Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 42 000 euro mot Fundación Sociedad Cientifica de Oncologia Médica för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Fundación Sociedad Cientifica de Oncologia Médica uppmuntrat cancerpatienter att delta i en studie som genomfördes av ett personuppgiftsbiträde. Patienterna laddade ner en mobilapp och med hjälp av en kod som de fått av sin onkolog matade de in uppgifter om sitt välbefinnande.
I juni 2023 anmälde Fundación Sociedad Cientifica de Oncologia Médica till AEPD att personuppgiftsbiträdet drabbades av ett personuppgiftsincident som resulterade i att 2 622 patienters personuppgifter obehörigen hade kommit åt av en tredje part. Personuppgifterna bestod av deltagarnas e-postadresser, deras telefonnummer och deras hälsorelaterade uppgifter.
AEPD:s utredning visade att personuppgiftsbiträdet hade underlåtit att på ett korrekt sätt införa kryptografiska kontroller för att möjliggöra kryptering av uppgifterna. AEPD konstaterade att Fundación Sociedad Cientifica de Oncologia Médica hade brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR för att inte ha säkerställt lämplig säkerhet vid behandlingen.