L'app MiniMed Mobile permette di misurare in tempo reale i livelli di glicemia
Milano – Una mail come tante. Un messaggio in posta elettronica per avvertire della manutenzione in corso del server. Un invio costato, però, 250mila euro alla società Medtronic Italia, filiale con sede a Milano del colosso americano delle tecnologie biomediche.
Il motivo? Il mittente, un membro del team di assistenza tecnica con base in Canada, ha inserito per sbaglio i destinatari nel campo "A" anziché in quello "Ccn" (Copia conoscenza nascosta), che cela gli indirizzi degli altri a chi riceve un testo comune. Risultato: tutti gli utenti dell’app MiniMed Mobile (e i familiari che li assistono) hanno letto i 731 nomi delle persone che condividono la loro stessa patologia, il diabete, e che usano il dispositivo che collega via bluetooth la pompa dell’insulina allo smartphone per comunicare in tempo reale i livelli di glicemia.
A segnalare il macroscopico errore umano al Garante della privacy è stata la stessa azienda, che ha paventato il rischio di "tentativi di phishing" da parte di truffatori e non escluso la possibilità che "terzi non autorizzati" accedessero "a indirizzi email di persone potenzialmente interessate a prodotti per il diabete, ovvero agli indirizzi email dei loro caretaker ". Detto questo, Medtronic ha spiegato di aver immediatamente adottato una serie di misure per limitare gli effetti dell’incidente, chiedendo agli utenti di eliminare qualsiasi copia dell’email ricevuta. E ancora: la società con quartier generale in via Varesina ha precisato che esiste una procedura rigorosa per le interruzioni pianificate e non pianificate del server, che in quel caso è stata palesemente disattesa, e che il personale è stato nuovamente formato per evitare violazioni future.
Contromisure di cui l’organismo presieduto da Pasquale Stanzione ha tenuto conto, pur ravvisando la violazione di tre articoli del Regolamento generale sulla protezione dei dati: "L’invio di comunicazioni mediante notifiche email a un numero plurimo di destinatari (di cui 732 in Italia), che sono stati inseriti nel campo “copia conoscenza”, ha di fatto, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente ai destinatari delle comunicazioni lo stato di salute degli altri interessati". Da qui la multa da 250mila euro.
Non basta: un’altra sanzione da 50mila euro è stata comminata per l’informativa incompleta destinata ai diabetici che hanno usufruito dell’opzione ‘Health Partner Share’, implementata in epoca pandemia, che permette al paziente di collegare il proprio account con quello del professionista sanitario che lo ha in cura. Totale: 300mila euro.
Per ricevere le notizie selezionate dalla redazione in modo semplice e sicuro