Il Garante della Privacy ha aperto un fascicolo a carico di Lombardia Informatica. La verifica è scattata a seguito dell’inchiesta del fattoquotidiano.it che ha svelato le falle nei protocolli e nelle misure di sicurezza utilizzati da Regione Lombardia per proteggere i dati sulla spesa farmaceutica di 10 milioni di cittadini lombardi. Un documento riservato, uscito dal perimetro della società pubblica, documentava come per almeno cinque anni (se non di più) il sevizio affidato in appalto a un fornitore esterno venisse svolto “in assenza dei requisiti minimi di sicurezza”. In cambio, e anche questo sarà oggetto di accertamento, il fornitore riceveva la bellezza di 600mila euro al mese, da dieci anni a questa parte.

Dalla verifica, commissionata dai vertici della controllata regionale, sono emerse numerose “non conformità” alle prescrizioni di legge in materia di protezione e tutela dei dati personali. Tutti elementi che hanno sollecitato l’attenzione del Garante al quale però Regione Lombardia – titolare del trattamento dei dati – non risulta abbia mai inviato l’esito della verifica. Il documento potrebbe interessare anche le Procure, visto che la legislazione vigente assimila le inadempienze nella tutela dei dati sensibili a veri e propri reati (D.Lgs 196/2003).

L’accertamento è scattato solo nel 2014 sull’ultimo contratto di servizio che copre il quadriennio 2012-2015. L’incarico va a Deloitte che si avvale a sua volta dell’isra​e​liana Maglan EuropeSrl, società specializzata nella simulazione di attacchi informatici. Con quali esiti? In una nota Lombardia Informatica assicurava che “i dati sensibili dei cittadini lombardi sono in sicurezza” e invitava ad agire “con la massima responsabilità nel dare informazioni in merito a presunte carenze rispetto agli standard di privacy e sicurezza, onde evitare ingiustificati allarmi”. Le “presunte carenze” però, documenti alla mano, consistono in 56 “non conformità” in ordine alle soluzioni organizzative, amministrative e tecniche adottate a tutela dei dati trattati. Alcune così gravi da dovervi porre rimedio “immediatamente”.

L’indagine potrebbe valicare i confini lombardi. Proprio Regione Lombardia infatti, insieme a Emilia e Veneto, si è offerta di validare le specifiche di dettaglio per l’interoperabilità dei sistemi regionali del “Fascicolo sanitario elettronico”, la cartella sanitaria virtuale che a regime dovrà custodire le informazioni cliniche e sanitarie di tutti gli assistiti dal SSN, compresi 100 miliardi di documenti clinici che produce ogni anno e 600 milioni di ricette dell’assistenza farmaceutica convenzionata. Il punto, sollevato dal Garante è: siamo sicuri?

Lombardia Informatica, che non ha mai smentito o rettificato l’articolo, in una nota spiega di non aver ancora ricevuto richieste dall’autority. E tuttavia sin d’ora “la Società assicura la massima trasparenza e precisa che i dati sensibili dei Cittadini lombardi, gestiti da questo Servizio, sono in sicurezza; ribadisce ampia disponibilità affinché gli organi competenti compiano le dovute verifiche”. In sostanza, assicura che metterà a disposizione del Garante la documentazione. La stessa che veniva però negata ai giornalisti del fattoquotidiano.it. Per “motivi di riservatezza”.