Attacco informatico ai danni di un’Azienda sanitaria abruzzese: necessario avvertire i soggetti coinvolti della accertata violazione di dati personali
Il ‘Garante per la privacy’ ha ingiunto all’Azienda sanitaria abruzzese di comunicare il ‘data breach’ a tutti i soggetti coinvolti, senza ritardo e comunque entro quindici giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi
Ultimatum del ‘Garante per la privacy’ alla ‘Asl 1 - Avezzano Sulmona L’Aquila’, che ha quindici giorni di tempo per comunicare la violazione di dati personali subita ai soggetti che sono stati coinvolti dal ‘data breach’. Ciò a seguito dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo la violazione che ha interessato l’Azienda sanitaria abruzzese. Quest’ultima ha prima notificato al ‘Garante’ di aver subito un attacco tramite un programma informatico dannoso e poi, dopo una richiesta di informazioni del ‘Garante’, ha rappresentato il sospetto della fuoriuscita di dati personali (anche genetici, relativi alla salute, a reati e a condanne penali ), informando i soggetti coinvolti ma facendolo solo tramite la pubblicazione di comunicati sul proprio sito web istituzionale. Il ‘Garante’ chiarisce che la normativa prevede, nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone, l’obbligo di comunicazione, senza ingiustificato ritardo, del ‘data breach’ al soggetto coinvolto, ma l’informazione deve essere differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione. Secondo il ‘Garante’, però, le misure intraprese dall’Azienda sanitaria abruzzese non consentono di informare efficacemente tutti i soggetti coinvolti, specialmente quelli per cui il rischio è stato valutato come critico o alto. Proprio per questo, è stato ingiunto all’Azienda sanitaria abruzzese di comunicare il ‘data breach’ a tutti i soggetti coinvolti, senza ritardo e comunque entro quindici giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi. La comunicazione dovrà essere inviata individualmente ai soggetti che rientrano nelle categorie di rischio ‘critico’ e ‘alto’, mentre nel caso di rischio ‘medio’ e ‘basso’ l’Azienda sanitaria potrà predisporre un avviso da diffondere sulla stampa locale, in televisione e sui social network. (Provvedimento dell’8 giugno 2023 del Garante per la protezione dei dati personali)