L’ASUR Marche è stata sanzionata per € 14.000 a seguito di un registrata vulnerabilità nel sistema di acquisizione e gestione dei dati dello screening del Covid-19.
L’istruttoria è stata avviata a seguito di una notizia stampa dalla quale emergeva che attraverso l’utilizzo dell’App denominata “Smart4You”, era possibile leggere il Codice QR presente sul talloncino rilasciato a chiunque si era sottoposto allo screening per Covid-19, al fine di consultare il “proprio dossier medico con le cartelle cliniche, le varie prenotazioni ospedaliere effettuate e i relativi esiti”.
Inoltre, secondo quanto riportato nella citata notizia stampa, tale codice non era elaborato in maniera casuale, ma seguiva un criterio progressivo per cui ad ogni numero corrispondeva un utente ed era sufficiente cambiare una cifra per accedere al profilo di qualcun altro.
A seguito dell’istruttoria, l’Autorità ha rilevato che il QR-code consegnato ai partecipanti dello screening Covid‐19 era generato tramite una codifica sequenziale, con una associazione diretta partecipante‐esito tampone e che la piattaforma utilizzata per lo screening consentiva la decodifica del codice fiscale con accesso anche al numero di telefono degli interessati.
Inoltre, a seguito di tampone, i partecipanti ricevevano un SMS contenente anche l’esito del tampone e non solo la notizia della disponibilità del referto.
Il Garante ha altresì sottolineato che il trattamento di dati oggetto di ingiunzione necessitava una valutazione d’impatto, mai svolta dal Titolare del trattamento.