Tre mesi fa il Garante della Privacy inchiodò la Asl 1 alle proprie responsabilità. A che punto è la notte?

Alfio Di Battista
Alfio Di Battista
4 Minuti di lettura

Per il Garante, le misure prese dall’Azienda Sanitaria non avrebbero informato in maniera efficace gli interessati, specialmente quelli per cui il rischio fu valutato come “critico” o “alto”. Dopo oltre tre mesi, a che punto siamo? Che fine hanno fatto i dati sensibili di 180.000 marsicani?

Avezzano – Dopo lo scandalo dell’attacco hacker che nella scorsa primavera mise in ginocchio la Asl 1 Avezzano – Sulmona – L’Aquila, il Garante per la Privacy, intervenne, seppur non tempestivamente, con un provvedimento, il n° 255 dell’8 giugno, col quale all’azienda sanitaria fu recapitata l’intimazione a comunicare entro 15 giorni, la violazione dei dati personali a tutte le persone coinvolte.

Ciò quanto fu stabilito, a seguito dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo l’attacco informatico. La Asl1, dal suo canto, notificò all’Autorità di aver subito un attacco ransomware, palesando “il sospetto di esfiltrazione” – bontà loro – di dati personali di natura genetica oltre che relativi alla salute e a condanne penali e reati, ma ciò lo fece solo dopo l’esplicita richiesta del Garante.

Nella circostanza, il Garante non ritenne sufficiente la pubblicazione di comunicati sul sito della ASL1 perché rivolti al pubblico indistinto. Infatti, se la violazione assume un rischio per i diritti e le libertà delle persone, la normativa privacy prevede l’obbligo di comunicazione direttamente all’interessato, senza ingiustificato ritardo.

L’informazione inoltre, va differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione. Le misure adottate dall’Azienda Sanitaria guidata da Ferdinando Romano, secondo il Garante, non consentirono di informare efficacemente tutti gli interessati, specie coloro per i quali il rischio fu valutato come “critico” o “alto”.

Il Garante impose quindi all’Azienda Sanitaria di comunicare la violazione dei dati personali a tutti gli interessati entro i successivi 15 giorni dalla notifica dell’intimazione, indicando la natura e le possibili conseguenze della violazione. La ASL1 avrebbe inoltre dovuto comunicare i riferimenti del responsabile della protezione dei dati (RPD) e le misure adottate dopo l’attacco hacker per attenuarne tutti i possibili effetti negativi.

La comunicazione sarebbe dovuta essere stata inviata agli interessati che rientravano nelle categorie a rischio “critico” e “alto” in modalità individuale. Mentre nel caso di rischio “medio” e “basso” l’Asl avrebbe potuto predisporre un avviso da diffondere sulla stampa locale, nelle tv e sui social network.

La Asl1 avrebbe dovuto inoltre notificare al Garante le iniziative intraprese, mentre l’Autorità si sarebbe riservata ogni altra decisione circa la violazione dei dati, al termine dell’istruttoria, finalizzando il tutto ad un successivo approfondimento per definire e circoscrivere le varie responsabilità.

Dopo le “raccomandazioni” del Garante alla ASL1, nel giugno scorso, un velo di oblio sembrerebbe essere sceso sulla vicenda. Eppure ancora in questi giorni, file lunghissime avrebbero costretto gli utenti a interminabili attese. Molti lamentano l’impossibilità di effettuare prenotazioni o scaricare i referti online. E comunque, i dati sensibili dei 180.000 marsicani assistiti – si fa per dire – che fine hanno fatto?

Condividi questo articolo