Il CNIL (Commission Nationale de l’Informatique et des Libertés) – Garante francese – ha sanzionato con una multa di € 3000 e € 6000 due medici che non avevano adeguatamente protetto i dati personali dei propri pazienti come previsto dagli obblighi del titolare del trattamento.
Il CNIL, a seguito di un controllo effettuato nel 2019, ha rilevato che migliaia di immagini mediche ospitate su server appartenenti a due medici liberali erano liberamente accessibili su Internet.
Durante i controlli, i medici hanno ammesso che le violazioni dei dati (data breach) erano dovute a una cattiva scelta di configurazione. Una cattiva configurazione del loro software. Le indagini hanno anche stabilito che le immagini mediche conservate sui loro server non erano sistematicamente crittografate.
Sulla base di questi elementi, è stata riscontrata una violazione dell’obbligo di sicurezza dei dati (articolo 32 del GDPR).
L’art. 32 prevede che il tiolare del trattamento mette “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“.
I medici avrebbero dovuto garantire che la sicurezza informatica delle loro reti informatiche, non portasse a rendere i dati liberamente accessibili su Internet.
Inoltre, il CNIL non ha ricevuto alcuna comunicazione della violazione dati. Ciò ha comportato anche una violazione dell’obbligo di notificare (articolo 33 del GDPR).
I due medici, infatti, non hanno notificato il data breach al Garante una volta venuti a conoscenza della violazione.
(vai alla pagina CNIL)