La Asl 1 di Avezzano-Sulmona-L’Aquila ha 15 giorni di tempo per comunicare alle persone interessate la violazione dei propri dati personali. È quanto stabilito dal Garante per privacy a seguito dell’istruttoria avviata dopo il grave “data breach” (il peggior attacco informatico di sempre, secondo alcuni giornali) che a metà maggio ha interessato l’Azienda sanitaria abruzzese. La Asl, riporta in una nota il Garante, aveva comunicato di avere subito un attacco hacker ai propri sistemi, ma soltanto dopo una richiesta di informazioni dell’Authority ha ammesso la possibilità che pirati informatici si siano impadroniti di dati personali degli assistiti (anche genetici, relativi alla salute e a condanne penali e reati).

«Nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone» ricorda il Garante «la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo. L’informazione però deve essere differenziata sia nelle modalità sia nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione».

Le misure intraprese dall’Azienda, continua la nota, «non consentono invece di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio è stato valutato come “critico” o “alto”. L’Autorità ha quindi ingiunto all’Azienda di comunicare il data breach a tutti gli interessati, senza ritardo e comunque entro 15 giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati (Rpd) e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi.

La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potrà predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network. Come aveva riferito FPress, c’è il serio rischio che nell’attacco siano state trafugate anche informazioni riguardanti pagamenti e rimborsi (dpc) alle farmacie del territorio.