Il 27 novembre 2024, il Garante Privacy ha emesso un provvedimento riguardante una vulnerabilità del sistema del Portale Fascicolo Sanitario Elettronico (FSE) della Regione Molise, che ha permesso all’utente con ruolo “Assistito” di accedere in modo non autorizzato ai dati del sistema[1]. Questo evento ha portato all’irrogazione di sanzioni da parte del Garante Privacy.
Contesto del Data Breach
Il Fascicolo Sanitario Elettronico è un sistema digitale che raccoglie e gestisce i dati sanitari degli assistiti, con l’obiettivo di fornire una visione globale e unificata ai medici e ai clinici. Tuttavia, la recente introduzione del decreto del Ministero della salute del 7 settembre 2023 ha portato a numerose violazioni nella sua attuazione, come riportato da fonti diverse[2][3].
Le Violazioni e le Sanzioni
Il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0. Queste violazioni includono la mancata garanzia di diritti fondamentali come l’oscuramento, la delega e il consenso specifico, nonché la mancata applicazione di misure di sicurezza uniformi su tutto il territorio nazionale[2][5].
Il Caso della Regione Molise
Nel caso specifico della Regione Molise, il Garante Privacy ha irrogato tre sanzioni di 10.000 euro ciascuna alla Regione e alla Società Molise per la vulnerabilità del Portale FSE. Queste sanzioni sono state emesse in risposta all’incidente di sicurezza che ha permesso all’utente di accedere in modo non autorizzato ai dati del sistema[1][4].
Suggerimenti e Consigli per la Prevenzione di Data Breach
Per evitare simili incidenti di sicurezza nel futuro, è essenziale adottare misure di sicurezza robuste e uniformi su tutto il territorio nazionale. Ecco alcuni suggerimenti e consigli per la prevenzione di data breach nel contesto del Fascicolo Sanitario Elettronico:
- Implementazione di Sicurezza Avanzata:
- Utilizzare tecnologie di sicurezza avanzate come l’encryptazione dei dati, le autenticazioni multi-fattore e le protezioni dei dati in transito e in riposo.
- Implementare regole di accesso differenziate per garantire che solo gli utenti autorizzati possano accedere ai dati sensibili.
- Formazione e Consapevolezza:
- Organizzare corsi di formazione per i dipendenti sulla sicurezza dei dati e sulla gestione delle vulnerabilità.
- Promuovere la consapevolezza tra gli utenti circa l’importanza della protezione dei dati personali.
- Monitoraggio Continuo:
- Implementare sistemi di monitoraggio continuo per rilevare eventuali attività anomale e vulnerabilità nel sistema.
- Utilizzare strumenti di analisi avanzati per identificare e risolvere problemi di sicurezza prima che si verifichino incidenti.
- Collaborazione con l’Autorità Garante:
- Collaborare strettamente con l’Autorità Garante per la protezione dei dati personali per garantire che le misure di sicurezza siano conformi alle normative vigenti.
- Partecipare attivamente ai procedimenti di valutazione e certificazione delle misure di sicurezza.
- Test di Sicurezza Periodici:
- Eseguire test di sicurezza periodici per valutare la vulnerabilità del sistema e identificare aree di miglioramento.
- Utilizzare team di test di sicurezza indipendenti per garantire l’efficacia delle misure di sicurezza.
- Pianificazione di Emergenza:
- Redigere un piano di emergenza per gestire eventuali incidenti di sicurezza.
- Definire procedure chiare per la risposta agli incidenti, inclusa la notifica degli utenti interessati e le azioni da intraprendere per mitigare i danni.
- Documentazione e Tracciabilità:
- Mantenere una documentazione dettagliata delle misure di sicurezza adottate e delle attività di monitoraggio.
- Assicurarsi che tutte le azioni relative alla sicurezza siano tracciate e documentate per garantire la trasparenza e la responsabilità.
Il data breach sul Portale FSE della Regione Molise è un esempio chiaro delle conseguenze delle vulnerabilità di sicurezza nei sistemi sanitari. È essenziale che le Regioni e le Province autonome implementino misure di sicurezza robuste e uniformi per garantire la protezione dei dati sanitari degli assistiti. Seguendo i suggerimenti e i consigli sopra elencati, è possibile ridurre significativamente il rischio di incidenti di sicurezza e garantire la tutela dei diritti dei pazienti.
