L’autorità garante per la privacy ha comminato due sanzioni del valore totale di 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie. La prima, da 250mila euro, è stata inflitta per l’invio di e-mail con gli indirizzi in chiaro di centinaia di destinatari, malati di diabete, che utilizzavano un’app per la misurazione dei livelli di glucosio. L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.
Nel corso dell’istruttoria è emerso che, nell’inviare le e-mail che segnalavano un aggiornamento dell’applicazione – quindi una comunicazione di servizio – l’inserimento degli indirizzi email nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società, a terzi non autorizzati di dati personali estremamente delicati, come quelli relativi alla salute.
«L’incidente» osserva il Garante nella nota che riporta il caso «metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach».
Dagli accertamenti del Garante, sono emerse inoltre altre violazioni che sono state considerate separatamente ai fini della quantificazione della sanzione amministrativa. «In particolare, nell’informativa non era indicata la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account personale con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza».