Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 18 000 euro mot Cluster S.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Cluster, en organisation som anordnar utbildningsevenemang för läkare, behandlat och spridit känsliga personuppgifter om hälsa och brottmål som rörde två patienter, utan deras samtycke och utan att ha vidtagit tillräckliga åtgärder för att anonymisera eller skydda uppgifterna. Uppgifterna hade använts som undervisningsmaterial i ett utbildningsevenemang och gjorts tillgängliga på webben genom en länk som skickats till 26 deltagare. En av patienternas anhöriga klagade till Garante som inledde en utredning.
Cluster försvarade sig genom att hävda att de agerat i god tro, att de hade förlitat sig på den medicinska expert som försett dem med uppgifterna, att de hade räknat med att deltagarna skulle respektera sekretess och yrkesetik, och att de raderade länken så snart de fått reda på överträdelsen.
Garante avvisade samtliga argument och konstaterade att Cluster varit försumliga och inte uppfyllt sina skyldigheter som personuppgiftsansvarig enligt artiklarna 5, 17 och 32.1 GDPR.