La Asl Avezzano-Sulmona-L’Aquila chiarisce la sua posizione dopo l’ammonimento del Garante per la protezione dei dati personali in seguito all’attacco hacker del maggio 2023, che ha coinvolto i dati di oltre 10 mila persone. L’Azienda difende la sua condotta pubblicando in una nota le conclusioni contenute nel provvedimento dell’Autorità che proverebbero l’assenza di responsabilità diretta nella violazione
L’AQUILA – Nessuna sanzione, ma un semplice ammonimento. La Asl dell’Aquila, guidata dal direttore generale Ferdinando Romano, interviene con una nota per chiarire la reale portata del provvedimento emesso dal Garante per la protezione dei dati personali, in seguito al grave attacco hacker subito nel maggio 2023 che ha coinvolto i dati sensibili di 10.631 soggetti tra pazienti, dipendenti e consulenti.
Secondo il Garante, la responsabilità è da attribuire a una “mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali”. Una valutazione che potrebbe ora tradursi in una marea di richieste di risarcimento, presentate davanti ai tribunali ordinari o ai giudici di pace, con il rischio per l’Azienda sanitaria di dover far fronte a danni al momento incalcolabili.
Una lettura, questa, che l’Azienda contesta: “In riferimento agli articoli usciti sulla stampa relativi al provvedimento – precisa la Asl – si sottolinea come la narrazione finora apparsa sui media risulti parziale e incompleta, non avendo tenuto conto dell’intera portata del provvedimento dell’Autorità, che ha adottato un semplice ammonimento e non una sanzione”.
Nella nota, la Asl riporta per intero le conclusioni del Garante, sottolineando i passaggi che considera fondamentali per offrire una lettura più completa e accurata del provvedimento.
“La violazione è stata determinata da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alle autorità competenti – precisa la nota dell’azienda sanitaria – Il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento e da alcune istanze pervenute al Garante sull’accaduto; il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nella realizzazione di misure, delle quali alcune pianificate in un tempo antecedente il verificarsi della violazione dei dati personali, volte a incrementare il livello di sicurezza dei trattamenti svolti e, quindi, a ridurre la replicabilità dell’evento occorso e ad attenuare il danno subito dagli interessati; il titolare ha cooperato con l’Autorità ben oltre l’obbligo previsto dall’art. 31 del Regolamento in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; l’Azienda non è stata destinataria di un precedente provvedimento sanzionatorio in relazione a violazioni pertinenti; la gestione dell’emergenza pandemica ha comportato modifiche all’assetto infrastrutturale dell’Azienda per consentire lo smart working dei dipendenti e l’interruzione delle attività inerenti i servizi di vulnerability assessment e volti alla segmentazione delle reti ma non ha, comunque, impedito i forti investimenti in sicurezza informatica nonostante le criticità di bilancio intervenute dal 2020 a seguito della predetta emergenza pandemica”.
Conclusioni che, secondo la Asl, dimostrano l’assenza di responsabilità diretta nella violazione, la tempestiva denuncia dell’attacco e una piena collaborazione con l’Autorità. La nota rimarca inoltre come alcune delle misure di sicurezza fossero già in fase di pianificazione prima dell’incidente, e che non vi siano precedenti sanzioni a carico dell’Ente. Anche l’emergenza pandemica viene citata come fattore che ha rallentato alcuni interventi tecnici, senza tuttavia bloccare gli investimenti sulla cybersecurity.
