Ok del Garante privacy al decreto del Ministro della Giustizia che istituisce l'archivio nazionale dei verbali e delle registrazioni delle intercettazioni disposte dalla Procura europea (EPPO - European Public Prosecutor's Office) mediante postazioni individuate in alcune Procure nazionali, adottate ulteriori misure tecnologiche a protezione dei dati.

 

In particolare, lo schema di decreto in questione disciplina le modalità di conservazione e di consultazione dei dati contenuti nell'archivio e i soggetti legittimati all'accesso mediante le postazioni istituite presso le sedi di servizio dei Procuratori europei delegati. 

L'archivio nazionale, tenuto sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi previsti, del Procuratore europeo delegato, conserverà la versione integrale di tutti i verbali e di tutte le registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza, nonché ogni altro atto ad esse relativo.

 

Nel rilasciare parere favorevole, l'Autorità ha comunque chiesto di prevedere:

Parere favorevole del Garante ad ANAC su 14 quattordici schemi standard di pubblicazione previsti dal decreto trasparenza (D.Lgs. n. 33/2013), che dettano le regole che le PA devono seguire per rispettare gli obblighi di trasparenza online.

 

Ad esempio, per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le PA dovranno limitarsi a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l'indirizzo email e PEC dell'ufficio, e non i dati del dipendente incaricato. O ancora, nella pubblicazione dei dati riguardanti i pagamenti, le PA dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell'anno solare e, in ogni caso, se dalla pubblicazione si possono ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

Arrivano tre sanzioni di 271mila, 120mila e 10mila euro per, rispettivamente, LAZIOcrea (società che gestisce i sistemi informativi regionali), Regione Lazio e alla ASL Roma 3.

 

Il Garante ha definito i procedimenti aperti dopo l'attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Dagli accertamenti e dalle ispezioni effettuate è emerso che LAZIOcrea e Regione Lazio, pur con differenti responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all'adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche. La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.

L'Autorità ha sanzionato per 75mila euro una ASL per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). 

 

Dalle verifiche effettuate, è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l'accesso; accesso che era inoltre consentito, per impostazione predefinita, ad una ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.

 

Trattasi di violazione di quanto previsto dall'Autorità nella Linee guida in materia di Dossier sanitario, in cui è stabilito che «il titolare del trattamento deve porre particolare attenzione nell'individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura», garantendo che l'accesso al dossier sia limitato al solo personale sanitario che interviene nel processo di cura del paziente.