Questo avviene dopo che l’azienda sanitaria abruzzese ha subito un attacco ransomware e ha rappresentato il sospetto di esfiltrazione dei dati personali, tra cui quelli relativi alla salute, condanne penali e reati.
La normativa sulla privacy impone l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone. L’informazione deve essere differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione.
Il Garante privacy ha stabilito che le misure intraprese dall’ASL non consentono di informare efficacemente tutti gli interessati, soprattutto quelli per cui il rischio è stato valutato come “critico” o “alto”. L’azienda sanitaria abruzzese è stata quindi obbligata a comunicare il data breach a tutti gli interessati, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi.
La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Nel caso di rischio “medio” e “basso”, l’ASL potrà predisporre un avviso da diffondere sulla stampa locale, in TV e sui social network. Inoltre, l’ASL dovrà notificare al Garante le iniziative intraprese. L’istruttoria sul data breach è finalizzata ad approfondire l’accaduto e a definirne le responsabilità. Il Garante privacy si riserva ogni altra decisione al termine dell’istruttoria.
È importante che le aziende e le istituzioni che gestiscono dati personali adottino misure adeguate per prevenire i data breach e siano pronte a comunicare tempestivamente agli interessati in caso di violazione dei loro dati personali. La protezione dei dati personali è un diritto fondamentale che deve essere garantito da tutte le aziende e le istituzioni che trattano tali informazioni.
(F.S)
