Il Garante per la protezione dei dati personali ha sanzionato una società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie (provvedimento 8 febbraio 2024 n. 62).

La prima sanzione per un incidente di sicurezza relativo all’invio non autorizzato di e-mail contenenti dati sensibili di pazienti diabetici e per aver omesso l’applicazione di misure adeguate per prevenire il data breach.

L’altra sanzione per non ha fornito un’informativa completa sul trattamento dei dati, ai pazienti fruitori dell’applicazione.

L’ incidente di sicurezza è stato casusato da un errore umano.

Il caso in esame

L’evento ha riguardato l’invio massivo di comunicazioni di servizio contenenti l’indicazione, in chiaro, degli indirizzi e-mail di centinaia di destinatari iscritti alla mailing list dell’applicazione MiniMed Mobile. Gli indirizzi e-mail dei destinatari sono stati inclusi nel campo “A”, anziché nel campo “CCN”.

Tale errore, ha comportato una violazione della privacy piuttosto rilevante. L’applicazione in questione, in realtà, misura i livelli di glucosio di pazienti affetti da diabete trattando, dunque, dati personali delicati relativi alla salute.

L’incidente ha altresì svelato la mancata adozione da parte della Società di misure tecniche e organizzative adeguate a ridurre il rischio di data breach dal momento che “l’invio di comunicazioni […] a un numero plurimo di destinatari […] ha, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri interessati configurandosi, pertanto, un trattamento di dati sulla salute in violazione degli artt. 5, par. 1 lett. a) e f), 9 e 32 del Regolamento”.

Informativa e consenso

Inoltre, da successivi accertamenti del Garante per verificare la conformità dei trattamenti effettuati dalla Società, sono emerse ulteriori violazioni. In particolare, l’incompletezza dell’informativa sulla privacy relativa all’applicativo che consente la condivisione dei dati clinici del paziente con il professionista sanitario. La Società ha omesso l’elemento informativo relativo alla base giuridica in virtù della quale viene effettuata la richiamata comunicazione di dati, identificabile nel consenso, configurando così una violazione del principio di correttezza e di trasparenza.

A questo proposito, il Garante ha ricordato che, in base alle Linee guida sulla trasparenza nella versione emendata adottata l’11 aprile 2018,

Attenzione: “l’elemento della “facile accessibilità” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perché gli sono fornite direttamente, un link lo dirige verso di esse […] oppure perché le informazioni si configurano come […] informativa sulla privacy stratificata online, FAQ, pop-up che si attivano quando l’interessato compila un modulo online oppure, in un contesto digitale interattivo, attraverso un’interfaccia chatbot, ecc.)”.

(Fonte Garante Privacy)

Potrebbe interessarti:

E-mail dei dipendenti

Invio di e-mail ad indirizzi in chiaro

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?