Garante Privacy ha dato 15 giorni alla Asl 1 Abruzzo per comunicare il data breach agli interessati

La Asl 1 Avezzano Sulmona L’Aquila aveva notificato all’Autorità Garante per la Protezione dei Dati Personali di aver subito un attacco ransomware e solo dopo una richiesta di informazioni del Garante ha evidenziato il sospetto di esfiltrazione dei dati personali.

La Asl ha così informato gli interessati tramite la pubblicazione di comunicati sul proprio sito.

Nel caso in cui la violazione presenti un rischio per i diritti e le libertà delle persone, la normativa privacy prevede infatti l’obbligo di comunicazione del data breach all’interessato senza ingiustificato ritardo. La norma prevede anche che l’informazione debba essere differenziata sia nelle modalità che nel contenuto, in funzione del potenziale lesivo e dei canali a disposizione.

Secondo il Garante le misure intraprese dall’Asl non consentono invece di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio è stato valutato come “critico” o “alto”.

L’Autorità ha quindi ingiunto all’Azienda di comunicare il data breach a tutti gli interessati, senza ritardo e comunque entro 15 giorni, indicando la natura e le possibili conseguenze della violazione, i riferimenti del responsabile della protezione dei dati (RPD) e le misure adottate per porre rimedio alla violazione e attenuarne i possibili effetti negativi.

La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potrà predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network.