Privacy - Sanità on line, attenzione ai dati degli assistiti

Garante dell Privacy, Newsletter n.411 del 4 febbraio 2016

Intervento urgente del Garante privacy per bloccare eventuali accessi illeciti al portale di una Asl

Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale di una Asl e il Garante della privacy interviene d'urgenza a bloccare [doc. web n. 4630534] la sezione del sito e fermare la violazione della riservatezza. 

L'anomalia segnalata all'Autorità era stata scoperta per caso da un utente mentre utilizzava i servizi on-line  offerti dall'Azienda sanitaria. Non occorreva essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso - anche inserendo parte di un nome o di un cognome - uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l'indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti.

Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro,  poteva addirittura modificare questi dati o cancellare l'account delle persone che si erano registrate sul sito.

Nel provvedimento con il quale ha vietato l'ulteriore diffusione dei dati, il Garante ha ricordato che le pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l'individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l'accesso ai dati personali che lo riguardano.

L'Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema.Prescrizione che la Asl ha prontamente adempiuto, bloccando l'accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell'errato funzionamento del portale sanitario,che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker  dall'esterno.

L'Autorità si è riservata di approfondire il caso,  ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate.