Con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Il Data Breach (violazione di dati personali) causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione, bloccò l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. I disservizi si prolungarono per alcuni mesi.

Gravi violazioni della privacy
Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

Sistemi di sicurezza inadeguati
L’inadeguatezza dei sistemi di sicurezza ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware.

Errata gestione del Data Breach
Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).

La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.
Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.
Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato la sanzione di 10mila euro.

Provvedimenti ufficiali del Garante della Privacy n.10002324 – n.10002533 – n.10002287

Sei pronto per il prossimo attacco? La tua azienda è davvero protetta? Sei a rischio sanzioni?
Prenota una consulenza gratuita ora

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro".
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_GRECAPTCHA	sessione	Questo cookie è usato per fornire protezione antispam.
bcookie	1 anno	Cookie identificativo del browser per identificare in modo univoco i dispositivi su cui viene effettuato l’accesso a LinkedIn, al fine di rilevare abusi sulla piattaforma e per finalità diagnostiche.
lang	Sessione	Utilizzato per ricordare le impostazioni della lingua di un utente, al fine di garantire che il sito LinkedIn.com venga visualizzato nella lingua selezionata dall’utente nelle proprie impostazioni.
lidc	24 ore	Per ottimizzare la selezione del data center.

Cookie	Durata	Descrizione
_pk_id	13 mesi	Questo cookie viene usato per memorizzare alcuni dettagli sull'utente, ad esempio: l'ID visitatore univoco.
AnalyticsSyncHistory	1 mese	Questo cookie viene utilizzato per memorizzare le informazioni sull'ora in cui è avvenuta la sincronizzazione con il cookie lms_analytics.
CONSENT	2 anni	Memorizza lo stato di un utente in merito alle sue scelte sui cookie.
li_gc	6 mesi	Utilizzato per memorizzare il consenso degli ospiti in relazione all’utilizzo dei cookie per scopi non essenziali.
li_mc	6 mesi	Utilizzato come cache temporanea per evitare ricerche nel database per il consenso di un membro per l'uso di cookie non essenziali e utilizzato per avere informazioni sul consenso sul lato client per imporre il consenso sul lato client.
UserMatchHistory	1 mese	Sincronizzazione ID annunci LinkedIn.

BlogAttacco hacker che mandò in tilt la Regione Lazio: sono arrivate le pesanti sanzioni.

Exasys

In Evidenza

Contatti

Uffici