Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 25 000 euro mot Azienda Usl Toscana Sud Est (AUSL) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att sjukhuset använt en reklamskylt föreställde en akutmottagning med synliga patienter. På reklamskylten syntes namnet på en registrerad tillsammans med namnet på dennes vårdgivare. Reklamskylten var placerad vid huvudingången till sjukhuset och var därför tillgänglig för allmänheten. AUSL tog bort skylten när den registrerade anmälde dataintrånget. AUSL anmälde också överträdelsen till Garante enligt artikel 33 GDPR.
Garant ansåg att sjukhusets spridning av hälsouppgifterna till allmänheten ansågs strida mot artikel 5.1 (a), (c) och (f) GDPR eftersom behandlingen var olaglig, överskred det avsedda ändamålet och inte säkerställde säkerheten för personuppgifterna. Vidare överträddes även artikel 9 GDPR eftersom behandling av hälsouppgifter är förbjuden och sjukhuset underlät att säkerställa ett lämpligt skydd för personuppgifter genom inbyggt dataskydd och dataskydd som standard, vilket strider mot artikel 25.1 och 25.2 GDPR.