Nessun riserbo sull’attacco hacker, il Garante bacchetta la Asl

di Alessio Ludovici | 16 Giugno 2023 @ 05:00 | CRONACA
garante asl
Print Friendly and PDF

L’AQUILA – Nessun riserbo sul data breach, lo fa intendere chiaramente il Garante per la privacy che ieri in merito all’attacco hacker che ha colpito la Asl dell’Aquila ha diramato una nota giudicando insufficienti le comunicazioni fatte dall’azienda e intimato di provvedere alla comunicazione agli interessati entro 15 giorni. 

Si legge nella nota: “La Asl 1 Avezzano Sulmona L’Aquila ha 15 giorni di tempo per comunicare alle persone coinvolte la violazione dei propri dati personali. È quanto stabilito dal Garante privacy, a seguito dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo il data breach che ha interessato l’Azienda sanitaria abruzzese. La Asl, che aveva notificato all’Autorità di aver subito un attacco ransomware, solo 19 maggio aveva provveduto ad un comunicazione sull0′esfiltrazione dei dati personali che fino allora non aveva mai confermato.

Il 24 maggio la richiesta di chiarimenti del Garante che quindi, dopo le risposte dell’azienda, l’8 giugno emette il provvedimento contro la Asl L’Aquila: “Nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone – si legge sempre nella nota – la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo. L’informazione però deve essere differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione”. 

Quindi la bocciatura: “Le misure intraprese dall’Azienda non consentono invece – secondo il Garante – di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio è stato valutato come “critico” o “alto”. L’Autorità ha quindi ingiunto all’Azienda di comunicare il data breach a tutti gli interessati, senza ritardo e comunque entro 15 giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati (RPD) e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi. La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potrà predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network. La Asl dovrà inoltre notificare al Garante le iniziative intraprese. L’Autorità si riserva ogni altra decisione al termine dell’istruttoria sul data breach, finalizzata ad approfondire l’accaduto e a definirne le responsabilità”. 

Una vera doccia fredda per la Asl che solo dopo settimane aveva fatto una comunicazione, sul proprio sito internet, agli interessati ma senza indicare in modo evidentemente sufficiente, la natura e le possibile entità dei dati e dei rischi. 

La comunicazione all’interessato è uno strumento utile, ne abbiamo parlato più volte all’indomani dell’attacco, soprattutto per mettere il cittadino nelle condizioni di tutelarsi. Un concetto ribadito chiaramente nel provvedimento del Garante: “la comunicazione agli interessati è una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware”.

O ancora: “Considerata la particolare delicatezza di alcuni dati personali oggetto di violazione e la condizione di vulnerabilità e fragilità degli interessati, che possono rendere particolarmente gravi le conseguenze nei confronti delle persone fisiche (comportando, a esempio, discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali), la comunicazione agli interessati richiede una graduazione e una differenziazione delle modalità con cui viene effettuata, del suo tenore e contenuto informativo, che dipendono sia da una valutazione preventiva del differente potenziale lesivo che la violazione comporta sulla platea di assistiti coinvolti, sia dai diversi canali di contatto utilizzabili.

L’avvocato: “I cittadini hanno diritto di sapere”

Ne abbiamo parlato con l’Avvocato Angelica Carnevale, che si occupa anche di tutela della privacy. “Il provvedimento del Garante è solo il primo su questa vicenda, perché si è riservato di adottare le sanzioni alla ASL alla fine dell’istruttoria, ma non è un fulmine a ciel sereno: nella richiesta di informazioni privacy che ho presentato al Responsabile Protezione Dati della ASL, avevo contestato proprio la mancanza di una comunicazione agli interessati prevista dall’art. 34 del Regolamento Europeo Privacy ed è magicamente comparsa due giorni dopo sul sito istituzionale. Ora il Garante Privacy ha confermato questa inadempienza”.

“Per uscire dal legalese – prosegue l’Avvocato Carnevale – vorrei ricordare che i c.d. “interessati” sono le persone cui i dati personali si riferiscono, quindi parliamo di pazienti, dipendenti, fornitori e chiunque altro abbia a che fare con la ASL. È evidente che i pazienti sono gli interessati che vivono i più alti rischi. Infatti, io stessa e i miei familiari, come pazienti, abbiamo diritto di sapere e ho ricevuto mandato per approfondire diritti e responsabilità: abbiamo cominciato ad esaminare i dati scaricabili dal dark web, riscontrando la diffusione gravissima di dati delicati, come ad esempio quelli dei pazienti affetti da  HIV”

“A tal proposito, vorrei sfatare un mito che si legge sul sito della ASL e ripreso in modo scomposto dal primo comunicato del Garante; non si commette alcun reato a scaricare i dati per consultarli, a differenza di quello che la comunicazione istituzionale vuol far credere. Si commetterebbe un illecito se, dopo averli scaricati, li pubblicassimo su internet o sui social o li inviassimo su Whatsapp agli amici”.

“Voglio anche precisare – prosegue l’avvocato – che la faccenda è complessa, i danni sono ancora da valutare, non esiste un automatico diritto al risarcimento del danno e ci vorrà tempo prima di mettere in fila tutte le conseguenze: certo è che sto già preparando un reclamo al Garante Privacy, perché la ASL ha risposto in modo insufficiente alla mia richiesta di notizie chiare.”

Il commento politico

“Avevamo ragione – il commento di Giorgio Fedele, consigliere regionale M5S – a richiamare costantemente la Asl 1 ai propri doveri per quanto concerne il diritto alla privacy dei cittadini”. “Le uniche comunicazioni ufficiali della Asl1 sono state esclusivamente mirate a difendere il proprio operato, per tentare di zittire la stampa e per chiedere ai cittadini di non accedere nel dark web”.


Print Friendly and PDF

TAGS