Il Garante per la privacy italiano ha sanzionato una società di dispositivi medici per un totale di 300.000 euro a causa di due violazioni relative alla gestione dei dati dei pazienti diabetici. La sanzione principale, di 250.000 euro, è stata imposta per l’invio di e-mail contenenti gli indirizzi di centinaia di pazienti in chiaro, esponendo così dati sensibili relativi alla salute senza adeguata protezione. Una seconda sanzione, di 50.000 euro, è stata applicata per la mancanza di un’informativa completa ai pazienti riguardo all’uso dei loro dati personali.
L’indagine del Garante ha rivelato che le e-mail, legate all’aggiornamento di un’app per la misurazione del glucosio, esponevano gli indirizzi email dei destinatari nel campo “copia per conoscenza” anziché “copia nascosta”, permettendo a tutti i destinatari di vedere gli indirizzi email nella mailing list. Questo ha comportato una comunicazione non autorizzata di dati personali molto delicati.
L’incidente ha evidenziato la mancata adozione da parte della società di misure tecniche e organizzative adeguate per prevenire violazioni dei dati. Inoltre, l’informativa fornita non specificava la base giuridica per la comunicazione di dati personali dei pazienti, contravvenendo al principio di correttezza e trasparenza.
Questo caso sottolinea l’importanza per le aziende di adottare rigorose misure di sicurezza per proteggere i dati sensibili dei pazienti e di assicurarsi di comunicare in modo trasparente le basi legali per il trattamento dei dati personali.