App per diabetici: il Garante Privacy multa una società di dispositivi medici

Scritto il 23 Marzo 2024

Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici

Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.

La prima, di 250mila euro, è stata applicata alla società per aver inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio.

L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Nel corso dell’istruttoria è emerso che, nell’inviare le e-mail aventi ad oggetto un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società, a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.

Leggi tutto

Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro

Scritto il 23 Marzo 2024

Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza

Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.

Dalle verifiche effettuate dall’Autorità - a seguito della ricezione della notifica di data breach da parte della banca - è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking.

L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking. Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Leggi tutto

Sanità: sanzionato un centro di medicina estetica per violazione della privacy

Scritto il 23 Febbraio 2024

Sul profilo social della struttura il volto riconoscibile di un paziente

Riconosce il proprio volto in un video postato sul profilo social del centro di medicina estetica dove si era sottoposto ad alcuni trattamenti al naso. Si rivolge al Garante Privacy che sanziona il centro medico con una multa di 8mila euro per trattamento illecito di dati sanitari.

L’Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l’interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente.

Leggi tutto

Ricette mediche all’esterno dello studio: sanzionato un medico

Scritto il 23 Febbraio 2024

Lasciava le ricette per i suoi pazienti in un contenitore posto sul muro esterno dello studio medico, senza neppure proteggerle con buste chiuse. In questo modo, chiunque poteva liberamente aprire il contenitore e conoscere il contenuto delle prescrizioni. Per questo motivo è scattata la multa del Garante per la protezione dei dati personali che ha sanzionato un medico per 20.000 euro.

L’istruttoria dell’Autorità ha preso il via da un accertamento dei N.A.S. che hanno raccolto anche le testimonianze di alcuni assistiti del medico, alcuni dei quali individuati tra quelli che avevano ritirato le ricette dal contenitore.

Alla richiesta di informazioni del Garante, il medico si era giustificato affermando che la modalità di consegna delle ricette era stata attuata durante il periodo del Covid ed era stata poi mantenuta per alcuni mesi, con il consenso degli assistiti, allo scopo di agevolare il ritiro delle prescrizioni e limitare gli accessi dei pazienti allo studio medico.

Leggi tutto