Skip to content

Garante Privacy Lazio

Le mini multe del Garante alla Regione Lazio per i casini informatici

Arrivano dal Garante Privacy tre sanzioni per l'attacco hacker ai sistemi informatici della Regione Lazio nel 2021. Ecco gli importi

Attacco cyber ai sistemi informatici della Regione Lazio remember? Ora arrivano le multe del Garante Privacy.

Dovranno pagare rispettivamente 271mila, 120mila e 10mila euro LAZIOcrea (la società che gestisce i sistemi informativi regionali), la Regione Lazio e la ASL Roma 3. È quanto ha stabilito il Garante Privacy nei procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Lo rende noto l’Autorità garante dei dati personali presieduta da Pasquale Stanzione nella newsletter del 10 aprile 2024.

Gli hacker avevano messo ko il sito della Regione, quello del Consiglio regionale e il portale di prenotazione dei vaccini contro il Covid-19, gestiti da Lazio Crea. All’epoca quest’ultima aveva dichiarato che i dati della sanità regionale erano in sicurezza, non sono stati violati e catturati, così come i dati finanziari e banca dati bilancio. Tuttavia, come sottolinea la nota del Garante, “Il data breach – causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione – ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi.”

Dopo le indagini e gli accertamenti del caso, sono scattate quindi le sanzioni pecuniarie nei confronti dei tre soggetti responsabili come previsto dal Regolamento (UE) 2016/679. Secondo la normativa sulle violazioni di dati personali (data breach), sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Quindi a LAZIOcrea (la società che gestisce i sistemi informativi regionali), Regione Lazio e ASL Roma 3, il Garante Privacy ha comminato multa complessiva di 400mila euro.

Basti pensare che solo il mese scorso la stessa authority ha comminato una multa di 2,8 milioni di euro alla banca UniCredit per una violazione di dati personali avvenuta nel 2018, che aveva coinvolto migliaia di clienti ed ex clienti.

Tutti i dettagli.

I RILIEVI DEL GARANTE PRIVACY SULLE ATTIVITÀ DELLA REGIONE LAZIO

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, “pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche” spiega il Garante.

In particolare, “l’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware” spiega l’authority.

LE COLPE DI LAZIOCREA

Inoltre, secondo il Garante Privacy “LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte)”.

LA RESPONSABILITÀ DELLA REGIONE LAZIO

Da parte sua la Regione Lazio, in qualità di titolare del trattamento, “avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione”.

LA SANZIONE ALLA ASL ROMA 3

Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato la sanzione di 10mila euro.

LA POSIZIONE DELL’AUTHORITY

Infine, l’Autorità ha precisato che nel “definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio”.

Torna su