E-mail in chiaro a pazienti diabetici, Garante Privacy multa società di dispositivi medici
Il Garante Privacy ha multato la società per dispositivi medici Medtronic Italia. Per un errore erano state inviate e-mail in chiaro a centinaia di pazienti diabetici
Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici che usavano la sua app per la misurazione del glucosio: per questo motivo il Garante Privacy ha multato per complessivi 300 mila euro una società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie. Le sanzioni sono due. La prima, di 250mila euro, è stata applicata alla società per aver inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app. L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.
App per diabetici ed e-mail in chiaro
La società, Medtronic Italia, aveva notificato al Garante Privacy che un membro del team Medtronic Diabete aveva inviato una notifica via e-mail agli utenti dell’app MiniMed Mobile situati in vari paesi all’interno e all’esterno dell’UE per informarli su un aggiornamento di manutenzione del server. A a causa di un errore umano, però, gli indirizzi email erano stati inseriti in chiaro e non nel campo CCN. Erano stati esposti circa 5 mila indirizzi in tutto il mondo e 732 in Italia.
La società ha anche spiegato che “il contenuto della notifica e-mail non includeva alcun dato personale in modo che solo gli indirizzi e-mail erano visibili agli altri destinatari. Immediatamente dopo essere venuta a conoscenza del problema, Medtronic ha adottato misure per rimediare al problema e impedire che si ripresenti. È stato immediatamente effettuato un tentativo di richiamare tutte le e-mail e un’e-mail è stata inviata a tutti gli utenti interessati chiedendo loro di eliminare qualsiasi copia dell’e-mail ricevuta”.
Il contenuto dell’e-mail non includeva dati personali ma rivelava che i destinatari erano utenti dell’app e quindi persone che potevano essere affette da diabete.
Per il Garante Privacy ”l’invio di comunicazioni mediante notifiche email a un numero plurimo di destinatari (di cui 732 in Italia), che sono stati inseriti nel campo copia conoscenza (c.c.), ha, di fatto, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri interessati”.
Nel corso dell’istruttoria, informa la newsletter del Garante, “è emerso che, nell’inviare le e-mail aventi ad oggetto un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società, a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute. L’incidente metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach”.
Gli accertamenti svolti dal Garante hanno evidenziato altre violazioni del trattamento dati che sono state considerata separatamente per quantificare la sanzione.