La prima multa (di 250mila euro) è stata applicata alla società per aver inviato diverse email con gli indirizzi, in chiaro, di centinaia di destinatari malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio. L’altra (di 50mila euro), per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Il Garante sanziona due volte un'azienda di dispositivi medici

E’ col provvedimento dell’8 febbraio 2024 che il Garante per la Privacy ha sanzionato una società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie. La sanzione, doppia, è la conseguenza della violazione dei dati personali di centinaia di pazienti nonchè per aver fornito agli utenti un'informativa incompleta.

L'istruttoria ha avuto origine da una segnalazione di data breach inviata dall'azienda stessa al Garante per le Protezione dei dati personali. In particolare la società aveva segnalato al Garante l'invio di una notifica via email agli utenti dell'app collegata al dispositivo, per avvisare di una prossima manutenzione del server e della necessità, per gli utenti, di effettuare nuovo login.

La notifica è stata inviata tramite Microsoft Outlook per 11 diversi gruppi di invio: almeno 10 invii contenevano tra i 490 e i 495 indirizzi email in chiaro, inseriti nel campo A (ovvero in chiaro, come in CC) e non in copia nascosta (CCN). Sono stati esposti così circa 5.001 indirizzi e-mail di utenti dell’app in tutto il mondo, 732 dei quali italiani. 

L'informativa incompleta fornita agli utenti

Dagli accertamenti del Garante sono emerse ulteriori violazioni: la Società non ha fornito un’informativa completa ai fruitori dei servizi di healthcare. All’interno dell’informativa non era indicata, ad esempio, la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account a quello del professionista sanitario di riferimento. Una violazione palese, in questo caso, dei principi di correttezza e trasparenza.

Questa violazione del GDPR è stata considerata separatamente, per la quantificazione dell'ammontare della sanzione amministrativa, rispetto all'esposizione delle email dei pazienti diabetici.

L’incidente sembra evidenziare comunque la mancata adozione delle misure organizzative adeguate per scongiurare i data breach e comporta la possibilità di terzi di accedere agli indirizzi email di persone potenzialmente autorizzate a prodotti per il diabete. Inoltre, in diversi casi, gli indirizzi email esposti erano composti da un nome e cognome, divulgando di conseguenza, in modo indiretto, anche dati personali ulteriori rispetto allo stato di salute. Dati questi, che rientrano in una categoria altamente sensibile e particolare di dati personali.

Per approfondire > Medicina digitale e protezione dei dati; tra consenso e protezione del dato 

Le misure adottate dall'azienda sanzionata per far fronte al problema

La società, per porre rimedio al danno, ha intrapreso una serie di azioni:

• ha chiesto ai destinatari delle email di eliminare qualsiasi copia della notifica ricevuta nella quale erano visibili gli indirizzi degli altri destinatari;
• ha chiesto agli stessi di non utilizzare in nessun modo tali informazioni;
• ha provveduto a formare ulteriormente il suo personale attraverso nuove sessioni di training;
• ha cominciato a rivedere i suoi processi interni per evitare violazioni simili in futuro, adottando un nuovo sistema automatizzato. Ciò esclude che l’operatore debba scegliere tra indirizzi e-mail in chiaro o in copia nascosta, provvedendo automaticamente a posizionarli in copia nascosta.

Non è la prima volta che il Garante per la Privacy emana un provvedimento per l’invio di comunicazioni con email in chiaro.

Per approfondire > Il Garante sanziona la Provincia di Trento per comunicazioni di gruppo con email in chiaro