Il Garante Privacy detta le regole per la Asl 1 abruzzese dopo che centinaia di giga di dati sanitari dei cittadini di tutta la provincia dell’Aquila sono stati pubblicati in seguito ad attacco hacker.
La Asl 1 Avezzano Sulmona L’Aquila ha 15 giorni di tempo per comunicare alle persone coinvolte la violazione dei propri dati personali. È quanto ha stabilito l’autorità presieduta da Pasquale Stanzione, a seguito dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo il data breach che ha interessato l’Azienda sanitaria abruzzese.
Nella notte del 3 maggio si è registrato il blocco del sistema informatico della Asl 1 a seguito di un attacco hacker, aveva subito ammesso l’azienda sanitaria dell’Aquila sul suo sito web. Ma oltre all’emergenza che ha messo in ginocchio il sistema informatico paralizzando servizi e prestazioni dell’Asl 1, è seguita una grave violazione della privacy dei cittadini. Sono infatti online referti ed esami dei pazienti dell’Asl Avezzano-L’Aquila-Sulmona.
E a seguito del data breach, è comparso un nuovo messaggio sul sito dell’Asl 1 Abruzzo in cui l’azienda sanitaria precisava che: “Chiunque acquisisce dati dal dark web e li diffonde on-line o sui social network si rende autore di reato per acquisizione fraudolenta e diffusione illecita di dati personali, penalmente perseguibile”.
Tuttavia, il Garante Privacy ha chiarito che “una comunicazione pubblica, per quanto tempestiva e successivamente aggiornata come quella che l’Azienda sanitaria abruzzese ha pubblicato sul proprio sito web, non può essere realmente efficace per comunicare agli interessati un’esfiltrazione dei loro dati personali in seguito a un attacco ransomware.
Tutti i dettagli.
I RILIEVI DEL GARANTE PRIVACY
La Asl- informa una nota del Garante -, che aveva notificato all’Autorità di aver subito un attacco ransomware, solo dopo una richiesta di informazioni del Garante ha rappresentato il sospetto di esfiltrazione dei dati personali (anche genetici, relativi alla salute e a condanne penali e reati), informando gli interessati tramite la pubblicazione di comunicati sul proprio sito. Nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone, la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo.
COSA DEVE FARE L’AZIENDA SANITARIA AQUILANA
L’informazione però deve essere differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione. Le misure intraprese dall’Azienda non consentono invece – secondo il Garante – di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio è stato valutato come “critico” o “alto”.
L’Autorità ha quindi ingiunto all’Azienda di comunicare il data breach a tutti gli interessati, senza ritardo e comunque entro 15 giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati (Rpd) e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi. La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potrà predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network.
La Asl dovrà inoltre notificare al Garante le iniziative intraprese entro venti giorni dalla data di ricezione del presente provvedimento. A questo proposito, l’Autorità ricorda “che il mancato riscontro alla presente richiesta può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;”.
Infine, il Garante Privacy si riserva ogni altra decisione al termine dell’istruttoria sul data breach, finalizzata ad approfondire l’accaduto e a definirne le responsabilità.
