Privacy violata con più indirizzi email in chiaro
Questo è quanto stato stabilito dal Garante della privacy, tramite il provvedimento n. 242 del 07/07/2022, che ha ingiunto, ad una società statunitense, il pagamento di una sanzione di 45 mila euro.
Come si evince dal provvedimento, l’irrogazione della sanzione è stata causata dall’invio di una e-mail istituzionale, riguardante un sistema di monitoraggio continuo del glucosio per persone affette da diabete, mediante l’inserimento degli indirizzi e-mail dei destinatari nel campo “cc” invece che nel campo “ccn” a delimitati gruppi di clienti, nel contesto di una campagna informativa relativa alla distribuzione, in Italia, dello stesso sistema di monitoraggio scaricabile come App mobile.
A causa del ricorso a tale procedura, ciascun destinatario ha avuto la possibilità di prendere visione degli indirizzi di posta elettronica degli altri destinatari della e-mail istituzionale, dando vita ad una violazione che ha riguardato circa 2.000 interessati italiani.
Il Garante ha, inoltre, precisato che se il testo della comunicazione riguarda un servizio sanitario, anche gli indirizzi e-mail diventano dati sanitari, originando, in tal modo, una comunicazione ingiustificata di dati particolari, ex art. 9 del GDPR.
Come si evince dal provvedimento, l’irrogazione della sanzione è stata causata dall’invio di una e-mail istituzionale, riguardante un sistema di monitoraggio continuo del glucosio per persone affette da diabete, mediante l’inserimento degli indirizzi e-mail dei destinatari nel campo “cc” invece che nel campo “ccn” a delimitati gruppi di clienti, nel contesto di una campagna informativa relativa alla distribuzione, in Italia, dello stesso sistema di monitoraggio scaricabile come App mobile.
A causa del ricorso a tale procedura, ciascun destinatario ha avuto la possibilità di prendere visione degli indirizzi di posta elettronica degli altri destinatari della e-mail istituzionale, dando vita ad una violazione che ha riguardato circa 2.000 interessati italiani.
Il Garante ha, inoltre, precisato che se il testo della comunicazione riguarda un servizio sanitario, anche gli indirizzi e-mail diventano dati sanitari, originando, in tal modo, una comunicazione ingiustificata di dati particolari, ex art. 9 del GDPR.
