La Asl 1 Abruzzo ha deciso di chiamare il super esperto Alfonso Celotto per fronteggiare le conseguenze del violento attacco informatico.
Dopo aver negato il furto di dati da parte di attori malevoli per oltre un mese e mezzo la Asl di Avezzano-Sulmona-L’Aquila ha assunto un super esperto per fronteggiare le conseguenze del violento attacco informatico che ha coinvolto l’ASL 1 Abruzzo lo scorso maggio.
La decisione è stata stabilita con apposita deliberazione del direttore generale dell’Asl Ferdinando Romano, datata 16 giugno, il giorno dopo l’annuncio “di ripresa” da parte del Garante per la Protezione dei dati Personali. “Diamo all’Asl 15 giorni di tempo per comunicare alle persone coinvolte la violazione dei propri dati personali”, aveva annunciato l’Autorità il 15 giugno in un comunicato ufficiale.
La Asl di Avezzano-Sulmona-L’Aquila, spiega Il Centro, ha deciso di chiamare Alfonso Celotto, avvocato e docente universitario di Diritto costituzionale e Diritto pubblico comparato, già capo di gabinetto e capo Ufficio legislativo dei ministri Bonino, Calderoli, Tremonti, Trigilia, Guidi e Barca.
Con quest’ultimo ha operato all’Aquila, visto che il ministro Fabrizio Barca tra il 2011 e il 2013 è stato inviato speciale del governo Monti per la ricostruzione.
Celotto, spiega il quotidiano locale, sarà chiamato a gestire, almeno dal punto di vista legale, le conseguenze della grande violazione dei dati sensibili di pazienti e dipendenti dell’Asl.
La sua nomina arriva a pochi giorni dalla scadenza del tempo limite dato all’Azienda sanitaria per comunicare la violazione ai singoli utenti interessati, come ingiunto dal Garante della privacy.
Si parla di milioni di documenti riservati, tra cui referti medici, per un totale di 522 Gigabyte di materiale finito alla mercé di tutti – anche malviventi informatici – sul blog nel dark web del gruppo di cybercriminali di origine russa “Ransomware Monti”.
Per il Garante privacy l’ASL non ha comunicato bene il data breach ai cittadini abruzzesi
Per l’Autorità, che ha dato solo 15 giorni all’Azienda sanitaria, non basta la comunicazione generica effettuata dall’azienda tramite avviso pubblico. La comunicazione dovrà essere inviata individualmente agli interessati che rientrano nelle categorie di rischio “critico” e “alto”. Mentre nel caso di rischio “medio” e “basso” l’Asl potrà predisporre un avviso da diffondere sulla stampa locale, in tv e sui social network.
La Asl, ha spiegato l’Autorità, dovrà inoltre notificare al Garante le iniziative intraprese. La decisione dell’Autorità è frutto dell’istruttoria avviata, nel rispetto delle altre indagini in corso, dopo il data breach che ha interessato l’Azienda sanitaria abruzzese.
Dall’istruttoria fin qui svolta emergono, su tutti, su dati interessanti.
- L’Asl ha individuato in circa 1.000 il numero approssimativo degli interessati coinvolti.
- E nella notifica di violazione dei dati personali del 5 maggio 2023 inviata al Garante, l’Azienda Sanitaria Locale aveva riscontrato “nel dark web 389 Gigabyte di dati la cui totale riconducibilità all’ASL 1 Abruzzo è in fase di accertamento”.