Una società farmaceutica inglese che fornisce medicinali a clienti e case di cura teneva giacenti all’aperto nel retro della propria sede circa 500mila documenti contenenti dati sanitari, lasciandoli esposti alle intemperie e per questo danneggiati e bagnati, ma il Garante per la privacy inglese non ha mostrato alcuna indulgenza, infliggendo una multa di 275.000 sterline, corrispondente a un importo di oltre 322mila euro.
A renderlo noto è lo stesso Information Commissioner’s Office (ICO), che ha motivato la decisione di sanzionare la Doorstep Dispensaree Ltd per non aver garantito la sicurezza di quelli che ai sensi dell’art.9 del Gdpr sono “categorie particolari di dati personali”, ovvero non solo nomi, indirizzi, date di nascita, ma anche codici NHS (National Health Service) relativi all’iscrizione degli utenti al servizio nazionale sanitario del Regno Unito, informazioni mediche, e prescrizioni appartenenti a un numero imprecisato di persone che sono stati trovati in sacchetti per lo smaltimento dei rifiuti, in una scatola di cartone, e in casse prive di chiusura depositate nel cortile posteriore dei locali della società con sede a Londra.
L’ICO aveva avviato un’indagine sulla Doorstep Dispensaree su segnalazione dell’Agenzia di regolamentazione per i medicinali e i prodotti sanitari (MHRA), che stava svolgendo separatamente una propria indagine sulla società farmaceutica.
Sul caso in questione, il direttore delle indagini di ICO, Steve Eckersley, ha dichiarato: “Il modo imprudente con cui la Doorstep Dispensaree aveva archiviato i dati sensibili non era sufficiente a proteggerli da danni o perdite accidentali. Questo non è all’altezza di ciò che richiede la legge e non è all’altezza di ciò che le persone si aspettano”.
L’ICO ha anche sottolineato come i documenti “non fossero stati contrassegnati come rifiuti confidenziali, aggiungendo che alcuni “erano bagnati fradici”, e che “gli interessati potevano essere facilmente identificati e ricollegati ai dati relativi alla loro salute”.
Nel fissare l’ammenda, l’ICO ha considerato la violazione successiva al 25 maggio 2018, per cui di fatto si tratta della prima sanzione dell’autorità inglese dopo l’entrata in vigore del GDPR. Peraltro, a causa della gravità delle violazioni, la Doorstep Dispensaree ha già ricevuto un avviso di esecuzione con l’ordine di adeguare le proprie modalità di protezione dei dati entro tre mesi.
FONTE: FEDERPRIVACY