GARANTE della PROTEZIONE dei DATI PERSONALI – Nota n. 521 del 10 aprile 2024

Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy – Dossier sanitario: il Garante Privacy sanziona una Asl – Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali – Intercettazioni della Procura Ue: ok del Garante Privacy al data base nazionale

Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy

Con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Il data breach – causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione – ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. [VEDI PROVVEDIMENTI doc. web n. 10002324, 10002533, 10002287]

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).

La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.

Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.

Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato la sanzione di 10mila euro.

Dossier sanitario: il Garante Privacy sanziona una Asl

Il Garante Privacy ha sanzionato per 75mila euro una Asl per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). L’Autorità si è attivata a seguito di alcuni reclami e segnalazioni che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dall’azienda sanitaria. In particolare, erano stati segnalati ripetuti accessi al Dse da parte di personale sanitario non coinvolto nel processo di cura dei pazienti. In un caso, una professionista della Asl era infatti riuscita a visionare gli esami di laboratorio dell’ex marito a sua insaputa pur essendo quest’ultimo non in cura da lei.

Dalle verifiche effettuate dall’Autorità è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l’accesso al dossier sanitario. L’accesso al documento era inoltre consentito, per impostazione predefinita, ad una ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.

Il tutto in violazione di quanto stabilito dal Garante Privacy con le “Linee guida in materia di Dossier sanitario” del giugno 2015, con cui l’Autorità ha stabilito che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura” garantendo che l’accesso al dossier sia limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente.

Il Garante Privacy ha infine accertato ulteriori illeciti, tra cui la mancata predisposizione di un sistema di alert, volto ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati al trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi).

Oltre ad applicare la sanzione amministrativa, l’Autorità ha dunque ordinato all’Asl di mettere in atto tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e scongiurare nuovi accessi abusivi.

Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali

Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online.

Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.

Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio – e non i dati del dipendente – cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, (la data di nascita, in caso di omonimia) e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

Nel dare il proprio parere positivo sugli schemi standard di pubblicazione, il Garante tuttavia ha chiesto ad Anac di innalzare il livello di tutela. Ad esempio, nel caso di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le Pa devono evitare di pubblicare dati troppo dettagliati che possano identificare il dipendente e l’ammontare del premio erogato (o non erogato) a suo favore. Potranno invece pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati e all’ammontare dei premi effettivamente distribuiti. Il Garante invita, inoltre, a valutare l’opportunità di prevedere un periodo transitorio per consentire alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web istituzionali.

Intercettazioni della Procura Ue: ok del Garante Privacy al data base nazionale

Via libera del Garante privacy al decreto che istituisce l’archivio nazionale dei verbali e delle registrazioni delle intercettazioni disposte dalla Procura europea (EPPO. European Public Prosecutor’s Office) mediante postazioni individuate in alcune Procure nazionali. L’Autorità ha però chiesto che vengano adottate ulteriori misure tecnologiche a protezione dei dati.

L’EPPO è un’istituzione indipendente dell’Unione europea, operativa dal 1° giugno 2021, con sede in Lussemburgo competente ad indagare e perseguire reati che ledono gli interessi finanziari dell’UE.

Lo schema di decreto del Ministro della giustizia, esaminato dal Garante, disciplina le modalità di conservazione e di consultazione dei dati contenuti nell’archivio e i soggetti legittimati all’accesso mediante le postazioni istituite presso le sedi di servizio dei Procuratori europei delegati. Potranno dunque accedere all’archivio nazionale il giudice che procede e i suoi ausiliari; il pubblico ministero e i suoi ausiliari, ivi compresi gli ufficiali di polizia giudiziaria delegati all’ascolto; i difensori delle parti assistiti, se necessario, da un interprete. L’archivio nazionale, tenuto sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi previsti, del Procuratore europeo delegato, conserverà la versione integrale di tutti i verbali e di tutte le registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza, nonché ogni altro atto ad esse relativo.

Nel rilasciare parere favorevole sullo schema di decreto, il Garante ha ritenuto che lo stesso non presenti particolari criticità sotto il profilo della protezione dei dati, ma ha comunque richiesto – in analogia con i sistemi nazionali – che venga previsto, riguardo ai flussi informativi e la memorizzazione dei dati, il ricorso a tecniche crittografiche, utilizzando protocolli di rete sicuri e algoritmi di cifratura robusti, anche tenendo conto di eventuali raccomandazioni fornite dall’Agenzia per la cybersicurezza nazionale.

L’Autorità ha inoltre richiesto di adottare procedure di autenticazione informatica a più fattori, con credenziali e dispositivi di autenticazione assegnati all’utente e auspicabilmente gestiti direttamente dal Ministero della giustizia. Lo schema di decreto dovrà infine contenere misure volte a garantire la continuità operativa e il disaster recovery (ripristino dei sistemi), nonché rilevare, tramite specifici alert, comportamenti anomali o a rischio, prevedendo il tracciamento delle operazioni compiute e audit con cadenza almeno annuale.