Il Garante Privacy ha emesso sanzioni nei confronti di LAZIOcrea, Regione Lazio e ASL Roma 3, in seguito all’attacco informatico al sistema sanitario regionale avvenuto quasi tre anni fa.
Queste entità sono ritenute responsabili per gravi violazioni della normativa sulla privacy, principalmente dovute all’uso di sistemi obsoleti e alla mancanza di adeguate misure di sicurezza per rilevare tempestivamente le violazioni dei dati personali e garantire la sicurezza delle reti informatiche.
La vicenda
Nella notte tra il 31 luglio e il 1° agosto del 2021, un attacco informatico ha creato disagi al sistema sanitario regionale del Lazio, causando un grave data breach che ha compromesso la sicurezza dei dati personali di milioni di assistiti.
Durante l’attacco informatico, la mancanza di adeguatezza nella sicurezza dei sistemi ha impedito alle strutture sanitarie regionali di accedere al sistema e fornire servizi ai pazienti.
Circa 180 server virtuali sono stati resi inaccessibili e LAZIOcrea ha spento tutti i sistemi, senza poter individuare quelli compromessi o evitare la propagazione del malware.
Secondo quanto pubblicato oggi dall’autorità italiana per la protezione dei dati, le conseguenze di questo attacco hanno portato a una serie di sanzioni da parte del Garante, delineando responsabilità e gravi violazioni della normativa sulla privacy.
Le accuse principali da parte del Garante riguardano:
- Regione Lazio: è stata giudicata responsabile di non aver supervisionato adeguatamente LAZIOcrea, trascurando di assicurare un livello di sicurezza adeguato ai rischi e di proteggere i dati fin dalla fase di progettazione, come prescritto dalla legislazione sulla privacy.
Inoltre, essendo titolare del trattamento, sarebbe stato opportuno esercitare una sorveglianza maggiore su LAZIOcrea – che agisce come responsabile del trattamento – al fine di garantire un livello di sicurezza adeguato ai rischi e la protezione dei dati fin dalla fase di progettazione;
- LAZIOcrea: è stata oggetto di critiche per non aver reagito tempestivamente all’attacco informatico e alle sue conseguenze. In particolare, la società ha deciso di spegnere tutti i sistemi, ma senza essere in grado di identificare quelli effettivamente compromessi. Questa mancanza ha aggravato notevolmente l’impatto dell’attacco, causando significativi disagi per le strutture sanitarie regionali e i loro assistiti.
Sanzioni
In generale, entrambe le realtà sono state considerate responsabili circa la mancanza adozione di misure di sicurezza per prevenire e rilevare, in maniera tempestiva ed efficace, le violazioni dei dati personali a garantire la sicurezza delle reti informatiche.
Inoltre, dal punto di vista della protezione dei dati, il Garante per la privacy ha evidenziato che l’assenza di pianificazione di azioni necessarie per gestire correttamente il data breach e le sue conseguenze – soprattutto nei confronti dei soggetti per i quali agisce come responsabile del trattamento – rappresenta una grave violazione delle disposizioni del GDPR.
Di fronte a queste gravi violazioni, il Garante Privacy ha inflitto sanzioni significative: 271.000 euro a LAZIOcrea, 120.000 euro alla Regione Lazio.
Invece, l’Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, ha ricevuto un’ammenda pari a 10mila euro.