Sanzione del Garante privacy di 30.000 € all’ASL NAPOLI 3 SUD per non aver protetto adeguatamente da attacchi hacker i dati personali e sanitari di 842.000 tra assistiti e dipendenti.
Da un lato, Il Garante Privacy, dapprima, ha ricordato che, secondo le Linee Guida n. 4/2019 dell’EDPB, è onere del Titolare del trattamento effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali oggetto di trattamento (e della procedura per la gestione delle violazioni), nonché è onere, sempre del Titolare del trattamento, mantenere, verificare ed aggiornare, ove necessario, anche i sistemi preesistenti all’entrata in vigore del Regolamento UE n. 2016/679 (GDPR).
Dall’altro lato, il Garante Privacy ha rilevato l’assenza della procedura di autenticazione multi-fattore (MFA) per l’accesso alla VPN, e l’assenza della segmentazione (e segregazione) delle reti informatiche.