Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 15 000 euro mot Thin Srl för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante vidtagit åtgärder efter ett klagomål från en allmänläkare som hävdade att Thin hade brutit mot GDPR. Thin drev ett internationellt projekt för att förbättra patientvården genom att samla in och analysera hälsouppgifter. För att kunna delta i projektet var läkarna tvungna att lägga till en extra funktion i sin befintliga programvara. Tilläggsfunktionen var tänkt att automatiskt anonymisera patientdata och överföra dem till Thin databas.
Under sin utredning konstaterade Garante att den installerade tilläggsfunktionen inte effektivt anonymiserade data. Dessutom konstaterade Garante att Thin också brutit mot sina informationsskyldigheter enligt GDPR. Thin hade felaktigt antagit att företaget behandlade anonymiserade uppgifter och faktiskt behandlat personuppgifter utan att lämna tillräcklig information till de registrerade. Enligt Garante utgjorde detta överträdelser av artiklarna 5.1 (a), 9 och 13 GDPR.