ULSS6 multata di 10k euro per dei dati di pazienti comunicati per errore ad altri destinatari

Come ricordano i nostri lettori, l’incidente alla ULSS6 Euganea, è stato un gravissimo attacco informatico che ha riversato enormi quantità di dati dei pazienti online. Abbiamo seguito molto da vicino come RHC questo incidente pubblicando una precisa Timeline degli eventi. Era fine 2021.

Come sappiamo, occorre far lavorare le indagini prima di comprendere le cose come siano andate con precisione e la quantità reale dei dati immessi nell’underground. Ma sappiamo anche che le persone dimenticano facilmente le cose e questo fa comodo per evitare di fare “lesson learned”. Diciamo così perché sarebbe proprio quello il momento per migliorarsi, per migliorare tutto il comparto Italia facendo capire gli errori che sono stati fatti – anche dal punto di vista tecnico – affinché questi non si verifichino più.

Come riporta il Gazzettino di Padova, è stata sanzionata recentemente la Ulss 6 Euganea a seguito di un incidente che ha compromesso la privacy di migliaia di persone. Come dicevamo era dicembre 2021, l’azienda sanitaria è stata vittima di un attacco informatico, il quale ha causato una vasta fuga di dati sensibili. Purtroppo, nell’aprile 2022, questa violazione ha portato all’invio errato di migliaia di certificati di esenzione dal ticket sanitario ai destinatari sbagliati.

La situazione è giunta all’attenzione del Garante per la privacy, il quale ha emesso una sanzione di 10.000 euro nei confronti dell’Ulss 6 Euganea. Secondo il provvedimento dell’Autorità datato 17 maggio, le aziende sanitarie sono tenute ad adottare misure tecniche e organizzative adeguate per evitare errori nella comunicazione dei dati dei pazienti.

Nel dettaglio, la violazione dei dati personali ha coinvolto 39.852 assistiti, tra cui minori di 6 anni e persone con reddito inferiore a 36k euro (certificazioni di tipologia 7R2). I pazienti hanno ricevuto erroneamente nella propria casella di posta certificati contenenti informazioni personali, come nome, cognome, luogo e data di nascita, codice fiscale e codice di esenzione, appartenenti ad altre persone assistite. Le indagini condotte dall’Autorità hanno rivelato che tale violazione è stata causata da un problema tecnico nel database contenente le anagrafiche dei pazienti, che ha generato un disallineamento dei dati.

La sanzione pecuniaria di 10.000 euro è stata determinata considerando l’alta collaborazione mostrata dall’azienda sanitaria nei confronti del Garante, nonché il carattere isolato e non intenzionale dell’incidente. Inoltre, l’Ulss 6 Euganea ha intrapreso azioni concrete per prevenire futuri errori, tra cui l’implementazione di un portale online per il download diretto dei certificati d’esenzione in formato digitale.

A voi le dovute considerazioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Chiara Nardini

Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Aree di competenza: Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione