La capogruppo del M5S in Regione ha presentato una interrogazione alla Giunta regionale dopo aver appreso, a mezzo stampa, che per oltre 83mila persone ci sarebbe stata la possibile violazione della privacy per un buco nella gestione dello screening di massa per il coronavirus.

“Abbiamo letto in primis sul quotidiano Il Manifesto che per accedere alla app Smart4You, sviluppata da una ditta di San Benedetto del Tronto e in uso per tutte le pratiche digitali delle aziende sanitarie delle province di Ascoli e Macerata, serve un codice QR rilasciato automaticamente su un talloncino che viene consegnato a chi si sottopone allo screening. Questo codice QR” prosegue la consigliera Ruggeri “che non è altro che un codice numerico che identifica l’utente e dà accesso a vari servizi, non sarebbe elaborato in modo casuale ma seguirebbe un criterio progressivo, rendendo possibile cambiare la cifra finale per accedere al profilo di qualcun altro”

“Degli oltre 83mila marchigiani che fino alla data dell’uscita di questo articolo (6 gennaio) si erano sottoposti allo screening, pochi sono quelli che hanno completato la registrazione cambiando nome utente e password”.

Ruggeri prosegue: “Dopo aver letto che questi dati di terzo livello (ovvero informazioni strettamente personali come quelle anagrafiche e di natura medica) potrebbero essere stati accessibili, oltre al fatto che prenotando il tampone tramite il sito cureprimarie.it, dopo aver inserito il proprio codice fiscale nell’apposito form, il numero di telefono comparirebbe in automatico, abbiamo deciso di presentare una interrogazione in Consiglio regionale.
Conclude la consigliera del M5S: “Insomma, il sistema elaborato sembra avere più di una falla che permetterebbe a chiunque di accedere ai dati personali di chi ha effettuato il test”

“Al presidente e alla Giunta regionale chiederemo, tramite un’interrogazione preparata insieme all’on. Roberto Rossini, ingegnere informatico, se quanto riportato a mezzo stampa corrisponde alla realtà, se e con quali tempistiche si sono ripristinate le condizioni di sicurezza e privacy del sistema, se si sono  osservati gli obblighi di cui all’art.33 del Regolamento Europeo 16/679 (cioè la notifica della violazione dei dati personali all’autorità di controllo) e quali provvedimenti si sono adottati alla luce dei fatti accaduti, anche al fine di accertare le responsabilità”