Con Provvedimento del 22.02.2024 [doc web 10001279], il Garante Privacy ha sanzionato con una multa di 75mila euro una ASL per non aver configurato correttamente le modalità di accesso al Dossier Sanitario Elettronico, cosiddetto DSE.
Va premesso che il DSE è lo strumento che documenta la storia sanitaria dell’interessato e può essere consultato esclusivamente dal personale sanitario, che prende in cura il paziente.
Ebbene il Garante si è attivato a seguito di notifiche di data breach e di alcuni reclami e segnalazioni, che lamentavano il trattamento illecito di dati effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dalla ASL e, in particolare, erano stati segnalati ripetuti accessi al DSE da parte di personale sanitario non autorizzato.
Tale personale accedeva infatti senza restrizioni al dossier di pazienti che non aveva in cura. Addirittura il sistema di gestione del DSE consentiva agli operatori sanitari di inserire manualmente, mediante semplice autocertificazione, la motivazione per la quale si rendeva necessario l’accesso al dossier. E, in un caso, una professionista della ASL era riuscita a visionare gli esami di laboratorio dell’ex marito a sua insaputa, pur essendo quest’ultimo non in cura da lei, tanto che è poi stato attivato procedimento disciplinare nei confronti del medico, procedimento poi sospeso a seguito di querela per accesso abusivo ex art. 615-ter c.p.
Altra grave criticità, rilevata dal Garante, era l’assenza di un sistema per il rilevamento di eventuali anomalie che potessero configurare trattamenti illeciti (alert).
Già in passato il Garante, in caso di trattamenti così delicati e aventi a oggetto dati relativi alla salute (dati “super-sensibili”), aveva raccomandato l’adozione di stringenti misure di sicurezza, cfr. “Linee guida in materia di Dossier sanitario – 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, doc web n. 4084632), precisamente: individuazione di specifici profili di autorizzazione, dovendo essere limitato l’accesso al dossier al solo personale sanitario, che interviene nel processo di cura del paziente; formazione dei soggetti abilitati; configurazione e predisposizione di sistemi per il rilevamento di eventuali alert o anomalie, che possano configurare trattamenti illeciti, utili per orientare successivi interventi di audit.
Il Garante ha nuovamente quindi richiamato l’attenzione al necessario uso di strumenti in grado di rilevare particolari alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento. Si pensi per es. alle seguenti attività: login falliti; tentativi di login provenienti dal medesimo indirizzo (tecniche di password spraying); successione di login falliti seguita da un login riuscito legato a un medesimo account in un determinato intervallo di tempo; aggiunta di utenze amministrative; modifica o reset di password; modifica dei permessi sui file; accesso alle risorse in orario non consentito o non lavorativo; modifiche ai database, abilitando comandi di “INSERT” o “DELETE”.
Ovvio dunque che un’organizzazione, laddove tratti dati particolarmente delicati e per i quali devono vigere stringenti regole di accesso, abbia il dovere di utilizzare strumenti come un SIEM integrato con un EDR o un XDR per rilevare anonimamente eventuali anomalie sia del traffico web, sia degli accessi ai file server e ai database e, nel caso in cui queste raggiungano un’entità tale da compromettere i sistemi informatici, si potrà procedere in un secondo momento a una rilevazione “in chiaro”, intervenendo sul PC, che ha causato l’anomalia.
Non è comunque possibile monitorare le attività dei lavoratori in modo indiscriminato, altrimenti si incorre nella violazione dell’art. 4 dello Statuto dei lavoratori e ciò è stato più volte affermato dal Garante Privacy italiano ed europeo.
Ma, nel caso di specie, la ASL ha consentito (seppur in modo negligente e imperito) accessi indiscriminati ai propri dipendenti ed è stata multata per 75mila euro, pertanto le è stato contestato – tra le altre carenze – proprio il fatto di non avere adottato strumenti e sistemi in grado di rilevare anomalie nelle procedure di autenticazione e di autorizzazione. Il Garante ha altresì ordinato alla Asl di mettere in atto tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e scongiurare nuovi accessi abusivi.
Il Provvedimento integrale è reperibile al seguente URL: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10001279
