Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 5 000 euro mot Università di Padova för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att universitetssjukhuset anmält en personuppgiftsincident till Garante i enlighet med artikel 33 GDPR. Sjukhuset skickade av misstag ett e-postmeddelande där patienternas e-postadresser inte sattes in i BCC (hemlig kopia) utan i CC (kopia) till alla patienter som deltog i en klinisk prövning, vilket oavsiktligt gjorde e-postadresserna tillgängliga för alla patienter som väntar på en hjärttransplantation.
För att avhjälpa incidenten och minska de negativa effekterna för de berörda personerna gavs instruktioner om att informera varje berörd person om misstaget och uppmana dem att radera det tidigare skickade e-postmeddelandet och att inte använda andra mottagares e-postadresser.
Garante undersökte om behandlingen av e-postmottagarnas personuppgifter stred mot de grundläggande principerna i artikel 5 GDPR.
Sjukhuset hävdade att de potentiella konsekvenserna för de berörda parterna var genomsnittliga, med tanke på att hälsouppgifterna, förekomsten av en planerad hjärttransplantation, var isolerade och gemensamma för alla berörda parter och inte åtföljdes av några andra känsliga uppgifter. Dessutom var endast 7 av de 19 e-postadresserna igenkännbara, medan de övriga 12 inte omedelbart kunde spåras till kontoinnehavaren. Sjukhuset hävdade vidare att överträdelsen delvis berodde på COVID-19-pandemin och personalbrist. Slutligen hävdade sjukhuset att personen som skickat e-postmeddelandet inte gynnats av kränkningen och att inga klagomål tagits emot från de registrerade efter det att de registrerade underrättats om incidenten. Sjukhuset angav också vilka tekniska och organisatoriska åtgärder som ska vidtas för att förhindra incidenter i framtiden. Dessa åtgärder omfattade utbildning av personalen vid kommunikation med patienterna.
Garante ansåg att de argument som sjukhuset la fram inte var tillräckliga för att lägga ned ärendet. För det första omfattas e-postadresser i sig själva av begreppet personuppgifter och omfattas därför av artikel 4 GDPR. Dessutom ansåg Garante att det av e-postmeddelandet kunde utläsas att mottagarna var patienter som väntade på en hjärttransplantation. Att sända det ovannämnda meddelandet genom ett enda e-postmeddelande till flera mottagare, i den mån adresserna inte var krypterade med BCC, avslöjade i själva verket ömsesidigt de andra patienternas hälsotillstånd för mottagarna av samma meddelande.
Av dessa skäl förklarade Garante att behandlingen var olaglig och att den stred mot de grundläggande principerna i artiklarna 5.1 (f) och 9 GDPR. I enlighet med artiklarna 58.2 (i) och 83.5 (i) GDPR har Garante utfärdat en sanktionsavgift på 5 000 euro. Med tanke på att sjukhuset vidtog ytterligare åtgärder som ansågs nödvändiga för att förhindra liknande händelser i framtiden, uppfylldes dock inte villkoren för antagande av andra korrigerande åtgärder i enlighet med artikel 58.2 GDPR.