Trattamento dei dati personali, nuove multe erogate nel Regno Unito
Ad un anno circa dalla piena e definitiva entrata in vigore del Gdpr, il 25 maggio 2018, l’attività del Garante s’inasprisce in tutta Europa e cominciano a fioccare sanzioni di una certa entità, soprattutto nell’ambito della gestione di dati sanitari
14/06/2019
Dopo che una sanzione di 400.000 euro è stata recentemente disposta ai danni di un ospedale portoghese, il Barreiro Montijo, l’Information Commissioner’s Office (Ico) autorità garante per la protezione dei dati personali in Gran Bretagna, ha comminato una multa di 400.000 sterline alla Bounty Ltd, società specializzata nella vendita di software destinati alla gestione di ospedali, cliniche e comunità in genere, nonché responsabile di un sito web per future mamme.
La Bounty avrebbe messo a disposizione di altre 39 aziende, alcune delle quali essenzialmente dedicate al marketing e alla comunicazione come Sky, milioni di informazioni estremamente sensibili, appartenenti alle donne iscritte al sito e ai loro bambini, per finalità di marketing diretto.
Il numero di persone coinvolte in questo caso non ha precedenti nella storia delle indagini condotte dall’Ico sulle organizzazioni dedicate all’intermediazione di dati. In particolare, Bounty non avrebbe avvertito le molte migliaia di utenti del sito che i loro dati personali sarebbero stati trasmessi a tante società. Il consenso eventualmente fornito da queste persone sarebbe stato dunque non informato.
Lo scopo di Bounty, inoltre, sarebbe stato essenzialmente il guadagno, dal momento che la condivisione dei dati costituiva parte integrante della sua attività. In quest’ottica, le informazioni personali di migliaia di donne, inclusi i dati riguardanti il loro stato di salute e i loro figli, sarebbero state condivise con un gran numero di organizzazioni, il che ha fatto sì che l’infrazione fosse considerata particolarmente grave da parte del Garante.
Altre 120.000 sterline di ammenda sono poi state comminate dall’Ico alla True Vision Products, una casa produttrice di documentari colpevole di aver effettuato videoriprese all’interno di una clinica ostetrica, senza avere l’accortezza di raccogliere il consenso delle pazienti e di avvertirle circa la possibilità di revocarlo, eventualmente anche in un secondo momento.
Poiché la circolazione illegale di queste informazioni aveva avuto luogo prima della definitiva entrata in vigore del Gdpr, la commissione britannica ha ritenuto di non dover appesantire troppo le sanzioni erogate. Se queste avessero riguardato attività svolte dopo il 25 maggio del 2018, le multe che ne sarebbero derivate avrebbero potuto essere molto più cospicue.
© RIPRODUZIONE RISERVATA
👥