A autoridade de saúde italiana enviou um e-mail para 45 pacientes contendo instruções sobre como obter medicamentos para tratar esclerose múltipla. No entanto, o remetente do e-mail colocou os endereços de e-mail dos destinatários no campo "cc" em vez do campo "bcc". Isso resultou na divulgação dos endereços de e-mail dos destinatários entre si.

Após receber um relatório de um dos destinatários, a autoridade de saúde notificou a violação de dados à DPA, conforme o Artigo 33(1) do RGPD.

A autoridade argumentou que a violação ocorreu devido a um erro humano e que havia instruído repetidamente seus funcionários a usar o campo "bcc" ao enviar e-mails para múltiplas pessoas. Além disso, a autoridade destacou que o número de pessoas afetadas era relativamente baixo e que a violação durou por um curto período.

Primeiramente, a DPA observou que um endereço de e-mail é um dado pessoal, mesmo que não seja composto pelo nome e sobrenome do titular dos dados, pois ainda permite identificar uma pessoa natural. Em segundo lugar, a DPA destacou que dados relacionados à administração de medicamentos são dados de saúde, de acordo com o Artigo 9(1) do RGPD, que exigem maior proteção devido ao risco mais elevado para a liberdade e os direitos dos titulares dos dados.

Em terceiro lugar, a DPA notou que o uso do campo "cc" resultou na divulgação ilegal dos nomes e dados de saúde de 45 pacientes.

Portanto, a DPA constatou a violação dos Artigos 5(1)(f) e 9 do RGPD e aplicou uma multa de €8.400.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.