Garante Privacy alla Asl 1 Abruzzo: 15 giorni per comunicare il data breach agli interessati

Businessman working on laptop computer at his desk in the office

La Asl 1 Avezzano Sulmona L’Aquila ha 15 giorni di tempo per comunicare alle persone coinvolte la violazione dei propri dati personali. È quanto stabilito dal Garante privacy, a seguito dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo il data breach che ha interessato l’Azienda sanitaria abruzzese.

La Asl, che aveva notificato all’Autorità di aver subito un attacco ransomware, solo dopo una richiesta di informazioni del Garante ha rappresentato il sospetto di esfiltrazione dei dati personali (anche genetici, relativi alla salute e a condanne penali e reati), informando gli interessati tramite la pubblicazione di comunicati sul proprio sito.

Nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone, la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo. L’informazione però deve essere differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione.

Le misure intraprese dall’Azienda non consentono invece – secondo il Garante – di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio è stato valutato come “critico” o “alto”.

L’Autorità ha quindi ingiunto all’Azienda di comunicare il data breach a tutti gli interessati, senza ritardo e comunque entro 15 giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati (RPD) e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi.

La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potrà predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network.

La Asl dovrà inoltre notificare al Garante le iniziative intraprese.

L’Autorità si riserva ogni altra decisione al termine dell’istruttoria sul data breach, finalizzata ad approfondire l’accaduto e a definirne le responsabilità.