App per diabetici: il Garante multa Medtronic Italia S.p.A.
Il Garante per la protezione dei dati personali ha sanzionato la Società Medtronic Italia S.p.A. per un incidente di sicurezza relativo all'invio non autorizzato di email contenenti dati sensibili di pazienti diabetici. La società ha omesso misure adeguate per prevenire il data breach e non ha fornito un'informativa completa sulla privacy.
Con il recente provvedimento dell’8 febbraio 2024, n. 62, il Garante per la protezione dei dati personali sanziona la Società Medtronic Italia S.p.A. in relazione ad un incidente di sicurezza causato da un errore umano.
L'evento ha riguardato l’invio massivo di comunicazioni di servizio contenenti l’indicazione, in chiaro, degli indirizzi e-mail di centinaia di destinatari iscritti alla mailing list dell’applicazione MiniMed Mobile.Tale errore, ha comportato una violazione della privacy piuttosto rilevante, dal momento che l’applicazione in questione misura i livelli di glucosio di pazienti affetti da diabete trattando, dunque, dati personali delicati relativi alla salute.
L’incidente ha altresì svelato la mancata adozione da parte della Società di misure tecniche e organizzative adeguate a ridurre il rischio di data breach dal momento che “l’invio di comunicazioni [...] a un numero plurimo di destinatari [...] ha, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri interessati configurandosi, pertanto, un trattamento di dati sulla salute in violazione degli artt. 5, par. 1 lett. a) e f), 9 e 32 del Regolamento”.
Inoltre, da successivi accertamenti del Garante per verificare la conformità dei trattamenti effettuati dalla Società, sono emerse ulteriori violazioni riguardanti l’incompletezza dell’informativa sulla privacy relativa all’applicativo che consente la condivisione dei dati clinici del paziente con il professionista sanitario. In particolare, la Società ha omesso l’elemento informativo relativo alla base giuridica in virtù della quale viene effettuata la richiamata comunicazione di dati, identificabile nel consenso, configurando così una violazione del principio di correttezza e di trasparenza.
A questo proposito, il Garante ha ricordato che, in base alle le Linee guida sulla trasparenza nella versione emendata adottata l’11 aprile 2018, “l’elemento della “facile accessibilità” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perché gli sono fornite direttamente, un link lo dirige verso di esse [...] oppure perché le informazioni si configurano come [...] informativa sulla privacy stratificata online, FAQ, pop-up che si attivano quando l’interessato compila un modulo online oppure, in un contesto digitale interattivo, attraverso un’interfaccia chatbot, ecc.)”.