L’AQUILA. In base a quali parametri il Garante per la privacy tende a utilizzare la piuma o il bastone? È la domanda che viene da porsi guardando gli ultimi provvedimenti emanati dall’Authority in Abruzzo. Perché, da una parte, c’è l’ammonimento ricevuto dalla Asl 1 abruzzese per “l’illiceità del trattamento” dei dati a seguito dell’attacco hacker del 3 maggio 2023 in cui sono state trafugate le informazioni personali, a volte personalissime (cartelle cliniche, diagnosi, terapie in corso o già avvenute) di oltre 10mila persone; dall’altra, ci sono i Comuni di Roccaraso e Isola del Gran Sasso, multati per aver erroneamente pubblicato sui propri portali istituzionali dati personali di singoli dipendenti. E per periodi di tempo limitati. Stando al provvedimento del Garante, nella vicenda dell’attacco hacker l’azienda sanitaria aquilana è responsabile della mancata adozione di una serie di misure per garantire la protezione dei dati adeguata al «ruolo rivestito». Per questo ha ricevuto il cartellino giallo: la piuma. Per trovare il bastone, invece, bisogna guardare al caso dei due Comuni abruzzesi a cui sono state inflitte sanzioni pecuniarie da migliaia di euro. Eppure, in tutte e tre le vicende l’Authority evidenzia lo spirito di collaborazione degli enti sotto accusa, il fatto di aver messo in atto misure volte a non ripetere l’errore. Attenuanti comuni a tutti ma che soltanto per i Comuni abruzzesi sono state insufficienti a evitare il pugno duro.

il caso di ROCCARASO

Al centro dell’istruttoria aperta dal Garante contro il Comune di Roccaraso ci sono tre atti pubblicati sull’albo pretorio contenenti informazioni personali di un dipendente (nome e cognome, dati anagrafici e vicende connesse al rapporti di lavoro). Una volta accortosi dell’errore, il lavoratore inoltra la richiesta di cancellazione. A quel punto il Comune si attiva (senza notificare di aver ricevuto la segnalazione), contatta la società che gestisce il suo software gestionale e nel giro di 48 ore risolve il problema oscurando le sue generalità. Non abbastanza, secondo il Garante, che sottolinea come non siano state cancellate anche quelle informazioni che avrebbero potuto indirettamente ricondurre all’uomo. Alla fine, al Comune, pur avendo agito «nell’errata convenzione di adempiere a un obbligo di legge» viene rifilata una multa da 2mila euro.

multa a ISOLA DEL GRAN SASSO

Simile, ma più complessa, la vicenda di Isola del Gran Sasso. Inizia tra febbraio e marzo 2021, quando il Comune pubblica sul suo sito web due delibere nelle quali sono riportate informazioni che indirettamente riconducono alla signora, all’epoca dipendente dell’ente, che ha presentato il reclamo. In particolare, si fa riferimento al «procedimento penale in corso», a carico della donna. Quindi l’interessata richiede, tramite il proprio avvocato, la cancellazione dei dati dalle due delibere. Il Responsabile della protezione dei dati locale e il segretario comunale le danno ragione e sollecitano l’oscurazione, ma nulla accade. Poco male, perché le due delibere esauriscono la loro durata di pubblicazione in 15 giorni. Nella sua ricostruzione il Comune in primis riconduce l’errore al dipendente incaricato della pubblicazione online delle delibere di cui, in questo caso, non ha verificato il contenuto. Soprattutto, però, l’amministrazione fa riferimento al vicesegretario comunale. È lui che, nonostante le sollecitazioni, non ha provveduto a oscurare i dati. Anche in questo caso il Garante infligge al Comune una sanzione pecuniaria da 3mila euro. Chi sbaglia paga, verrebbe da dire, ripercorrendo queste due storie. Sorprende, però, che l’intransigenza del Garante si ammorbidisca, e non poco, quando nella bufera ci finisce la Asl per il furto dei dati di 10.638 persone tra dipendenti, consulenti e pazienti.

UN PESO, QUANTE MISURE?

La storia della Asl 1 ha riempito le pagine delle cronache nazionali per giorni. D’altra parte, si parla di uno dei più gravi attacchi hacker subiti da un ente pubblico italiano: 500 gigabyte di dati personali rubati, di cui 389 sono immediatamente finiti sul Dark Web. Ma più che la quantità, è stata la qualità dei dati a fare scalpore. Dati anagrafici, indirizzi, cartelle cliniche con terapie, diagnosi (incluse quelle di malattie estremamente sensibili come tumori o Hiv) di quasi 7mila pazienti. In pratica, possedere quei dati significa avere un buco della serratura privilegiato da cui spiare la parte più intima della vita di pazienti, quella che magari non è stata rivelata ai propri cari. Potenzialmente, uno strumento di ricatto. Dopo l’apertura dell’istruttoria la Asl corre ai ripari e per affrontare il procedimento Ferdinando Romano, allora direttore generale e fedelissimo del governatore Marco Marsilio, decide di affidarsi allo studio legale E-Lex, studio specializzato che vede, tra i fondatori storici, Guido Scorza, uno dei membri del collegio dell’organo. Su questo Report ha costruito un’inchiesta alludendo a un possibile conflitto di interessi. Dal canto suo, Scorza si è difeso affermando di «aver interrotto» i rapporti con lo studio dopo la nomina e di aver abbandonato la seduta decisiva dopo averne scoperto il coinvolgimento nel caso (anche se dal verbale di seduta, come lui stesso ha ammesso, non risulta). Sicuramente, il provvedimento adottato contro la Asl è stato clemente, soprattutto alla luce delle contestazioni che vengono presentate. L’Authority sottolinea la «mancata adozione delle misure adeguate a garantire la sicurezza delle reti», così come quelle «adeguate a rilevare tempestivamente le violazione dei dati personali», nonché «l’inidonea comunicazione della violazione dei dati agli interessati». L’ammonimento, alla fine, viene giustificato con il comportamento della Asl, che ha «cooperato ben oltre gli obblighi previsti» e investito in sicurezza informatica «nonostante le criticità del bilancio». Il conto in rosso, a volte, può aiutare a far scattare il cartellino giallo.

©RIPRODUZIONE RISERVATA