Ci sarà di che riflettere in occasione del tradizionale bilancio di fine anno per la Doorstep Dispensaree Ltd, farmacia londinese che fornisce medicinali a singoli clienti e case di cura.
L’Information Commissioner’s Office (ICO), l’Autorità Garante per la Privacy del Regno Unito, rende noto in un comunicato di avere inflitto una multa £ 275.000 (322.000 euro) all’ente per non aver garantito la sicurezza di quelli che il Regolamento Europeo per la Protezione dei Dati Personali definisce, ai sensi dell’art. 9, “dati particolari”. La Farmacia ha lasciato circa 500.000 documenti cartacei in stato di abbandono, esposti alle intemperie, a rischio di potenziale violazione, elaborazione non autorizzata o illecita e perdita accidentale, sul retro del proprio magazzino.
I documenti, che includevano non solo nomi, indirizzi, date di nascita, ma anche codici NHS (National Health Service) relativi all’iscrizione degli utenti al SSN del Regno Unito, informazioni cliniche, e prescrizioni di farmaci appartenenti ad un numero imprecisato di persone, sono stati trovati in sacchetti per lo smaltimento dei rifiuti, in una scatola di cartone, e in casse prive di chiusura depositate nel cortile posteriore dei locali della società con sede in Edgware.
L’ICO ha anche sottolineato come i documenti, datati tra giugno 2016 e giugno 2018, “non fossero stati contrassegnati come rifiuti confidenziali, aggiungendo che alcuni “erano bagnati fradici”, e che “gli interessati potevano essere facilmente identificati e ricollegati ai dati relativi alla loro salute“.
Nel fissare l’ammenda, l’ICO ha considerato la violazione solo dal 25 maggio 2018, data di entrata in vigore il GDPR.
Inoltre, Doorstep Dispensaree ha ricevuto un avviso di esecuzione a causa dell’importanza delle infrazioni e ha ordinato di migliorare le sue pratiche di protezione dei dati entro tre mesi.
In caso contrario, si potrebbero verificare ulteriori misure di esecuzione.
Dai controlli non è risultato nulla da rilevare, invece, sul trattamento dei dati effettuato con il sistema informatico della farmacia o sulla tenuta archivi di clienti e utenti. Questo può insegnare, anche agli addetti ai lavori, che a poco serve concentrarsi sulla correttezza del trattamento della privacy “con il computer”, per poi cadere banalmente nella gestione superficiale e negligente della “vecchia” carta.