Quotidiano on line
di informazione sanitaria
Martedì 07 FEBBRAIO 2023
Cronache
segui quotidianosanita.it

Trattati in modo illecito gli indirizzi email di circa 2.000 pazienti diabetici. Sanzionata dal Garante della Privacy società statunitense


La Società ha notificato al Garante il data breach causato da un suo dipendente che, nell’ambito di una campagna informativa, ha inviato un messaggio di posta elettronica, inserendo gli indirizzi dei destinatari nel campo "cc" (carbon copy) invece che nel campo "bcc" (blind carbon copy). Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi email degli altri. IL PROVVEDIMENTO

04 OTT -

Il Garante privacy ha sanzionato per 45.000,00 euro una società statunitense, per violazioni sui dati personali nell’utilizzo del proprio sistema di monitoraggio del glucosio e per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 pazienti diabetici italiani.

La Società ha notificato al Garante il data breach causato da un suo dipendente che, nell’ambito di una campagna informativa, ha inviato un messaggio di posta elettronica, inserendo gli indirizzi dei destinatari nel campo "cc" (carbon copy) invece che nel campo "bcc" (blind carbon copy). Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi email degli altri.

In base al Gdpr, ha ribadito il Garante, l’indirizzo di posta elettronica è  da considerarsi un dato personale, perché riguarda una persona identificata o identificabile e va perciò trattato in modo lecito, corretto e trasparente, garantendo un’adeguata sicurezza.

Nel caso specifico, poi, considerato che la comunicazione era indirizzata a persone affette da diabete, le informazioni contenute nella email, costituivano “dati personali che possono rivelare lo stato di salute” e quindi potevano essere comunicati a terzi solo sulla base di una delega scritta dell’interessato o di un idoneo presupposto giuridico.

Nel corso dell’istruttoria l’Autorità ha rilevato ulteriori violazioni della normativa sulla protezione dei dati relative all’utilizzo del sistema di monitoraggio del glucosio. Scaricando l’apposita app, infatti, gli utenti erano chiamati ad accettare con un unico “clic” sia le condizioni contrattuali del servizio sia il contenuto dell’informativa privacy, rendendo così impossibile formulare specifici consensi per i diversi trattamenti dei dati, quale appunto quello per il trattamento dei dati sulla salute.

Violati anche i principi di correttezza e trasparenza, avendo la società fornito agli utenti un’informativa confusa e carente in molte parti essenziali. L’azienda aveva inoltre omesso di designare per iscritto il proprio rappresentante nell'Unione europea quale interlocutore per tutte le questioni privacy, come previsto dal Regolamento.

Nel valutare la sanzione da applicare alla società, il Garante ha tenuto conto della mancanza di intenzionalità nell’invio dell’email e del comportamento collaborativo della compagnia. In ottemperanza alle prescrizioni del Garante, l’Azienda dovrà conformare i trattamenti di dati personali alla normativa vigente e rielaborare l’informativa sulla privacy in una forma concisa, trasparente e comprensibile, comunicando le iniziative intraprese in tal senso.



04 ottobre 2022
© Riproduzione riservata

Altri articoli in Cronache

ISCRIVITI ALLA NOSTRA NEWS LETTER
Ogni giorno sulla tua mail tutte le notizie di Quotidiano Sanità.

gli speciali
Quotidianosanità.it
Quotidiano online
d'informazione sanitaria.
QS Edizioni srl
P.I. 12298601001

Sede legale:
Via Giacomo Peroni, 400
00131 - Roma

Sede operativa:
Via della Stelletta, 23
00186 - Roma
Direttore responsabile
Luciano Fassari

Direttore editoriale
Francesco Maria Avitto

Presidente
Ernesto Rodriquez

Tel. (+39) 06.89.27.28.41

info@qsedizioni.it

redazione@qsedizioni.it

Coordinamento Pubblicità
commerciale@qsedizioni.it
    Joint Venture
  • SICS srl
  • Edizioni
    Health Communication
    srl
Copyright 2013 © QS Edizioni srl. Tutti i diritti sono riservati
- P.I. 12298601001
- iscrizione al ROC n. 23387
- iscrizione Tribunale di Roma n. 115/3013 del 22/05/2013

Riproduzione riservata.
Policy privacy