Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 12 000 euro mot Azienda Socio Sanitaria Territoriale (ASST) Ovest Milanese för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett tre förfaranden mot en hälso- och sjukvårdsorganisation ASST Ovest Milanese för att ha brutit mot principerna om integritet och konfidentialitet i behandlingen av personuppgifter, särskilt hälsodata.
De tre fallen av dataintrång gällde felaktig överföring av två personers kallelse gällande bedömning av funktionshinder till en tredje person, felaktig användning av fältet “kopia” i ett e-postmeddelande som skickades till 198 patienter som behandlas för multipel skleros, vilket avslöjade deras e-postadresser och hälsotillstånd, samt felaktig leverans av medicinsk dokumentation som också innehöll testresultatet till en patient.
ASST Ovest Milanese hävdade att det rörde sig om mänskliga misstag, att det inte fanns någon uppsåt eller allvarlig försummelse, och att verksamheten vidtagit åtgärder för att undvika liknande incidenter i framtiden.
Garante konstaterade att ASST Ovest Milaneses argument inte var tillräckliga och att ASST Ovest Milanese brutit mot dataskyddsreglerna. Garante konstaterade därför överträdelser av artiklarna 5.1 (f), 9 och 32 GDPR.