Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 5 000 euro mot en läkare för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD har utfärdat en sanktionsavgift mot en läkare i Italien för att ha brutit mot artiklarna 5.1 (a), (c) och (f) samt 9 GDPR, genom att skicka ett meddelande med känsliga uppgifter om en patients sömnapné till ett företag som säljer andningsmaskiner, utan patientens samtycke.
Läkaren hävdade att han agerat i patientens intresse och att han fått patientens implicita samtycke genom ett e-postmeddelande, men Garante ansåg att detta inte var tillräckligt för att uppfylla kraven på ett fritt, specifikt, informerat och uttryckligt samtycke, särskilt när det gäller kategorier av särskilda personuppgifter som hälsodata.
Garante ansåg också att läkaren agerat som en självständig personuppgiftsansvarig, eftersom han bestämt ändamålen och medlen för behandlingen av patientens data, utan att följa instruktionerna från den klinik där han arbetade som konsult.