(di Cesidio Vano) Quasi 350mila euro di sanzioni in totale. Il Garante della privacy ha multato Regione Lazio, LazioCrea e Asl Roma 3 in relazione all’attacco hacker subito dai sistemi informatici regionali: nell’estate 2021: la Regione e le due aziende non avrebbero sufficientemente protetto i dati da loro gestiti, da qui i tre provvedimenti di censura che impongono all’ente della Pisana il pagamento di 271.000 euro di multa, altri 120.000 dovrà pagarli la Spa regionale e 10.000, infine, l’azienda sanitaria romana.
Era l’estate 2021 e alla guida della Regione c’era il governatore Nicola Zingaretti. L’attacco hacker comporto la paralisi del sistema informatico regionale per diverse settimane, mesi in alcuni casi. L’attuale amministrazione regionale guidata dal presidente Francesco Rocca, dopo la notifica dei provvedimento del Garante, ha annunciato che nei prossimi giorni convocherà una riunione con LazioCrea e la direzione regionale, per ascoltare i legali che hanno difeso la Regione di fronte al Garante e capire come sia andata la vicenda, le diverse responsabilità e se ci sono elementi per impugnare la sanzione. Tra le cause accertate dall’Authority il non aver aggiornato i sistemi informatici, la mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti. A rendere più caotica la situazione, inoltre, secondo il Garante ci sarebbe stata l’incapacità della società LazioCrea di determinare quali server fossero stati “infettati” e la conseguente decisione di spegnerli tutti, paralizzando così la rete informatica regionale. Come si ricorderà, nella notte tra il 31 luglio e il 1° agosto del 2021, un impiegato della Asl di Roma 3 ha aperto un allegato di una strana mail che gli era arrivata sul suo portatile aziendale: era un virus informatico. Per l’esattezza un cosiddetto ‘ransomware’, capace aprire una ‘breccia’ nell’infrastruttura informatica dell’intera Regione Lazio, bloccare e sottrarne i dati. Non solo: i pirati informatici, una volta messe le mani sui data-base regionali avevano inviato anche una richiesta di riscatto per ‘liberarli’, da pagare rigorosamente in criptovaluta, altrimenti avrebbero reso pubblici le informazioni sottratte, cosa poi effettivamente avvenuta per un notevole quantitativo di dati. L’attacco hacker ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro – come ricorda il Garante -, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni (era in corso l’epidemia da Covid 19). Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LazioCrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse “in numerose e gravi violazioni della normativa privacy – si legge in un comunicato dell’Authority -, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche”. Il Garante spiega che l’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. “In particolare – dicono dall’Ufficio del Garante della privacy -, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LazioCrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre – aggiungono -, LazioCrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte)”. Alla Regione Lazio – qualificata come ‘titolare del trattamento’ dei dati – viene contestato di non aver esercitato in maniera efficace la vigilanza su LazioCrea “quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione”. Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LazioCrea e la Regione Lazio. Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato come detto una sanzione di 10mila euro.
