Comunicazione di violazione dei dati personali agli interessati, ai sensi dell'art. 34 del GDPR, conseguente ad attacco hacker ai sistemi informativi di Synlab Italia srl
29 luglio 2024
Desideriamo informarvi che, a seguito della nota vicenda relativa all’incidente di sicurezza che ha riguardato i sistemi informativi di Synlab Italia srl, è stata rilevata una violazione dei dati personali che potrebbe riguardarvi. Casa di Cura Città di Rovigo srl, infatti, è Titolare del trattamento dei dati personali oggetto di violazione poiché si avvale di Synlab Italia srl quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, per il servizio di esecuzione di test di Laboratorio.
Descrizione della violazione:
Come riportato nelle diverse comunicazioni e dai mass media nazionali, Synlab Italia srl, in data 18 aprile 2024, ha riscontrato un accesso non autorizzato ai propri sistemi informativi che ha comportato la compromissione di dati personali. Più precisamente è stata vittima di un attacco cybercriminale di tipo ransomware, che ha comportato la sottrazione illecita (c.d. esfiltrazione) di dati conservati da Synlab, da parte di una organizzazione cybercriminale denominata “Black Basta”.
Nella fattispecie concreta, i dati personali oggetto di violazione di cui Casa di Cura Città di Rovigo è titolare del trattamento sono relativi ad alcune prestazioni di laboratorio erogate da Synlab tra Gennaio 2015 e Febbraio 2024. Includono, dunque, informazioni come dati identificativi e relativi alla salute.
Si ritiene opportuno precisare che la perdita di riservatezza non ha riguardato la totalità delle informazioni dei soggetti interessati (pazienti) ma solo un sotto-insieme in riferimento all’arco temporale sopra indicato.
Inoltre, in data 13 maggio 2024 i cyber-criminali hanno diffuso sul c.d. dark web i dati sottratti illecitamente.
Rischi per gli interessati:
Non è possibile escludere che la violazione dei dati potrebbe comportare rischi per la vostra privacy e sicurezza, in particolar modo potrebbero verificarsi tentativi di furto d'identità o tentativi di frode.
Misure adottate:
Al momento della violazione, così come previsto dall’accordo ex art. 28 GDPR tra Casa di Cura Città di Rovigo (Titolare del trattamento) ed il fornitore Synlab Italia srl (Responsabile del trattamento), erano già state adottate misure di sicurezza sia di carattere tecnico che organizzativo. A seguito della notizia dell’incidente, il team interno IT e il team esterno specializzato in cybersecurity hanno provveduto a mettere in sicurezza il sistema, analizzando lo stato dell'infrastruttura IT, isolando e neutralizzando il malware. Successivamente Synlab ha rimesso in funzione in modo graduale gli asset non interessati dall'attacco o rispetto ai quali il malware è stato debellato.
Consigli per gli interessati:
In attesa di ulteriori analisi che potrebbero permettere a Synlab Italia srl di risalire all’identità dei soggetti effettivamente interessati ed al fine di salvaguardare i diritti e libertà fondamentali dei soggetti interessati, si indicano di seguito alcuni/e suggerimenti/misure di contenimento per diminuire le probabilità dei rischi derivanti dalla violazione (es. furto d’identità). Il titolare del trattamento raccomanda a tutti i potenziali interessati nel periodo di riferimento precedentemente indicato di porre maggiore attenzione, rispetto all’ordinario, a qualunque interazione sospetta (online ma anche offline).
In tal senso, si invita a prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:
PHISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
VISHING
https://www.garanteprivacy.it/temi/cybersecurity/vishing
SMISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
SIM SWAPPING
https://www.garanteprivacy.it/home/docweb/-/docwebdisplay/docweb/9572143
https://www.garanteprivacy.it/home/ricerca/-/search/key/sim%20swapping
Gli...
