“Ancora una volta dobbiamo ringraziare il personale tutto della ASL per l'impegno profuso nella gestione degli effetti disastrosi prodotti dal riuscito attacco hacker al sistema informatico dell'azienda sanitaria. Non bastavano il sisma e la pandemia, dovevamo anche sopperire alle azioni criminali di gente senza scrupoli pronta a sfruttare ogni minima falla esistente nelle protezioni dei dati sensibili previste dalla normativa vigente”.
Così si esprime Alfonso D’Alfonso, coordinatore regionale Demos, in una nota in cui interviene sulla questione dell’attacco hacker che lo scorso 3 maggio ha colpito i sistemi informatici della Asl 1, compromettendo la riservatezza dei dati sensibili dei cittadini.
“A scanso di equivoci preciso che DEMOS interviene su quanto già accaduto e ancora in essere non già per mera speculazione di parte ma per invocare la piena attuazione della difesa dei cittadini dovuta alla perdita ed eventuale divulgazione di dati sensibili – continua. I dati sanitari delle persone richiedono sistemi di protezione altamente efficienti in quanto, nella gerarchia dell'importanza degli standard di sicurezza richiesti, sono in cima alla piramide. Francamente quanto finora comunicato dalla direzione Asl alimenta un clima di confusione ed incertezza utilizzando argomenti che nulla hanno a che vedere con quello che viene identificato come " data bridge" ovvero furto di dati”.
“L'importanza della materia ha fatto sì che fosse il parlamento europeo a normare il tutto in modo puntuale e in tutti gli aspetti senza nulla lasciare alla più o meno fantasiosa iniziativa dei titolari del trattamento (Asl nel nostro caso) fissando regole e procedimenti validi in tutti gli stati membri. Stiamo parlando del regolamento 2016/679 altrimenti noto con l'acronimo GDPR che negli art. 33 e 34 detta gli adempimenti puntuali a cui si deve attenere il titolare dei dati. Dalla lettura si evince che non la riservatezza ma la trasparenza è il principio a cui attenersi. Nell'art.33 si fa obbligo al titolare (Asl) di "notificare" all' Autority entro 72 ore quanto accaduto potendo procedere successivamente solo a comunicare i dettagli. L'arte.34 impone che quando la violazione comporta un rischio elevato per i diritti e la libertà delle persone fisiche (ed è il nostro caso) il titolare ha "l'obbligo" senza motivati ritardi di notificarlo all'interessato nelle modalità opportune (mail, sms, pubblicazioni su siti idonei, banner televisivi o altro), tutto questo per consentire la difesa del cittadino. Sono ormai trascorsi 18 giorni da quando siamo venuti a conoscenza dell'accaduto e non vi è traccia di quanto previsto e pertanto mi auguro che dipenda da una mia disinformazione e non di una omissione Asl”.
“In merito alla richiesta di riscatto – prosegue D’Alfonso - si è dichiarato che l'Azienda non tratterà con i malfattori i quali ricorrono alla criptazione dei dati rendendoli inutilizzabili pretendendo denaro in cambio di password per sbloccarli. Ma perché pagare (cosa quasi impossibile per un soggetto pubblico) quando, sicuramente, sia il titolare che il responsabile del trattamento dei dati avranno sicuramente attivato le procedure previste dall'art. 32 del GDPR circa il salvataggio dati mediante backup periodici in server sicuri ubicati sia in loco che in cloud? In una realtà complessa e articolata con centinaia di dipendenti e con dati personali di circa 300.000 assistiti non posso pensare che non si sia proceduto ad attivare tutte le azioni tecniche di criptaggio e di installazione di software anti malware congiuntamente a processi di formazione continua del personale preposto al controllo. Né vi possono essere limitazioni di spesa quando si attua un efficiente piano antintrusione. D'altronde perché rischiare da parte dell'Autority sanzioni che possono andare da 10 a 20 milioni oppure dal 2% al 4% del fatturato, quando parliamo di un'azienda che fattura circa 700 milioni di Euro? Oltre a questo vi potrebbero essere decine di migliaia di richieste di risarcimento da parte di chi si sentirà non adeguatamente protetto nei propri diritti fondamentali”.
“In conclusione, DEMOS si augura sinceramente che quanto previsto dalla normativa sia stato correttamente applicato e che si sia trattato di un mero disguido di comunicazione a cui verrà posto rimedio a breve per la tranquillità di tutti. Qualora così non fosse ci appelliamo ai consiglieri regionali del centro-sinistra e di tutta l'opposizione per chiedere la convocazione straordinaria di un consiglio previa audizione dei vertici Asl in Commissione di Vigilanza. Analoga richiesta la rivolgiamo ai rappresentanti nei consigli comunali a partire dalle città principali per garantire il diritto dei cittadini ad essere informati sui rischi riguardanti la propria libertà e i propri diritti, cosa che ad oggi la Asl non ha fatto”.