M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Il Garante per la privacy ha sanzionato una società per l’illecito trattamento dei dati personali dei pazienti effettuato mediante un dispositivo medico

(Garante per la privacy – Provvedimento n. 9991183 dell’8 febbraio 2024).

Con il provvedimento n. 9991183 dell’8 febbraio 2024, il Garante per la protezione dei dati personali italiano ha inflitto ad una società titolare di un dispositivo medico una sanzione amministrativa pecuniaria pari complessivamente a 300 mila euro a seguito dell’accertamento dell’illiceità del trattamento dei dati personali dei pazienti effettuato dalla medesima.

La società in questione è titolare di un’applicazione che collega via bluetooth la pompa per l’insulina prodotta dalla società medesima allo smartphone dell’utente, o del caregiver di quest’ultimo, consentendogli così di visualizzare le informazioni della pompa e del sensore sul proprio cellulare. Ai fini dell’utilizzo dell’applicazione in questione, il sistema richiede che il paziente, o chi per esso, registri il proprio account su un software sempre di titolarità della società, che è a sua volta classificato come dispositivo medico.

Qualche tempo fa la società in questione notificava al Garante una violazione dei dati personali ai sensi dell’articolo 33 GDPR (evento più comunemente noto come data breach). Nel caso di specie la società dava atto che, nell’invio di una mail destinata agli utenti dell’applicazione per informarli di un aggiornamento del software, a causa di un errore umano, gli indirizzi dei destinatari venivano inseriti nel campo “A:” anziché nel campo “CCN:”. A causa del suddetto errore, dunque, gli indirizzi e-mail di alcune centinaia di destinatari erano stati resi visibili agli altri destinatari.

La società dava, altresì, atto che l’errore umano era stato cagionato dal mancato rispetto della procedura definita dalla società e, a fonte dell’evento occorso, la stessa si era immediatamente attivata con una serie di azioni correttive, tra cui (1) il richiamo delle e-mail; (2) istruire i destinatari dell’e-mail a (i) eliminare qualsiasi copia dell’e-mail ricevuta con gli indirizzi e-mail del destinatario nel campo “a” e (ii) a non intraprendere ulteriori azioni con tali informazioni; e (3) formare nuovamente il personale interessato coinvolto nel trattamento, sia (i) per ricordare loro l’importanza di seguire le procedure standard adottate, sia (ii) per iniziarli all’implementazione del nuovo strumento automatizzato che la società ha deciso di introdurre per evitare che eventi del genere possano ripetersi.

A seguito dell’apertura della fase istruttoria, inoltre, il Garante chiedeva altresì alla società in questione di fornire alcuni chiarimenti in merito a profili di protezione dei dati personali in relazione all’ulteriore trattamento realizzato nel contesto di una funzionalità aggiuntiva ed opzionale introdotta sull’applicazione durante la pandemia di Covid-19.

Nel 2020, la società, infatti, introduceva sull’app in questione una funzionalità aggiuntiva che permette agli utenti del dispositivo che lo consentano in modo espresso e specifico di condividere i dati del dispositivo caricati sul proprio account con il proprio medico. In relazione a tale trattamento, la società chiariva di essere titolare dei soli trattamenti correlati alla creazione dell’account e alla generazione dei report dei dati caricati dai dispositivi sulla piattaforma, mentre per le successive attività di trattamento, realizzate dal professionista, dei dati che la società avesse comunicato al medesimo nell’operare della funzione opzionale, quest’ultimo avrebbe agito in qualità di titolare autonomo del trattamento.

Tuttavia, osservava il Garante chiedendo chiarimenti in merito, nonostante il funzionamento della applicazione espressamente richiedesse al paziente di fornire esplicito consenso ai fini della condivisione delle proprie informazioni con il professionista sanitario, dalle informative privacy rese ai pazienti risultava omesso il dato informativo relativo alla base giuridica in virtù della quale veniva effettuata la comunicazione dei dati personali in questione.

L’Autorità Garante, all’esito dell’attività istruttoria, analizzati i rilievi offerti dalla società nelle proprie memorie difensive ha accertato l’avvenuta violazione delle disposizioni di cui agli articoli 33 e 12 e 13 del GDPR.

In primo luogo, in relazione al data breach comunicato, il Garante ha osservato, anzitutto, che gli indirizzi e-mail sono riconducibili alla nozione di dato personale e che le informazioni oggetto della notifica “seppure riferita ad una comunicazione di servizio, essendo indirizzata a soggetti utilizzatori dell’app XXX situati in Italia, che collega – tramite Bluetooth – la pompa per insulina XXX allo smartphone dell’utente, costituiscono dati personali relativi alla salute”. Inoltre, ha evidenziato il Garante, “nel caso di specie, le misure tecniche ed organizzative adottate dalla Società, non sono risultate idonee a garantire un livello di sicurezza adeguato al rischio vista la violazione di dati personali oggetto di notificazione da parte del titolare del trattamento e considerato il rilevante numero di indirizzi email (e quindi di destinatari) contenuti in una singola notifica”.

Pertanto, “l’invio di comunicazioni mediante notifiche email a un numero plurimo di destinatari (di cui 732 in Italia), che sono stati inseriti nel campo copia conoscenza (c.c.), ha, di fatto, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri interessati configurandosi, pertanto, un trattamento di dati sulla salute in violazione degli artt. 5, par. 1 lett. a) e f), 9 e 32 del Regolamento”.

In secondo luogo, in relazione all’informativa privacy fornita agli utenti in occasione dell’attivazione dell’ulteriore funzionalità dell’applicazione, il Garante ha rilevato, anzitutto, che dalla documentazione fornita risulta che l’informativa in questione non recasse chiare informazioni sul trattamento relativo alla comunicazione dei dati al professionista sanitario.

Pertanto, “tenuto conto che, in relazione al trattamento in esame come sopra descritto, tale collegamento -realizzato attraverso le funzionalità tecniche messe a disposizione dalla Società comporta una comunicazione di dati personali tra diversi titolari, rispetto alla quale va indicato, nella richiamata informativa, il presupposto giuridico su cui essa si basa, comportando una nuova operazione di trattamento di dati personali, ivi inclusi quelli sulla salute, da parte dei professionisti sanitari, in qualità di titolari autonomi. … la Società ha omesso di fornire l’elemento informativo relativo alla base giuridica in virtù della quale viene effettuata la richiamata comunicazione di dati personali; ciò, in violazione dei citati principi di correttezza e trasparenza di cui agli artt. 5, par. 1 lett. a), nonché degli artt. 12 e 13 del Regolamento”.

Alla luce delle violazioni rilevate, dunque, il Garante ha ingiunto alla società il pagamento della somma complessiva di euro 300.000 a titolo di sanzione amministrativa pecuniaria (di cui 250.000 euro comminati per la prima violazione individuata e 50.000 per la seconda) e ha disposto altresì la pubblicazione del provvedimento in questione sul sito web del Garante.

Data di pubblicazione
8.04.2024
Argomento trattato
Healthcare & Life Sciences

Iscrizione Newsletter

Share