ICO sanziona una farmacia per l’archiviazione imprudente dei dati dei clienti

Il Garante Privacy inglese (l’”ICO”) ha multato Doorstep Dispensaree Ltd. (“Doorstep”), una farmacia con sede a Londra, con una sanzione di 275 mila Sterline per non aver garantito la sicurezza di categorie particolari di dati e per non aver informato adeguatamente i soggetti interessati.

In particolare, sono stati violati rispettivamente i seguenti articoli del Regolamento UE 679/ 2016 (“GDPR“):

  • artt. 5.1 (f), 24 (1), 32 del GDPR, in quanto Doorstep non ha attuato le misure organizzative adeguate per garantire la sicurezza dei dati personali da essa trattati;
  • artt. 13 e 14 del GDPR, in quanto Doorstep non ha fornito ai soggetti interessati tutte le informazioni ivi richieste (es. non sono indicate le basi giuridiche del trattamento, le categorie di dati personali trattati, i destinatari degli stessi).

Si tratta della prima sanzione amministrativa emessa dall’ICO ai sensi del GDPR, entrato in vigore il 25 maggio 2018.

Doorstep , farmacia che fornisce medicinali ai clienti e alle case di cura, ha lasciato circa 500.000 documenti in contenitori sul retro della sua sede in Edgware senza alcuna misura di sicurezza. I documenti includevano nomi, indirizzi, date di nascita, informazioni mediche e prescrizioni appartenenti a un numero indefinito di persone.

I documenti, alcuni dei quali non erano stati adeguatamente protetti dalle intemperie e quindi danneggiati dall’acqua, sono stati datati tra il giugno 2016 e il giugno 2018. Il mancato trattamento dei dati in modo da garantire un’adeguata sicurezza contro il trattamento non autorizzato o illecito e la perdita, la distruzione o il danneggiamento accidentale dei dati costituisce una violazione del GDPR.

L’ICO ha avviato un’indagine su Doorstep dopo essere stato avvisato dei documenti archiviati in modo non sicuro dall’Agenzia di regolamentazione dei medicinali e dei prodotti sanitari, che stava svolgendo una propria indagine separata nella farmacia.

Steve Eckersley, direttore delle indagini presso l’ICO ha dichiarato che: “il modus operandi di Doorstep è stato imprudente, in quanto ha archiviato categorie particolari di dati senza proteggerli da danni o perdite accidentali. Questo non è all’altezza di ciò che la normativa applicabile prescrive e non è all’altezza di ciò che la gente si aspetta.”

Nell’irrogare la sanzione, l’ICO ha preso in considerazione la violazione solo a partire dal 25 maggio 2018, data di entrata in vigore del GDPR.

Doorstep dovrà pagare la sanzione entro il 17 febbraio 2020 e migliorare le proprie pratiche di protezione dei dati personali entro tre mesi. In caso contrario, potrebbero essere necessari ulteriori provvedimenti esecutivi.

Iscriviti alla newsletter

Unisciti a tutti gli altri imprenditori della rete. Niente spam, lo odiamo quanto te.