Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt Azienda Sanitaria Locale Roma 1 med 46 000 euro för överträdelser av dataskyddsförordningen (GDPR), samt artiklarna 2-ter.1, 2-ter.3 och 2-septies.8 i kodexen om skydd av personuppgifter, innehållande bestämmelser för att anpassa den nationella lagstiftningen till dataskyddsförordningen (nedan kallad kodexen).
Av beslutet framgår att Garante på eget initiativ genomfört en granskning hos Azienda Sanitaria Locale Roma 1 där man upptäckt att vårdgivaren på sin webbplats publicerat namn och hälsouppgifter i klartext för de personer som mellan 2017 och 2018 begärt tillgång till medicinska dokument, som exempelvis läkarjournaler, funktionshinderbedömningar, tester och tekniska rapporter.
Med anledning av ovanstående konstaterade Garante att Azienda Sanitaria Locale Roma 1 brutit mot ett antal bestämmelser i dataskyddsförordningen och kodexen som förbudet mot spridning av hälsouppgifter enligt artikel 2-septies.8 i kodexen och artiklarna 9.1, 9.2 och 9.4 GDPR, principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR, de grundläggande principerna för behandling av personuppgifter enligt artikel 5.1 (a) GDPR, samt kravet på rättslig grund enligt artiklarna 6.1 (c), 6.1 (e), 6.2 och 6.3 (b) GPDR.
Mot bakgrund av de fastställda omständigheterna bötfällde Garante Azienda Sanitaria Locale Roma 1 med 46 000 euro. Vid kvantifieringen av bötesbeloppet tog Garante hänsyn till förmildrande omständigheter såsom att publiceringen varit oavsiktlig, att ingen av de berörda registrerade lämnat in något klagomål och vårdgivarens snabba ingripande för att avhjälpa överträdelsen. Garante beordrade också att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande påföljd.