Il sistema informativo digitale insicuro è un guaio anche per il fornitore

I titolari del trattamento dei dati personali devono assicurarsi della capacità tecnica e professionale delle società a cui vengono affidate alcune attività gestionali e questa regola vale in particolare nell’ambito sanitario dove si trattano dati particolari. Quindi oltre a robusti accordi contrattuali e formali è sempre opportuno fare delle verifiche a campione sui fornitori per dare robustezza alle proprie differenziate responsabilità.

Fermo restando che in caso di controllo anche il fornitore esterno negligente sarà destinatario di una possibile ed autonoma sanzione. Lo ha evidenziato il Garante per la protezione dei dati personali con l'ordinanza ingiunzione n. 423 del 2 dicembre 2021. Una struttura sanitaria è stata informata dalla polizia postale di aver subito un attacco informatico che ha comportato la pubblicazione da parte degli hacker di immagini radiologiche di alcuni pazienti. A seguito di questo episodio il titolare del trattamento ha immediatamente notificato all'Autorità l'incidente richiedendo provvedimenti e informazioni dettagliate al responsabile esterno del trattamento. Ovvero la società che gestisce il sistema informatico che permette ai sanitari l'accesso da remoto ai dati dei pazienti. Il Garante ha, quindi, aperto un'istruttoria che si è conclusa con l'applicazione di una severa misura punitiva a carico del fornitore esterno del servizio . Concretamente le misure adottate per garantire la sicurezza del sistema sono state ritenute insufficienti. Innanzitutto, per il mancato utilizzo di password nominative differenziate. Poi per la mancata adozione dei più elementari protocolli di sicurezza come per esempio l'attivazione del sistema https. Le misure di sicurezza necessarie al corretto trattamento dei dati personali particolari come quello della salute sono identificate dall'art. 32 del Regolamento europeo. La mancata definizione di password policy e il mancato utilizzo di protocolli di rete sicuri rappresentano criticità molto importanti sul lato della sicurezza dei sistemi. Il normale protocollo di rete http non garantisce infatti la riservatezza e l'integrità dei sati scambiati tra il browser dell'utente e il server che ospita il servizio web. E l'uso di password generiche è assolutamente censurabile. La società privata ha inviato una corposa serie di giustificazioni che sono state ritenute non pertinenti dall'Autorità. Anche se il software consente solo l'accesso alla diagnostica senza correlazione diretta con i dati dei pazienti a parere del Garante si tratta di un incidente grave. Sul fronte delle responsabilità sono molto interessanti le argomentazioni che ascrivono la sanzione al fornitore del servizio tecnico informatico. Il titolare del trattamento, infatti, ai sensi dell' art. 28, GDPR , può affidare a responsabili esterni la gestione di porzioni di attività regolando i rapporti. Ma lo stesso regolamento individua precise responsabilità anche in capo al fornitore del servizio. L' art. 32 del GDPR stabilisce che non solo il titolare ma anche il responsabile del trattamento devono occuparsi della sicurezza dei processi. L'uso di un software che consente ai medici di visionare da remoto le immagini da refertare non può essere consentito senza adeguate misure tecniche di sicurezza, conclude l'Autorità centrale.

Ordinanza ingiunzione del Garante Privacy del 2 dicembre 2021, n. 432