Garante Privacy multa società medica per l’invio di email in chiaro ai pazienti diabetici
Il Garante per la Protezione dei Dati Personali (Garante Privacy) ha comminato una sanzione nei confronti di Medtronic Italia, società attiva nella produzione di dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie, ritenuta responsabile dall’Autorità di aver esposto gli indirizzi email di numerosi utenti della sua app.
Ad annunciarlo è stato lo stesso Garante della Privacy, che lo ha reso noto nel corso della giornata di ieri, 7 Marzo 2024, riportando i dettagli del provvedimento sanzionatorio adottato in data 8 Febbraio 2024 (ecco il documento completo).
Attraverso il provvedimento in questione, in particolare, l’Autorità ha in realtà irrogato all’azienda due multe, per un importo complessivo di 300.000 euro.
Il motivo, come spiegato dal Garante, è stato l’invio di alcune email con gli indirizzi in chiaro di centinaia di destinatari, malati di diabete, che utilizzavano l’app MiniMed Mobile, sviluppata dalla società sanzionata, per la misurazione dei livelli di glucosio.
In particolare, stando a quanto emerso dall’istruttoria dell’Autorità, nell’inviare le email, l’inserimento degli indirizzi di posta elettronica era stato effettuato nel campo “copia per conoscenza” anziché in “copia nascosta”, consentendo a tutti i destinatari di consultare la mailing list nella sua interezza.
Come spiegato dal Garante della Privacy, i messaggi avevano ad oggetto un aggiornamento dell’applicazione, trattandosi dunque di una comunicazione di servizio. L’incidente, tuttavia, ha causato da parte Medtronic Italia la conseguente comunicazione a terzi non autorizzati di dati personali estremamente delicati, come quelli relativi alla salute.
L’episodio, per l’Autorità, ha anche messo in evidenza la mancata adozione di misure tecniche e organizzative, che fossero ritenute adeguate, volte ridurre il rischio di un potenziale data breach.
Oltretutto, dagli accertamenti del Garante, volti a verificare la conformità dei trattamenti effettuati mediante i servizi offerti all’utenza, sono emerse altre violazioni.
Come reso noto dall’Autorità, infatti, nell’informativa non era indicata la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti, che intendevano collegare il proprio account personale con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza.
Queste ulteriori violazioni, ha spiegato il Garante, sono state considerate separatamente ai fini della quantificazione della sanzione amministrativa, pari, si ricorda, a 300.000 euro, divisa in due multe.
La prima, di 250.00 euro, è stata infatti applicata per l’invio delle email con gli indirizzi in chiaro degli utenti della sua app di monitoraggio.
La seconda, invece, pari a 50.000 euro, è stata irrogata per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.
Editing Mattia Castro
Per rimanere aggiornato sulle novità della telefonia seguici su Google News cliccando sulla stella, Telegram, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.
