App per diabatici, attenzione alla privacy degli utenti

In particolare, si tratta di due provvedimenti sanzionatori. Il primo, di 250mila euro, è dovuto al fatto che la società aveva inviato alcune mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio. Il secondo provvedimento di 50mila euro è invece stato adottato per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Nel corso dell’istruttoria è infatti emerso che nell’invio di mail per un aggiornamento dell’applicazione, quindi una comunicazione di servizio, erano stati inseriti gli indirizzi email nel campo “copia per conoscenza” anziché in “copia nascosta”. Ciò aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società, a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.

L’incidente metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach.

Dagli accertamenti del Garante per verificare la conformità dei trattamenti effettuati mediante i servizi offerti all’utenza, sono emerse poi altre violazioni considerate separatamente ai fini della quantificazione della sanzione amministrativa.

In particolare, nell’informativa, non era indicata la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account personale con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza.