by

L’autorità islandese per la protezione dei dati (Persónuvernd) ha inflitto una sanzione di ammontare pari a EUR20,643 al National Center of Addiction Medicine – ONG parte del servizio sanitario nazionale islandese, principale fornitore di servizi nell’ambito del trattamento delle dipendenze – determinata dalla mancata predisposizione di misure di sicurezza idonee a tutelare adeguatamente i dati personali dei propri pazienti.

La vicenda trae origine da una violazione dei dati personali che ha comportato l’accesso di un terzo non autorizzato ai nomi di circa 3.000 interessati, che avevano frequentato il centro di riabilitazione per abuso di alcol e sostanze stupefacenti, nonché ai dati contenuti nelle cartelle cliniche di 252 ex pazienti.

Informata del data breach, l’Autorità ha pertanto condotto un’indagine al fine di ricostruire l’accaduto, a seguito della quale ha ritenuto necessario procedere con l’emanazione di un provvedimento sanzionatorio nei confronti del Centro. La violazione, infatti, era il risultato della mancata attuazione da parte del titolare del trattamento di policies adeguate e di misure tecniche e organizzative appropriate per la protezione dei dati personali, rinvenendosi pertanto una violazione, tra l’altro, degli articoli 5(1)f e 32 del Regolamento UE 2016/679 (GDPR).

Nel determinare l’ammontare della sanzione, la Persónuvernd ha dovuto prendere atto (i) della particolare natura dei dati personali coinvolti nel data breach – rientranti nella categoria di dati relativi alla salute degli interessati – nonché (ii) del numero rilevante di soggetti coinvolti dalla violazione. D’altra parte, peraltro, l’Autorità ha altresì tenuto conto (i) della natura giuridica del Centro, operante nell’ambito dell’assistenza sanitaria senza scopo di lucro, e (ii) dell’impegno della ONG nell’implementazione di un sistema di trattamento dei dati personali più efficiente, mostrato già da prima che la violazione venisse alla luce.

(Visited 6 times, 1 visits today)
Close Search Window