I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

Dispositivi medici: ruoli e adempimenti privacy

Nel contesto della protezione dei dati personali, i provvedimenti adottati dal Garante non sempre contengono tutti gli elementi di interesse nella parte dispositiva del provvedimento stesso. Spesso, informazioni rilevanti a fini formativi si trovano nella descrizione dei fatti o nei riscontri forniti dalla parte coinvolta, che illustrano le modalità adottate per conformarsi alla normativa sulla protezione dei dati personali.

Un esempio significativo di questa dinamica è rappresentato dal provvedimento a carico di Medtronic Italia, relativo all’adozione di misure di sicurezza ritenute non adeguate che hanno portato alla divulgazione di dati sanitari a terzi non autorizzati. In questo caso, è nella descrizione dei fatti e nei riscontri forniti da Medtronic Italia che emergono dettagli importanti sulla generale “impostazione privacy” adottata per la messa a disposizione e l’uso di un dispositivo medico indossabile, collegato a una app e ad un software per la gestione dei relativi dati sanitari rilevati.

Questo caso fornisce utili suggerimenti sulle modalità attuative degli adempimenti privacy da adottare in queste circostanze che riassumiamo di seguito.

Contestazioni e addebiti

Le contestazioni del Garante Privacy nel provvedimento dell’8 febbraio 2024 (doc. web n. 9991183) possono riassumersi come segue:

Violazione dei dati personali:

  • La società Medtronic Italia ha notificato una violazione di dati personali ai sensi dell’art. 33 del GDPR.
  • Un dipendente ha inviato notifiche e-mail agli utenti dell’app, includendo gli indirizzi e-mail dei destinatari nel campo “A” anziché nel campo “CCN”, rendendo visibili a tutti i destinatari gli indirizzi e-mail per lo più nominativi.
  • A seguito di ciò ciascun destinatario è venuto a conoscenza, anche se implicitamente, della patologia sofferta dagli altri destinatari.
  • Medtronic ha adottato misure per richiamare le e-mail e ha chiesto agli utenti di eliminare qualsiasi copia dell’e-mail ricevuta.

Mancanza di misure di sicurezza adeguate:

  • Le misure tecniche ed organizzative adottate dall’azienda non sono state ritenute dal Garante idonee a garantire un livello di sicurezza adeguato al rischio poi concretizzatosi.
  • Tale mancanza – in aggiunta alla presunta assenza di un idoneo presupposto giuridico riguardo a un’operazione di comunicazione dati e alla conseguente inidoneità dell’informativa – ha determinato l’irrogazione di una sanzione pecuniaria.

Modalità di funzionamento dell’applicazione mobile e del software

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4