QS » Campania » Sanità e privacy. “Chiunque poteva consultare e modificare dati pazienti”. Garante blocca sezione del sito dell’Asl Napoli 2 Nord

Sanità e privacy. “Chiunque poteva consultare e modificare dati pazienti”. Garante blocca sezione del sito dell’Asl Napoli 2 Nord

Dopo la segnalazione dell’anomali, l'Autorità ha imposto alla Azienda di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema. Prescrizione che la Asl ha prontamente adempiuto, bloccando l'accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell'errato funzionamento del portale sanitario.

Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale della Asl Napoli 2 Nord. Un’anomalia segnalata al Garante della privacy che ha bloccato (VEDI PROVVEDIMENTO) la sezione del sito dell’Azienda per fermare la violazione della riservatezza. Ne dà notizia la stessa Autorità

L'anomalia segnalata al Garante era stata scoperta per caso da un utente mentre utilizzava i servizi on-line offerti dall'Azienda sanitaria. “Non occorreva – scrive il Garante – essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso – anche inserendo parte di un nome o di un cognome – uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l'indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti.
Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro, poteva addirittura modificare questi dati o cancellare l'account delle persone che si erano registrate sul sito”.

Nel provvedimento con il quale ha vietato l'ulteriore diffusione dei dati, il Garante ha ricordato che le “pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l'individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l'accesso ai dati personali che lo riguardano”.

L'Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema. Prescrizione che la Asl ha prontamente adempiuto, bloccando l'accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell'errato funzionamento del portale sanitario, che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker dall'esterno”.

L'Autorità si è riservata di approfondire il caso, ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate.

04 Febbraio 2016