L’AQUILA – Una “ricostruzione parziale e incompleta, non avendo tenuto conto dell’intera portata del provvedimento dell’Autorità, che ha adottato un semplice ammonimento e non una sanzione”.

È quanto precisa in una nota la Asl Avezzano Sulmona L’Aquila, diretta dal manager Ferdinando Romano, in merito all’ammonimento del Garante per la protezione dei dati personali per la “mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali” di 10.631 persone tra pazienti, dipendenti e consulenti dopo l’attacco hacker avvenuto a maggio 2023.

“In riferimento agli articoli usciti sulla stampa relativi al provvedimento – scrive la Asl – si precisa quanto segue”, riportando integralmente le conclusioni del provvedimento:

la violazione è stata determinata da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alle autorità competenti;

il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento e da alcune istanze pervenute al Garante sull’accaduto;

il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nella realizzazione di misure, delle quali alcune pianificate in un tempo antecedente il verificarsi della violazione dei dati personali, volte a incrementare il livello di sicurezza dei trattamenti svolti e, quindi, a ridurre la replicabilità dell’evento occorso e ad attenuare il danno subito dagli interessati;

il titolare ha cooperato con l’Autorità ben oltre l’obbligo previsto dall’art. 31 del Regolamento in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

l’Azienda non è stata destinataria di un precedente provvedimento sanzionatorio in relazione a violazioni pertinenti;

la gestione dell’emergenza pandemica ha comportato modifiche all’assetto infrastrutturale dell’Azienda per consentire lo smart working dei dipendenti e l’interruzione delle attività inerenti i servizi di vulnerability assessment e volti alla segmentazione delle reti ma non ha, comunque, impedito i forti investimenti in sicurezza informatica nonostante le criticità di bilancio intervenute dal 2020 a seguito della predetta emergenza pandemica.