Istituto sanitario spedisce effetti personali all'ex dipendente, ma dentro le scatole ci sono le cartelle cliniche dei pazienti
Dopo che era andato in pensione, l'istituto ha pensato di inscatolare e spedire all'ex dipendente quelli che avrebbero dovuto essere gli effetti personali dimenticati sul luogo di lavoro. Chissà con quale sorpresa, l'uomo aveva però ricevuto pacchi molto più voluminosi di quello che poteva ragionevolmente aspettarsi rispetto all'ingombro di oggetti come la foto di famiglia o il souvenir dell'ultima vacanza lasciati sulla scrivania dell'ufficio.
Quando ha aperto le scatole ricevute, vi ha infatti trovato dentro non solo gli effetti personali, ma anche le cartelle cliniche di 252 ex pazienti (di cui 7 minorenni) ed i registri dei nominativi di circa 3.000 persone che avevano partecipato a terapie di riabilitazione per abuso di alcol e sostanze stupefacenti.
L'istituto in questione è infatti il National Center of Addiction Medicine, una ONG che in Islanda gestisce una clinica di disintossicazione e quattro centri di riabilitazione ambulatoriali e ambulatoriali, nonché un centro per i servizi familiari e un centro sociale. I suoi servizi sono forniti da uno staff di medici, psicologi, infermieri registrati, infermieri e consulenti specializzati nel dare supporto a tossicodipendenti ed alcolizzati.
Dopo aver condotto un'indagine, l'autorità di controllo islandese per la privacy ha concluso che l'accaduto era stata la conseguenza di una mancata attuazione di adeguate politiche di protezione dei dati e di adeguate misure tecniche e organizzative per proteggere i dati da parte del'istituto. La mancanza di misure adeguate per proteggere i dati personali ha quindi costituito una violazione del Gdpr, con particolare riferimento all'art. 5 par.1 sub f) e all'art. 32 del Regolamento UE 2016/679 che prescrivono al titolare del trattamento di garantire un'adeguata sicurezza dei dati personali.
Considerando che la violazione riguardava dati personali relativi alla salute di un numero elevato di interessati, in data 5 marzo 2020 l'autorità di vigilanza islandese ha quindi deciso di imporre all'istituto una sanzione amministrativa di 3 milioni di corone islandesi, corrispondenti a circa 20.000 euro.