17 APRILE 2024

Il Garante Privacy ha comminato sanzioni per un totale di 401mila euro a seguito di un attacco informatico che ha colpito il sistema sanitario della Regione Lazio. L’Ente responsabile dei sistemi informativi regionali è stato sanzionato con 271mila euro, la Regione Lazio con 120mila euro e la ASL Roma 3 con 10mila euro. Queste sanzioni sono state comminate a causa di diverse violazioni della normativa sulla privacy, aggravate dall’uso di sistemi obsoleti e dalla mancanza di adeguate misure di sicurezza.

Fatto

L’attacco informatico è stato effettuato tramite un ransomware che è stato veicolato da un laptop di un dipendente. Questo attacco ha causato un data breach che ha paralizzato l’accesso ai servizi sanitari essenziali, influenzando la gestione delle prenotazioni, dei pagamenti e delle vaccinazioni. Le strutture sanitarie sono state impossibilitate ad accedere ai dati per periodi variabili. Circa 180 server virtuali sono stati resi inaccessibili e l’Ente responsabile dei sistemi informativi regionali ha dovuto spegnere tutti i sistemi per evitare ulteriori danni. Tuttavia, non è stato in grado di gestire adeguatamente l’emergenza né le sue ripercussioni sul trattamento dei dati personali dei cittadini.

Le indagini hanno rivelato gravi carenze nella sicurezza informatica, che possono essere attribuite sia all’Ente gestore tecnico che alla Regione Lazio stessa. La Regione non ha vigilato in modo efficace sull’Ente responsabile dei sistemi informativi regionali, non garantendo così la protezione dei dati. La sanzione più bassa comminata alla ASL Roma 3 è dovuta alla mancata notifica del data breach. Le sanzioni riflettono la gravità delle violazioni ed il livello di responsabilità degli enti coinvolti. Questo sottolinea l’importanza di una gestione più rigorosa della sicurezza dei dati nella Pubblica Amministrazione.

>> IL PROVVEDIMENTO DEL GARANTE PRIVACY.