GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/1836/00.jpg
martedì 12 marzo 2024
di Dott. Alessandro Mammoli
La prima multa (di 250mila euro) è stata applicata alla società per aver inviato diverse email con gli indirizzi, in chiaro, di centinaia di destinatari malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio. L’altra (di 50mila euro), per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.
E’ col provvedimento dell’8 febbraio 2024 che il Garante per la Privacy ha sanzionato una società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie. La sanzione, doppia, è la conseguenza della violazione dei dati personali di centinaia di pazienti nonchè per aver fornito agli utenti un'informativa incompleta.
L'istruttoria ha avuto origine da una segnalazione di data breach inviata dall'azienda stessa al Garante per le Protezione dei dati personali. In particolare la società aveva segnalato al Garante l'invio di una notifica via email agli utenti dell'app collegata al dispositivo, per avvisare di una prossima manutenzione del server e della necessità, per gli utenti, di effettuare nuovo login.
La notifica è stata inviata tramite Microsoft Outlook per 11 diversi gruppi di invio: almeno 10 invii contenevano tra i 490 e i 495 indirizzi email in chiaro, inseriti nel campo A (ovvero in chiaro, come in CC) e non in copia nascosta (CCN). Sono stati esposti così circa 5.001 indirizzi e-mail di utenti dell’app in tutto il mondo, 732 dei quali italiani.
Dagli accertamenti del Garante sono emerse ulteriori violazioni: la Società non ha fornito un’informativa completa ai fruitori dei servizi di healthcare. All’interno dell’informativa non era indicata, ad esempio, la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account a quello del professionista sanitario di riferimento. Una violazione palese, in questo caso, dei principi di correttezza e trasparenza.
Questa violazione del GDPR è stata considerata separatamente, per la quantificazione dell'ammontare della sanzione amministrativa, rispetto all'esposizione delle email dei pazienti diabetici.
L’incidente sembra evidenziare comunque la mancata adozione delle misure organizzative adeguate per scongiurare i data breach e comporta la possibilità di terzi di accedere agli indirizzi email di persone potenzialmente autorizzate a prodotti per il diabete. Inoltre, in diversi casi, gli indirizzi email esposti erano composti da un nome e cognome, divulgando di conseguenza, in modo indiretto, anche dati personali ulteriori rispetto allo stato di salute. Dati questi, che rientrano in una categoria altamente sensibile e particolare di dati personali.
Per approfondire > Medicina digitale e protezione dei dati; tra consenso e protezione del dato
La società, per porre rimedio al danno, ha intrapreso una serie di azioni:
Non è la prima volta che il Garante per la Privacy emana un provvedimento per l’invio di comunicazioni con email in chiaro.
Per approfondire > Il Garante sanziona la Provincia di Trento per comunicazioni di gruppo con email in chiaro
martedì 5 novembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!