Violata la privacy dei positivi al Covid-19, Ats Milano nei guai

Individuata una falla nel sistema Milano Cor che fornisce agli utenti con informazioni e indicazioni utili. Il Garante per la protezione dei dati personali ha avviato un’istruttoria
Il Garante per la protezione dei dati personali ha aperto un’istruttoria nei confronti di Ats Milano (Agenzia di Tutela della Salute) per violazione della privacy. L’indagine nasce dopo alcune segnalazioni fatte al Garante dall’associazione Privacy Network e dal fondatore di The fool Matteo Flora. Da quanto è emerso, attraverso il semplice inserimento sul portale Milano Cor (dedicato ad affiancare con informazioni e indicazioni i cittadini positivi al Covid) del codice fiscale e del numero di cellulare, un qualunque utente della provincia di Milano poteva accedere ai dati di qualsiasi paziente, sapendo in questo modo chi era risultato positivo al Covid-19.
Privacy violata sui risultati dei tamponi
Il servizio Milano Cor è stato attivato dall’Ats Milano con l’intento di facilitare e snellire, grazie al supporto a domicilio, il lavoro quotidiano relativo alle fasi della malattia. Sul portale venivano così registrati i nomi dei pazienti risultati positivi al tampone i quali, accedendo appunto al servizio, potevano ricevere informazioni utili al loro trattamento. Il problema, però, è emerso nel momento in cui si è scoperto che chiunque, attraverso il semplice inserimento di un codice fiscale e di un qualsiasi numero di telefono, poteva accedere ad alcune informazioni personali dei pazienti e scoprire, di conseguenza, chi era risultato positivo al Covid-19. L’inserimento del codice fiscale di un utente, infatti, portava il sistema a rispondere che l’utente era già registrato, rivelando di fatto la sua positività.
Le richieste del Garante per la protezione dei dati personali
Dopo aver raccolto tutte le informazioni del caso, il Garante ha chiesto all’Ats Milano di fargli pervenire il numero esatto degli utenti i cui referti sono stati resi disponibili e degli utenti che hanno compilato il diario online. L’Autorità garante ha chiesto inoltre quali siano le azioni compiute per risolvere il problema di violazione della privacy, quali azioni si intendano attuare per evitare che l’episodio si ripeta e la base giuridica del trattamento dei dati. Va detto che dal 3 novembre scorso, Ats Milano ha messo offline il servizio per poi sistemare la falla. Nonostante questo, rischia ugualmente una sanzione di 20 milioni di euro ai sensi dell’articolo 82 del regolamento europeo sulla protezione dei dati (Gdpr).
FONTI:
milano.repubblica.it;
agendadigitale.eu;
wired.it
informazioni personali, trattamento dati personali, violazione privacy