Home
10 aprile 2024
Intercettazioni della Procura UE: ok del Garante Privacy al data base nazionale
Ok anche alle regole che le PPAA devono seguire per rispettare gli obblighi di trasparenza online. Sanzionati inoltre la Regione Lazio per l'attacco hacker subito nel 2021 ed una ASL per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico. Queste le novità che emergono dalla newsletter n. 521/2024 dell'Autorità.
di La Redazione
Intercettazioni della Procura UE: parere favorevole del Garante Privacy al data base nazionale
Ok del Garante privacy al decreto del Ministro della Giustizia che istituisce l'archivio nazionale dei verbali e delle registrazioni delle intercettazioni disposte dalla Procura europea (EPPO - European Public Prosecutor's Office) mediante postazioni individuate in alcune Procure nazionali, adottate ulteriori misure tecnologiche a protezione dei dati.
In particolare, lo schema di decreto in questione disciplina le modalità di conservazione e di consultazione dei dati contenuti nell'archivio e i soggetti legittimati all'accesso mediante le postazioni istituite presso le sedi di servizio dei Procuratori europei delegati.
|
Potranno accedere all'archivio nazionale:
|
L'archivio nazionale, tenuto sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi previsti, del Procuratore europeo delegato, conserverà la versione integrale di tutti i verbali e di tutte le registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza, nonché ogni altro atto ad esse relativo.
Nel rilasciare parere favorevole, l'Autorità ha comunque chiesto di prevedere:
- tecniche crittografiche tramite protocolli di rete sicuri e algoritmi di cifratura robusti, riguardo ai flussi informativi e la memorizzazione dei dati.
- procedure di autenticazione informatica a più fattori, con credenziali e dispositivi di autenticazione assegnati all'utente e auspicabilmente gestiti direttamente dal Ministero della Giustizia;
- misure volte a garantire la continuità operativa e il disaster recovery (ripristino dei sistemi), nonché rilevare, tramite specifici alert, comportamenti anomali o a rischio.
PA: più trasparenza dei siti e più tutele per i dati personali
Parere favorevole del Garante ad ANAC su 14 quattordici schemi standard di pubblicazione previsti dal decreto trasparenza (D.Lgs. n. 33/2013 ), che dettano le regole che le PA devono seguire per rispettare gli obblighi di trasparenza online.
Ad esempio, per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le PA dovranno limitarsi a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l'indirizzo email e PEC dell'ufficio, e non i dati del dipendente incaricato. O ancora, nella pubblicazione dei dati riguardanti i pagamenti, le PA dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell'anno solare e, in ogni caso, se dalla pubblicazione si possono ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.
Attacco hacker ai sistemi informatici della Regione Lazio: arrivano le sanzioni
Arrivano tre sanzioni di 271mila, 120mila e 10mila euro per, rispettivamente, LAZIOcrea (società che gestisce i sistemi informativi regionali), Regione Lazio e alla ASL Roma 3.
Il Garante ha definito i procedimenti aperti dopo l'attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Dagli accertamenti e dalle ispezioni effettuate è emerso che LAZIOcrea e Regione Lazio, pur con differenti responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all'adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche. La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.
Dossier sanitario: il Garante sanziona una ASL
L'Autorità ha sanzionato per 75mila euro una ASL per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse).
Dalle verifiche effettuate, è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l'accesso; accesso che era inoltre consentito, per impostazione predefinita, ad una ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.
Trattasi di violazione di quanto previsto dall'Autorità nella Linee guida in materia di Dossier sanitario, in cui è stabilito che «il titolare del trattamento deve porre particolare attenzione nell'individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura», garantendo che l'accesso al dossier sia limitato al solo personale sanitario che interviene nel processo di cura del paziente.
Documenti correlati