Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 300 000 euro med Medtronic Italia för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Medtronic är ett medicintekniskt företag som är inriktat på innovation av diabeteslösningar, till exempel utveckling av MiniMed Mobile-appen som visar data från insulinpump och kontinuerlig glukosmätning. Appen erbjuder en direkt anslutning till patientens vårdgivare via en personlig programvara som kallas CareLink.
Medtronics medarbetare skickade e-post till användare av MiniMed Mobile-appen i olika länder inom och utanför EU. Syftet var att meddela dem om en uppdatering av serverunderhållet och de steg som behövdes för att återfå åtkomst till programvaran CareLink Personal som en del av denna uppdatering. Medarbetaren inkluderade mottagarnas e-postadresser i fältet “Till” i stället för i fältet “Hemlig kopia”. Detta ledde till att omkring 5 000 e-postadresser till användare av MiniMed Mobile-appen världen över avslöjades, inklusive 732 i Italien.
E-postadresserna bestod i vissa fall av en kombination av den registrerades förnamn och efternamn, vilket gjorde det möjligt att identifiera personen i fråga och därmed indirekt lämna ut uppgifter om dennes hälsa i den mening som avses i artikel 9 GDPR. Medtronic betonade dock att innehållet i e-postmeddelandet inte innehöll några personuppgifter, men avslöjade att mottagarna var användare av MiniMed Mobile-appen. Medtronic anmälde i egenskap av personuppgiftsansvarig överträdelsen till Garante, och försökte återkalla alla e-postmeddelanden och instruerade berörda användare att radera dem. Baserat på denna anmälan av incidenten begärde Garante information.
Granate granskade Medtronics åtgärder avseende delning av personliga hälsodata via e-postmeddelanden till ett stort antal mottagare. Garante drog slutsatsen att Medtronic i egenskap av personuppgiftsansvarig inte uppfyllt skyldigheten att genomföra lämpliga säkerhetsåtgärder för att skydda personuppgifter enligt artikel 5.1 (f) GDPR och artikel 32 GDPR. Enligt Garante var de tekniska och organisatoriska åtgärder som vidtagits av bolaget inte lämpliga för att garantera en säkerhetsnivå som var adekvat i förhållande till risken, särskilt med tanke på att personuppgiftsincidenten som anmäldes av Meditronic som sådan och med tanke på det betydande antalet e-postadresser som ingick i en enda anmälan.
Dessutom konstaterade Garante de en överträdelse av artikel 9 GDPR, som rör behandling av särskilda kategorier av personuppgifter, såsom hälsouppgifter. I detta fall utgjorde det obehöriga utlämnandet av e-postadresser till personer som sannolikt lider av diabetiska tillstånd en överträdelse på grund av otillräckliga säkerhetsåtgärder från företagets sida.
Slutligen konstaterade Garante överträdelser av artiklarna 5.1 (a), 12 och 13 GDPR avseende delning av patienters kliniska data genom funktionen “Health Partner Share” som gjorde det möjligt för patienten att länka sitt konto med sin vårdpersonals konto. Överträdelsen härrörde från företagets underlåtenhet att tillhandahålla tydlig och transparent information om behandlingen av personuppgifter under länkningen av personuppgifter. I synnerhet saknade Meditronics integritetspolicy tydlighet avseende den rättsliga grunden för behandling av personuppgifter, inklusive hälsouppgifter, i samband med funktionen.