L’Ordine degli Psicologi della Regione Lombardia è stato sanzionato dal Garante per la protezione dei dati personali con una multa di 30.000 euro.
La decisione è arrivata in seguito a una complessa vicenda di data breach, che ha evidenziato la mancanza di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati dall’Ordine.
L’Attacco Ransomware e le Conseguenze della Violazione
L’intervento del Garante è scaturito da alcuni reclami e dalla stessa notifica di data breach effettuata dall’Ordine. Quest’ultimo aveva dichiarato di essere stato vittima di un sofisticato attacco ransomware condotto da un gruppo di cybercriminali. La violazione ha permesso un accesso abusivo alla rete informatica dell’Ordine, comportando la cifratura e l’esfiltrazione di numerosi documenti.
Tra i dati compromessi, di particolare rilevanza e delicatezza, vi erano:
- Dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari.
- Dati di numerosi pazienti, inclusi minori, e di altre persone a vario titolo coinvolte.
- Dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati.
La divulgazione di tali informazioni ha esposto gli interessati a gravi rischi, tra cui discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del rifiuto dell’Ordine di pagare il riscatto, i cybercriminali hanno provveduto a pubblicare i dati esfiltrati sul dark web. Fortunatamente, la disponibilità e l’integrità dei dati personali non sono state compromesse grazie all’efficace recupero tramite le procedure e i sistemi di backup.
Le Inadeguatezze Rilevate e la Motivazione della Sanzione
Dall’istruttoria condotta dal Garante è emerso chiaramente che l’Ordine degli Psicologi della Regione Lombardia non aveva adottato misure adeguate per rilevare tempestivamente le violazioni dei dati personali e per garantire la sicurezza dei propri sistemi di trattamento. La sanzione di 30.000 euro è stata comminata tenendo conto della gravità della violazione e, in particolare, della natura estremamente delicata dei dati personali coinvolti.
Nonostante la gravità della situazione, il Garante ha riconosciuto la collaborazione dell’Ordine. Quest’ultimo ha infatti comunicato di aver già adottato ulteriori misure di sicurezza per prevenire futuri attacchi e per migliorare complessivamente la protezione dei dati personali trattati.
Questo episodio sottolinea ancora una volta l’importanza per enti e organizzazioni di investire in sistemi di sicurezza informatica robusti e in procedure di gestione dei dati che siano in linea con le normative sulla protezione dei dati personali, in particolare quando si trattano categorie di dati sensibili.