Garante privacy, Asl sanzionata per misure di sicurezza inadeguate

Il Garante privacy ha inflitto un'ammenda di 30.000 euro alla Asl Napoli 3 Sud per non aver protetto in modo adeguato da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.

La struttura sanitaria era infatti stata oggetto di un attacco ransomware che, attraverso un virus, aveva limitato l'accesso al data base della struttura stessa e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito.

I rilievi del Garante

L'attività ispettiva del Garante ha evidenziato la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. La carenza di segmentazione delle reti era stata causa della propagazione del virus all’intera infrastruttura informatica.

Nel sanzionare l’illecito, il Garante ha considerato il fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl.

A seguito di questo episodio, l’azienda ha adottato misure volte ad attenuare il danno subito dagli interessati e a ridurre la possibilità di un nuovo evento, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.