Cerca

DATAGATE FRIULANO: c’è un precedente dal Garante della Privacy

Dopo la sbornia mediatica sviluppata dalla nostra inchiesta sui reclami dei pazienti della Ass4 Medio Friuli leggibili su internet, è sconcertante constatare che né l’azienda sanitaria né la Spa regionale Insiel abbiano ancora ripristinato il servizio on-line delle segnalazioni, dopo ben 15 giorni dalla divulgazione della notizia. Accedendo, infatti, alla pagina dei reclami del portale dell’Azienda Sanitaria, si apre una maschera in cui si richiedono UserId e Password che qualche sistemista, confidiamo, sicuramente avrà e custodirà gelosamente. Speriamo che solo gli addetti al sistema detengano queste credenziali… Forse il 37enne udinese laureato in Lettere che si accorto dell’incredibile falla nel sistema informatico, inserendo il suo reclamo, verrà arruolato dall’NSA? Qualcuno vorrebbe farlo credere possibile, giuocando a scaricabarile (o a palla avvelenata?), ma così non è: anche se l’hanno accusato di essere un potente hacker, di aver violato i computer e tante altre fiabe,.. i più han ben compreso che è semplicemente uno che si è accorto che i propri dati sensibili (e di altri pazienti) erano facilmente rintracciabili on-line. E l’ha detto alla stampa e la stampa fa il suo mestiere.. Un bel mestiere che ci ha fatto scoprire un precedente analogo già segnalato dal Garante per la protezione dei Dati Personali, che suggerisce che il sistema, se non proprio un colabrodo, ha parecchi difetti di sicurezza legati appunto alla privacy: di questo né Ass4 né Insiel hanno parlato, sinora…. Questa in sintesi, l’osservazione/prescrizione del Garante avente come destinatari l’Azienda ospedaliero universitaria Ospedali riuniti di Trieste, l’Azienda per i servizi sanitari n. 1, l’Azienda per i servizi sanitari n. 2, l’Azienda per i servizi sanitari n. 3, l’Azienda per i servizi sanitari n. 4, l’Azienda per i servizi sanitari n. 5, l’Azienda per i servizi sanitari n. 6, l’Azienda ospedaliero universitaria S. Maria della Misericordia di Udine, l’Azienda ospedaliera S. Maria degli Angeli di Pordenone, l’IRCCS CRO di Aviano e l’IRCCS Burlo Garofalo di Trieste, ossia tutta la Sanità della Regione Friuli Venezia Giulia, la cui rete è integralmente gestita dai 710 dipendenti (oltre ad un esercito di consulenti esterni) di Insiel: Garante per la protezione dei Dati Personali – Piazza di Monte Citorio n. 121 – 00186 Roma Provvedimenti n°3 del 10 gennaio 2013 e n° 252 del 22 maggio 2013 "E’ pervenuta a questa Autorità una segnalazione nella quale si lamenta che il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dalle strutture sanitarie della Regione Friuli Venezia Giulia, denominato ‘G2?, sarebbe stato strutturato in modo tale da consentire a ogni medico -inserendo un username ed una password- di accedere ai referti sia dei propri pazienti sia di qualsiasi altra persona che abbia effettuato un esame clinico presso la struttura sanitaria. L’accesso del medico sarebbe pertanto indipendente dalla circostanza che le informazioni che può conoscere siano riferite a soggetti in cura presso lo stesso". Dagli accertamenti effettuati è risultato che non solo i medici potevano leggere tutto di tutti: sono emerse inoltre altre criticità, tanto che l’Autorità si è riservata "di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni delle disposizioni di cui agli artt. 13 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice". E ‘quelli’ che urlano "all’hacker!" dribblano con questa spiegazione: "L’Agenzia Regionale di Sanità nella suddetta risposta, fornendo solo brevi cenni di riscontro a quanto richiesto dall’Ufficio, riconosceva inoltre che "al momento i sistemi informatici già esistenti presentano alcune criticità strutturali", sottolineando "la complessità e l’eterogeneità dell’intero sistema informativo regionale" e che "un elemento di criticità nell’adeguamento alle linee guida del Garante è legata alla presenza di diversi sistemi ed applicativi informatici, sia di recente sviluppo ma prevalentemente rilasciati nel passato (anni ’90)". Quindi: un sistema obsoleto e rappezzato. Perché Ass4 e Insiel non l’hanno detto subito, anzichè sventagliare querele per 4-5 reati? Ed è quello che ci ha tempestivamente confermato un dipendente dell’Azienda Ospedaliera di Udine, un ‘semplice’ sviluppatore web. E tanti altri ancora… (continuate a inviarci i vostri commenti, ne verrà fuori un simpatico collage!). Il corposo documento del Garante specifica che "Nel corso dei suddetti accertamenti ispettivi è stato accertato che sono in uso alcuni applicativi forniti da INSIEL -Informatica per il Sistema degli Enti Locali S.p.A. per la gestione amministrativa e clinica della documentazione sanitaria dei pazienti" e, colpo di scena, "La società INSIEL è stata nominata dalle undici aziende sanitarie della Regione come responsabile del trattamento". L’inadeguatezza (chiamiamola così) del sistema è inequivocabile: "rilevata l’illiceità del trattamento effettuato" il Garante "prescrive di mettere in atto specifici accorgimenti –anche eventualmente avvalendosi del supporto tecnico fornito da INSIEL S.P.A." Domanda: quando metteranno in sicurezza il sistema? Comunque, come al solito, nulla è accaduto e nessuno è responsabile… (Superfluo riflettere sul fatto che in altre regioni d’Europa ci sarebbero state dimissioni istantanee).

Lascia il tuo commento

Condividi le tue opinioni su Libero Quotidiano

Caratteri rimanenti: 400

blog