NEWS

Farmaceutica doveva mandare informazioni sanitarie a un paziente ma a ricevere la documentazione riservata sono quasi 2.000 destinatari

Ha combinato un bel pasticcio un’azienda farmaceutica che doveva mandare delle informazioni sanitarie ad un paziente, perché nella fase di invio tramite posta elettronica, tra i destinatari non ha inserito solo il diretto interessato, ma anche altre 1.870 persone che non avrebbero dovuto venire a conoscenza delle informazioni riservate contenute nella comunicazione, e soprattutto delle refertazioni che erano allegate alla mail, dato che la farmaceutica neanche si era preoccupata di impostare un pin o una password per consentire l’accesso al file pdf solo all’unico che ne era legittimato, così che in barba ad ogni tutela della privacy chiunque dei destinatari poteva curiosare nella documentazione dello stato di salute dello sventurato paziente.

Addio privacy per uno sventurato paziente i cui dati sanitari sono stati inviati a 1.870 persone

I fatti sono avvenuti nell'Isola di Man, dove l’autorità per la protezione dei dati ha inflitto una sanzione di 170.500 sterline  (pari a circa 202.000 euro) alla società Manx Care Ltd per non aver implementato misure tecniche e organizzative adeguate per proteggere i dati personali, violando anche il principio di minimizzazione prescritto dall'art. 5 (1) c) del Gdpr, e non informando l’interessato che a causa di tale data breach c’erano quasi duemila persone che avevano ricevuto le informazioni sul suo stato di salute che avrebbero dovuto rimanere riservate.

Il garante aveva pure mostrato ragionevolezza, non sanzionando immediatamente la farmaceutica, ma emettendo inizialmente un provvedimento prescrittivo per ordinarle di porre in essere le misure riparatorie e di adeguarsi alla normativa sulla privacy, ma la Manx Care non aveva reagito tempestivamente come avrebbe dovuto, non riuscendo neanche a rimediare ai propri errori.

Ma l’autorità ha tentato anche un ultimo gesto di clemenza nei confronti della negligente farmaceutica, dato che ha deciso di sospendere il pagamento della sanzione fino al 31 dicembre 2022, termine entro cui o sarà riuscita ad attuare le misure di sicurezza necessarie per adeguarsi, oppure il provvedimento amministrativo diverrà pienamente esigibile ed esecutivo e pertanto alla Manx Care non resterà altro che pagare.

Se lo slogan sul sito della Manx Care è “La tua salute è in ottime mani”, non si può dire altrettanto dei dati sensibili dei suoi pazienti.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Boom di dati personali rubati sul Dark Web: +44,1% in Italia
Next Corte di Giustizia UE su caso Facebook: non solo i garanti della privacy ma anche i garanti antitrust per chi tratta dati personali

Big Data e Internet of Things, gli esperti ne parlano al CNR di Pisa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy