La Asl 1 Avezzano Sulmona L’Aquila ha 15 giorni di tempo per comunicare alle persone coinvolte la violazione dei propri dati personali. E’ quanto stabilito dal Garante privacy, a seguito dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo il data breach che ha interessato l’Azienda sanitaria abruzzese. La Asl- informa una nota del Garante -, che aveva notificato all’Autorita’ di aver subito un attacco ransomware, solo dopo una richiesta di informazioni del Garante ha rappresentato il sospetto di esfiltrazione dei dati personali (anche genetici, relativi alla salute e a condanne penali e reati), informando gli interessati tramite la pubblicazione di comunicati sul proprio sito. Nel caso in cui la violazione presenti un rischio per i diritti e le liberta’ delle persone, la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo. L’informazione pero’ deve essere differenziata sia nelle modalita’ che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione. Le misure intraprese dall’Azienda non consentono invece – secondo il Garante – di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio e’ stato valutato come “critico” o “alto”.
L’Autorita’ ha quindi ingiunto all’Azienda di comunicare il data breach a tutti gli interessati, senza ritardo e comunque entro 15 giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati (Rpd) e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi. La comunicazione dovra’ essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potra’ predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network. La Asl dovra’ inoltre notificare al Garante le iniziative intraprese. L’Autorita’ si riserva ogni altra decisione al termine dell’istruttoria sul data breach, finalizzata ad approfondire l’accaduto e a definirne le responsabilita’