COMUNICATO
Governo locale e legalità

Sicurezza informatica, Gibertoni (Misto): “La Regione si rifiuta di fornire i dati su Lepida”

“Nononstante la richiesta di accesso agli atti, dopo l’attacco hacker all’Asl di Modena. Si rischia l’omissione di atti d’ufficio. La direzione generale Risorse ha consegnato solo alcuni dati”

La Regione consegni al consigliere i dati richiesti sull’attività di Lepida riguardo l’attività di protezione dei dati sanitari dopo l’attacco hacker dello scorso novembre alle Asl di Modena.

Lo chiede Giulia Gibertoni, consigliera del Gruppo Misto, in un’interrogazione in cui ricorda come “i dati richiesti nel caso di specie devono essere consegnati al consigliere regionale integralmente e senza alcuna censura, per presunti ed inesistenti motivi di privacy, e chi non lo facesse commetterebbe un atto illegittimo ed essendo pubblico dipendente verrebbe meno ai suoi doveri d’ufficio, la cui violazione comporta il reato di cui all’art. 328 del Codice penale – Rifiuto di atti d’ufficio. Omissione)”.

La capogruppo del Misto vuole che sia rispettato l’articolo 30, comma 3, dello Statuto regionale (accesso agli atti) “e dell’articolo 119, comma 1, del Regolamento interno dell’Assemblea Legislativa con cui la Regione Emilia-Romagna ha rinunciato al segreto d’ufficio nei confronti dei consiglieri regionali, soddisfacendo, senza omissioni” una richiesta avanzata da lei nell’aprile 2024. In particolare, Gibertoni chiedeva – e lo ha fatto anche con tre interrogazioni – spiegazioni “circa le verifiche sulla sicurezza informatica dei servizi applicativi di sanità digitale, erogati dalla società in house Lepida per conto di ASL e Regione” e riguardo “alle azioni di salvaguardia dei dati sanitari, a seguito dell’attacco hacker dello scorso novembre alle Aziende sanitarie della Provincia di Modena”. Le richieste della capogruppo “miravano ad esercitare l’attività istituzionale di controllo, da parte del consigliere regionale, sull’operato dell’Esecutivo regionale, cioè della Giunta regionale, in particolare, su quanto accaduto il 28 novembre 2023, data in cui si era verificato un fatto di grave rilevanza, cioè un attacco informatico, 3 del tipo ransomware, che ha colpito l’Azienda Usl di Modena, l’Azienda Ospedaliero-Universitaria di Modena e l’Ospedale di Sassuolo (MO) paralizzando le attività dei centri prelievi, delle visite specialistiche e delle prestazioni ambulatoriali, con la conseguenza che le suddette strutture sanitarie sono state costrette a ritornare al “vecchio” cartaceo ed i cittadini a fare i conti con disservizi di varia natura e procedure più lente e complesse, fino a diversi casi di mancata erogazione di servizi e prestazioni sanitarie”.

Di 5 su cui si chiedevano chiarimenti, il direttore generale “Risorse, Europa, Innovazione e Istituzioni ha dato risposta solo a 3 e “ci si rifiutava di fornire il materiale richiesto ai punti 2 e 4”.  Il 2 riguarda i test di verifica informatica e la Regione ha risposto che “contengono informazioni e dati che devono essere mantenuti riservati” mentre per il 4 “si precisa che parte delle informazioni richieste è contenuta all’interno dei test di verifica sulla sicurezza informatica (VA/PT) di cui sopra” per cui non possono essere forniti.

Ma conclude Gibertoni, il Garante per la protezione dati personali, e la giurisprudenza, hanno affermato che “al consigliere non può essere opposto alcun diniego determinandosi altrimenti un illegittimo ostacolo al concreto esercizio della sua funzione”.

(Gianfranco Salvatori)

La comunicazione istituzionale del Servizio informazione dell’Assemblea legislativa della Regione Emilia-Romagna dal 12 aprile 2024 è soggetta alle disposizioni in materia di “par condicio” (legge 28/2000)

Governo locale e legalità