Comunicazione pubblica
ai sensi dell'art. 34, par. 3, lett. c), del Regolamento (UE) 2016/679 Regolamento Generale sulla Protezione dei Dati - RGPD effettuata dall’Azienda Usl Toscana sud est-Titolare del trattamento in relazione al malfunzionamento del software dei Laboratori Analisi degli ospedali di Campostaggia e Nottola nel periodo 26 maggio-5 giugno 2025
Cosa è successo?
L’attività dei Laboratori Analisi degli ospedali di Campostaggia e Nottola dell’Azienda Usl Toscana sud est è stata recentemente interessata da un disservizio del sistema informatico che gestisce la lavorazione dei prelievi di sangue per analisi ematochimiche e la composizione e trasmissione al Fascicolo Sanitario Elettronico (FSE) del relativo referto. Per effetto del malfunzionamento verificatosi circa 1300 referti di laboratorio, relativi a circa 1200 pazienti, prodotti nel periodo 26 maggio-5 giugno 2025 e relativi a prelievi effettuati tra il 15 maggio e il 4 giugno 2025 nei centri prelievo dell’Azienda presenti in provincia di Siena, sono stati erroneamente caricati sul FSE di altri pazienti.
L’Azienda ha avuto notizia dell’accaduto a seguito di segnalazioni pervenute a partire dal 3 giugno, alcune relative alla mancanza di un referto di laboratorio sul proprio FSE e altre relative alla presenza sul proprio FSE del referto di laboratorio di altra persona.
Quali dati personali sono stati violati?
La violazione ha interessato i dati (dati relativi alla salute: valori ematochimici, dati anagrafici: nome e cognome, data di nascita, codice fiscale, dati di contatto: indirizzo) presenti in circa 1300 referti di laboratorio di prelievi effettuati da pazienti presso i punti prelievo aziendali della provincia di Siena nel periodo considerato e che rappresentano circa un terzo del totale dei referti prodotti dai due laboratori in quel periodo.
Il disservizio ha comportato perdita di riservatezza e temporanea indisponibilità dei dati; in ogni caso non si è verificata alcuna perdita di dati.
Che cosa ha fatto l’Azienda?
Ricevute le prime segnalazioni l’Azienda si è prontamente attivata con ESTAR ( l’Ente di Supporto Tecnico Amministrativo Regionale che gestisce i sistemi informatici aziendali) per la ricostruzione dell’accaduto e l’adozione delle misure tecniche allo stato dell’arte possibili per porre rimedio al disservizio.
In particolare, già in data 5 giugno:
- si è interrotta la generazione del disservizio
- si è introdotto un intervento correttivo sul sistema informatico
- si è ripristinata la trasmissione dei referti internamente all’Azienda e verso il FSE
in data 9 giugno a seguito del completamento dell’analisi:
- si è provveduto alla cancellazione dei circa 1300 referti inviati al FSE di circa 1200 pazienti sbagliati e alla ritrasmissione degli stessi al FSE dei circa 1200 pazienti corretti
In relazione all’accaduto l’Azienda ha provveduto a effettuare la notifica all’Autorità Garante per la protezione dei dati personali ai sensi dell’art. 33 RGPD.
Cosa posso fare?
Quanto accaduto è stato del tutto incidentale, non vi è stata alcuna azione intenzionale, e,pertanto, la possibilità che dalla violazione in questione derivi per gli interessati coinvolti un danno concreto è obiettivamente remota. In considerazione poi della tempestività delle azioni di rimedio poste in essere e del fatto che comunque il singolo referto è stato nella disponibilità non autorizzata di una singola persona che comunque ha avuto la sola potenzialità di visualizzare il referto e non è certo che lo abbia effettivamente visualizzato, il potenziale impatto sugli interessati risulta ulteriormente limitato.
Si ritiene comunque di suggerire ai potenziali interessati (utenti che hanno effettuato un prelievo ematico in uno dei punti prelievo dell’Azienda in provincia di Siena nel periodo considerato) di prestare particolare attenzione qualora si venga contattati da persone sconosciute con richiesta di fornire dati personali o altre richieste inusuali.
Chi posso contattare per avere maggiori informazioni?
Per maggiori chiarimenti circa l’accaduto ci si può rivolgere all’ufficio del Responsabile della Protezione Dati dell’Azienda con le seguenti modalità:
- telefonicamente al n. 0577-536890 o all’indirizzo mail
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. nel caso di richieste di carattere generale - esclusivamente all’indirizzo mail
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. nel caso di richieste di natura personale, in tal caso allegando copia di un documento di identità in corso di validità
Informazioni multilingue