GPDP: irrorata sanzione nei confronti di Senseonics inc per divulgazione di dati personali di natura sanitaria

E’ stata segnalata al Garante per la protezione dei dati personali, da parte di un dipendente nell’ambito di una campagna informativa, l’invio di messaggi di posta elettronica con gli indirizzi dei destinatari nel campo ‘Cc’ anziché in quello ‘Ccn’. Ciò ha consentito a ogni destinatario di visualizzare gli indirizzi e-mail degli altri destinatari che in questo caso contenevano anche dati sanitari.

Il Garante ha riscontrato che il responsabile del trattamento (una società statunitense) ha divulgato illegalmente account di posta elettronica e dati sanitari relativi a circa 2.000 pazienti diabetici e ha commesso ulteriori violazioni delle leggi sulla protezione dei dati. In particolare, dopo aver scaricato l’app, gli utenti erano obbligati ad accettare, con un solo clic, le condizioni di utilizzo del servizio unitamente ai contenuti della privacy policy. Ciò ha impedito loro di prestare il proprio consenso separatamente alle singole operazioni di trattamento, compreso il trattamento dei dati sanitari. Sono stati violati anche i principi di correttezza e trasparenza in quanto le informazioni fornite agli utenti erano poco chiare e incomplete e la società non aveva designato, per iscritto, il proprio rappresentante UE per tutte le questioni relative alla privacy ai sensi del GDPR.

Tenuto conto della natura non intenzionale dell’attività di emailing, della collaborazione dimostrata dalla società nello svolgimento delle attività istruttorie e del profilo organizzativo della società, l’Autorità ha irrogato una sanzione amministrativa di 45.000 euro e un’ingiunzione al trattamento rispetto del GDPR

Approfondimenti:

•  Ordinanza ingiunzione nei confronti di Senseonics Inc. “