top of page
Cerca
Immagine del redattoreGabriele De Luca

Sanzione di € 120mila alla Regione Lazio per violazioni in ambito privacy.

120.000 euro è la sanzione amministrativa comminata dal Garante per la Privacy alla Regione Lazio in ragione di una serie di violazioni in materia di privacy e sicurezza dati.


I fatti risalgono al 2021, quando nella notte tra il 31 luglio e il 1° agosto del 2021 un attacco informatico al sistema sanitario regionale ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni.

Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. 


Il data breach è stato causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione, lasciato inavvertitamente privo di adeguate misure di sicurezza. Insieme alla Regione Lazio sono state sanzionate anche LAZIOcrea e ASL Roma 3.

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità, infatti, è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.


L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).


La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.


In totale dunque le sanzioni sono state 3, per un ammontare di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3 (per approfondire, VEDI PROVVEDIMENTI doc. web n. 100023241000253310002287).

11 visualizzazioni0 commenti

Comments


bottom of page