Το Νοσοκομείο αναγνώρισε το λάθος, έλαβε αμέσως μέτρα και συνεργάστηκε απόλυτα με την ιταλική Αρχή, χωρίς όμως αυτό να αποτρέψει το πρόστιμο
Στην ιταλική αρχή προστασίας δεδομένων εστάλη επιστολή, με την οποία πολίτης την ενημέρωνε πως έλαβε τα αποτελέσματα εξετάσεων αγνώστου στο email του. Αποστολέας ήταν νοσοκομείο του Ρέτζιο Καλάμπρια, ενώ το μήνυμα ηλεκτρονικού ταχυδρομείου περιείχε τα αποτελέσματα μικροβιολογικών εξετάσεων, χωρίς μέτρα κρυπτογράφησης των συνημμένων πληροφοριών.
Η Garante ζήτησε τη γνώμη του Νοσοκομείου επί της αναφοράς αυτής, με τους εκπροσώπους του να επιβεβαιώνουν το λάθος που είχε γίνει. Σύμφωνα με το υπόμνημά τους ενώπιον της Αρχής, η αποστολή των εξετάσεων με αυτό τον τρόπο οφειλόταν σε λάθος της αρμόδιας γραμματείας, η οποία προσπαθώντας να συνεχίσει ακώλυτα την παροχή των υγειονομικών υπηρεσιών της εν μέσω κορωνοϊού, δεχόταν την ηλεκτρονική αποστολή των εξετάσεων, σε όσους ασθενείς εξέφραζαν σχετική επιθυμία να μην προσέλθουν στο Νοσοκομείο.
Παράλληλα, το Νοσοκομείο βεβαίωσε την Αρχή πως η διαδικασία αυτή διεκόπη αμέσως μόλις έγινε γνωστή, ενώ εκπρόσωποί του ενημέρωσαν το υποκείμενο των δεδομένων, αλλά και επικοινώνησαν με τον αποδέκτη των εξετάσεων, ζητώντας του να καταστρέψει το σχετικό ψηφιακό υλικό.
H ιταλική Αρχή ανέπτυξε τις απαιτήσεις ασφάλειας στην επεξεργασία προσωπικών δεδομένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, ενώ υπενθύμισε τις από έτους 2009 κατευθύνσεις της ως προς τη διαδικασία αποστολής εξετάσεων μέσω email, σύμφωνα με τις οποίες:
Εάν ο υπεύθυνος επεξεργασίας προτίθεται να αποστείλει αντίγραφο των αποτελεσμάτων εξετάσεων στο ηλεκτρονικό ταχυδρομείο του υποκειμένου των δεδομένων, κατόπιν αιτήματός του, πρέπει να τηρηθούν τα ακόλουθα μέτρα προστασίας του ψηφιακού αντιγράφου:
1. Αποστολή των αποτελεσμάτων ως συνημμένων σε μήνυμα ηλεκτρονικού ταχυδρομείου και όχι ως κείμενο που περιλαμβάνεται στο κύριο μέρος του μηνύματος,
2. Το αρχείο που περιέχει τα αποτελέσματα πρέπει να προστατεύεται κατά τρόπο ώστε να αποτρέπεται η παράνομη ή τυχαία απόκτηση των διαβιβαζομένων πληροφοριών από μέρη άλλα από εκείνα για τα οποία προορίζονται. Η προστασία αυτή μπορεί να συνίσταται σε έναν κωδικό πρόσβασης για το άνοιγμα του αρχείου ή σε ένα κλειδί κρυπτογράφησης που γίνεται γνωστό στα ενδιαφερόμενα μέρη μέσω άλλων διαύλων επικοινωνίας, από εκείνους που χρησιμοποιούνται για την αποστολή των εξετάσεων.
3. Επιβεβαίωση των διευθύνσεων ηλεκτρονικού ταχυδρομείου μέσω ειδικής online διαδικασίας επαλήθευσης, ώστε να αποφεύγεται η αποστολή ηλεκτρονικών εγγράφων, έστω και προστατευμένων με τεχνικές κρυπτογράφησης, σε τρίτα πρόσωπα.
Με βάση τα ανωτέρω, η Garante διαπίστωσε πως η αποστολή των εξετάσεων κατά τον τρόπο που έγινε συνιστά παραβίαση των άρθρων 5, 9 και 32 ΓΚΠΔ και επέβαλε στο Νοσοκομείο διοικητικό πρόστιμο 7.000 ευρώ. Όπως επισημάνθηκε, η επιβολή διορθωτικών μέτρων δεν κρίθηκε αναγκαία, καθώς το Νοσοκομείο είχε ήδη δεσμευτεί αυτοβούλως στη λήψη όλων των αναγκαίων μέτρων για αποφυγή επανάληψης παρόμοιου περιστατικού.