Il Garante della Privacy ha accertato la violazione della normativa sulla Privacy sanzionando la Regione Lazio per 120.000 euro. Nella notte tra il 31 luglio e il 1° agosto 2021, infatti, il sistema sanitario della Regione aveva subito un attacco informatico che aveva bloccato l’accesso a numerosi servizi sanitari, attraverso i quali sono trattati i dati sulla salute di milioni di cittadini.

Il Garante della Privacy ha accertato che LAZIOcrea (la società che gestisce il sistema informatico regionale), l’ASL Roma 3 e la Regione stessa, hanno la responsabilità di essere incorse in diverse violazioni della normativa in materia di privacy, quali il mancato aggiornamento dei sistemi, la mancata adozione di misure di sicurezza adeguate a rilevare in tempo reale le violazioni di dati personali senza garantire di conseguenza la sicurezza delle reti informatiche. Il livello inadeguato di sicurezza ha quindi determinato l’inaccessibilità di circa 180 server. La Regione Lazio avrebbe inoltre dovuto garantire la vigilanza su LAZIOcrea, in qualità di titolare del trattamento. Infine, la responsabilità dell’ASL Roma 3 deriva dalla mancata notifica del data breach, diversamente da quanto fatto da altre strutture sanitarie.

Sulla base delle diverse responsabilità individuate, il Garante ha ritenuto di sanzionare anche l’ASL Roma 3 per 10.000  euro e la società LAZIOcrea per ben 271.000 euro.

Approfondimenti utili:

• https://www.federprivacy.org/informazione/flash-news/attacco-hacker-ai-sistemi-informatici-della-regione-lazio-sanzioni-del-garante-privacy-per-271mila-euro