App mediche: “sanzionata società di dispositivi medici per aver violato dati di pazienti diabetici” a cura dello Studio Stefanelli&Stefanelli

Il Garante privacy ha di recente pubblicato il provvedimento n. 9991183 con il quale ha comminato due sanzioni ad una società che produce dispositivi medici.

L’analisi del provvedimento risulta utile per ricordare l’obbligo di prevedere delle procedure e di fornire specifiche istruzioni al personale in grado di prevenire il verificarsi di errori umani nel trattamento dei dati.

Errori umani che, in ambito medicale, possono comportare violazioni che impattano sui diritti dei pazienti e che espongono il Titolare al rischio di sanzioni da parte dell’Autorità.

La violazione

La società sanzionata è un leader globale nello sviluppo e nella produzione di dispositivi medici per la cura e il trattamento di svariate patologie, tra cui il diabete. Per tale patologia, la società, ha sviluppato un’app che collega la pompa per insulina allo smartphone dell’utente dopo la sua registrazione ad un dispositivo medico collegato, a sua volta, su richiesta dell’interessato, all’account del professionista sanitario.

Un addetto all’assistenza tecnica della società ha inviato via mail una notifica per avvisare gli utenti di un aggiornamento di manutenzione del server e della necessità di fare un nuovo accesso al dispositivo medico. I messaggi di posta inviati sono state complessivamente 11, di cui 10 contenevano tra 490 e 495 indirizzi e-mail ed 1 notifica 8 indirizzi e-mail. Tali indirizzi sono stati inseriti nel campo “CC” (copia conoscenza) anziché “CCN” (copia conoscenza nascosta), quindi rivelati accidentalmente a tutti gli utenti del servizio. Complessivamente sono stati resi visibili circa 5.001 indirizzi e-mail di utenti dell’app  in tutto il mondo, di cui 732 in Italia. La società ha quindi notificato al Garante privacy la violazione dei dati personali ai sensi dell’articolo 33 del GDPR.

La posizione del Garante

Il Garante ha, innanzitutto, chiarito che le informazioni oggetto della mail, pur trattandosi di una comunicazione di servizio, sono da considerarsi dati personali relativi alla salute in quanto implicano la presenza di una patologia diabetica a carico dei soggetti utilizzatori dell’app.

In secondo luogo, ha rilevato l’inadeguatezza delle misure tecniche ed organizzative adottate dall’azienda in considerazione anche del grande numero di indirizzi di posta elettronica a cui la società ha indirizzato una singola e-mail.

L’invio della comunicazione ha di fatto, in assenza di idoneo presupposto giuridico, rivelato reciprocamente a 732 destinatari lo stato di salute degli altri interessati i cui indirizzi e-mail apparivano nel campo “CC”.

Il Garante, pertanto, ha comminato una sanzione pari ad euro 250.000 tenendo in considerazione:

  • il numero dei destinatari coinvolti nella violazione,
  • il livello di gravità medio e la categoria di dati personali;
  • il carattere non intenzionale della condotta posta in essere dal lavoratore,
  • l’assenza di reclami o segnalazioni al Garante
  • e la revisione delle procedure da parte della società per evitare il ripetersi di tali incidenti.

Il data breach occorso è stata l’occasione per rivelare anche una ulteriore violazione relativa all’omessa indicazione nell’informativa della base giuridica relativa alla finalità di comunicazione dei dati ai professionisti sanitari.

Nello specifico i dati clinici del paziente venivano condivisi con il professionista sanitario attraverso una funzionalità che collegava l’account del paziente a quello del medico in assenza di una informativa chiara e trasparente.

La comunicazione di dati personali, infatti, seppur tra diversi titolari del trattamento, costituisce una nuova operazione di trattamento e deve essere indicata nell’informativa insieme al presupposto giuridico su cui essa si basa. Per questa ulteriore condotta illecita, il Garante ha inflitto alla società una seconda sanzione pecuniaria pari ad euro 50.000.

Avv. Maria Livia Rizzo

Dott.ssa Simona Loprete