regolamento poiché entrambi sono direttamente tenuti ad assicurarne il rispetto (cfr. punto 9 delle citate Linee guida)”

Nel caso di specie, il Garante ha considerato che le misure di sicurezza implementate dalla Regione Lazio, per mezzo di LAZIOCrea, non fossero adeguate al rischio, infatti:

“i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali, anche sulla salute, di milioni di interessati assistiti. Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti anche a categorie particolari. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.”

 In questo scenario, è fondamentale riconoscere che l'essere in possesso di certificazioni come la ISO/IEC 27001 non esonera le organizzazioni dal continuo monitoraggio e aggiornamento delle proprie pratiche di sicurezza. La vicenda della Regione Lazio ci ricorda l'importanza di un approccio proattivo e responsabile verso la protezione dei dati, in cui la certificazione non è vista solo come un traguardo raggiunto, ma come parte di un processo di miglioramento continuo.


Rafforza la tua Conformità al GDPR


📢 Se operi nel settore della gestione dei dati o sei responsabile della sicurezza delle informazioni nella tua organizzazione, è il momento di agire. 

Rivedi e aggiorna le tue pratiche di sicurezza e conformità. 

Non aspettare di essere il prossimo caso di studio: contattami oggi stesso per un audit sulla tua conformità al GDPR e alle norme sulla sicurezza delle informazioni.

 Proteggere i dati non è solo un obbligo legale, ma un dovere etico verso le persone che si affidano a noi per la sicurezza delle loro informazioni perso​nali.


 🚀🔒 Agisci ora per garantire che le tue pratiche siano all'altezza degli standard richiesti. 🚀🔒


Studio Ing. Righetti, Paola Righetti 18 aprile 2024
Condividi articolo
Archivio
La Direttiva NIS2: Cos'è e a chi si applica