Il Garante per la protezione dei dati personali, con provvedimento dell’8 febbraio 2024, ha sanzionato una società di dispositivi medici per plurime violazioni del Regolamento (UE) 2016/679.
Il provvedimento del Garante trae origine dalla segnalazione effettuata dalla società stessa che ha notificato all’Autorità una violazione di dati personali, ai sensi dell’art. 33 del Regolamento (UE) 2016/679. Infatti, la società comunicava all’Autorità che un proprio dipendente aveva inviato una notifica via e-mail agli utenti dell’app di dispositivi medici per diabetici per informarli di un aggiornamento di manutenzione del server e del conseguente obbligo per gli iscritti di accedere ad un software per completare l’aggiornamento. Il dipendente in questione, però, anziché provvedere all’invio della e-mail inserendo gli indirizzi dei destinatari nel campo “Copia Conoscenza Nascosta”, li aveva inseriti nel campo “Copia Conoscenza”, risultando così accessibili “in chiaro” a tutti gli utenti della mailing list.
A fronte di tale segnalazione, posto che gli indirizzi e-mail sono riconducibili alla nozione di “dato personale”, il Garante avviava apposita istruttoria dalla quale emergeva che:
– il comportamento del dipendente della società ha consentito a tutti i destinatari della comunicazione di servizio di vedere gli indirizzi e-mail contenuti nella mailing list, con la conseguente comunicazione, da parte della società, a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute. L’applicazione, infatti, è espressamente indirizzata a soggetti diabetici perché – tramite Bluetooth – consente di collegare la pompa per l’insulina allo smartphone dell’utente. “L’invio di comunicazioni mediante notifiche e-mail a un numero plurimo di destinatari …, ha, di fatto, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri interessati configurandosi, pertanto, un trattamento di dati sulla salute in violazione degli artt. 5, par. 1 lett. a) e f), 9 e 32 del Regolamento”. Tale violazione ha reso evidente anche il fatto che le misure tecniche ed organizzative adottate dalla società non sono risultate idonee a garantire un livello di sicurezza adeguato a ridurre il rischio di un data breach;
– l’”informativa sulla privacy” non recava chiare informazioni sul trattamento dei dati personali effettuato in occasione del processo di collegamento degli account del paziente non essendo in particolare indicato il presupposto giuridico su cui si basava il trattamento.
Alla luce delle suesposte violazioni, l’Autorità ha sanzionato la società al pagamento della somma complessiva di euro 300.000,00.