Il Garante Privacy ha emesso tre sanzioni significative, rispettivamente di 271mila, 120mila e 10mila euro, nei confronti di LAZIOcrea (società che gestisce i sistemi informativi regionali), la Regione Lazio e la ASL Roma 3. Queste sanzioni seguono l’attacco informatico ai sistemi informatici della Regione Lazio avvenuto tra il 31 luglio e il 1° agosto 2021, che ha causato un data breach nel sistema sanitario regionale.
L’attacco, perpetrato attraverso un ransomware introdotto nel sistema tramite un portatile di un dipendente regionale, ha provocato il blocco di numerosi servizi sanitari, inclusi le prenotazioni, i pagamenti, il ritiro dei referti e la registrazione delle vaccinazioni. Questo ha impedito ad Asl, aziende ospedaliere e case di cura di utilizzare i sistemi informativi regionali per trattare i dati sulla salute di milioni di assistiti per un periodo che va da poche ore a diversi mesi.
Dalle indagini del Garante è emerso che LAZIOcrea e la Regione Lazio hanno commesso numerose e gravi violazioni della normativa sulla privacy, principalmente a causa dell’uso di sistemi non aggiornati e della mancanza di adeguate misure di sicurezza per rilevare tempestivamente le violazioni dei dati personali e proteggere le reti informatiche.
Durante l’attacco informatico, l’inadeguata sicurezza dei sistemi ha impedito alle strutture sanitarie regionali di accedere al sistema ed erogare servizi ai pazienti. Circa 180 server virtuali sono stati resi inaccessibili e LAZIOcrea ha spento tutti i sistemi senza poter individuare quelli compromessi, né evitare la propagazione del malware. Inoltre, LAZIOcrea non ha gestito adeguatamente il data breach e le sue conseguenze, soprattutto per le numerose strutture sanitarie coinvolte.
La Regione Lazio, in qualità di titolare del trattamento, avrebbe dovuto esercitare una vigilanza più efficace su LAZIOcrea, garantendo un adeguato livello di sicurezza e protezione dei dati fin dalla progettazione.
Le sanzioni del Garante sono state determinate considerando la gravità delle violazioni e il grado di responsabilità dei soggetti coinvolti. In particolare, la ASL Roma 3 ha ricevuto una sanzione di 10mila euro per non aver notificato il data breach ai soggetti interessati.
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10002052