La società ha inviato un’email di aggiornamento dell’App MiniMed per la misurazione del glucosio, inserendo gli indirizzi di centinaia di utenti in chiaro invece che in copia nascosta. Un errore che ha consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, esponendo dati personali delicati, come quelli sulla salute, di 5000 persone in tutto il mondo (di cui 732 in Italia).
Il Garante della privacy ha inflitto una multa di 300mila euro a Medtronic Italia, nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.
Indirizzi email in chiaro e informativa incompleta
La prima sanzione, di 250mila euro, è stata applicata perché la società ha inviato alcune email di servizio, per aggiornare l’App MiniMed Mobile per la misurazione del glucosio, inserendo gli indirizzi di centinaia di utenti in chiaro invece che in copia di conoscenza nascosta. Un errore che ha consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.
Un’altra sanzione di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare. Non era indicata, ad esempio, la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza. L’incidente ha messo anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach.
“L’incidente notificato – si legge nel provvedimento – comporta la possibilità per terzi non autorizzati di accedere a indirizzi email di persone potenzialmente interessate a prodotti per il diabete, ovvero agli indirizzi email dei loro caretaker. Tali indirizzi email sono in alcuni casi costituiti da una combinazione di nome e cognome che rende così possibile l’identificazione del soggetto in questione, divulgando indirettamente dati relativi alla sua salute, ovvero una categoria particolare di dati personali ai sensi dell’art. 9 del GDPR”.
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
Esposti oltre 5000 indirizzi di utenti in tutto il mondo
Sono stati esposti circa 5.000 indirizzi email di persone che usano l’App in tutto il mondo, di cui 732 in Italia. La stessa violazione viene riportata da altre consociate del gruppo Medtronic alle Autorità competenti in tema di protezione dei dati di Belgio, Repubblica Ceca, Finlandia, Germania, Paesi Bassi, Norvegia, Spagna, Svezia, Francia, Regno Unito.
Immediatamente dopo l’incidente, Medtronic ha effettuato un tentativo di richiamare tutte le email, chiedendo a tutti gli utenti interessati di eliminare qualsiasi copia dell’email ricevuta, e ha fatto sapere che sta per implementare un nuovo strumento automatizzato per evitare altri errori in futuro.
