La decisione si pone nel filone delle sanzioni per dipendenti che inavvertitamente aggiungono in copia visibile le comunicazioni.
L'azienda aveva fatto quanto necessario e scusata, ma in sede di difesa davanti al Garante le tesi che qui riportiamo, assai comuni tra le aziende, sono state confermate ma come motivo della quantificazione della sanzione, non per escluderla.
“L’email in questione non [ha] fornito ai destinatari informazioni certe circa lo stato di salute degli altri destinatari per tre ragioni: 1. L’email non conteneva di per sé alcuna informazione personale relativa alla salute, ma era semplicemente una comunicazione relativa al servizio; 2. I destinatari della email non erano necessariamente pazienti, ma avrebbero potuto anche essere i loro Assistenti; 3. Gli indirizzi e-mail non contenevano necessariamente il nome dei destinatari per intero, così da permettere l’identificazione degli stessi”;
“L’email era finalizzata a fornire loro informazioni relative al servizio (…). Pertanto, i destinatari delle email non erano solamente soggetti che avevano scaricato l’App Eversense nel proprio interesse (ad es. persone affette da disturbi della glicemia), ma in alcuni casi potevano anche essere degli Assistenti”;
“Il contenuto dell’email era assolutamente generico ed identico per tutti i destinatari (…). La comunicazione non includeva alcun contenuto personalizzato né informazioni specifiche e personali relative ai singoli destinatari”;
“Benché la grande maggioranza degli indirizzi e-mail sia da ritenersi appartenente ad utenti affetti da diabete, ragionevolmente si ritiene anche che i soggetti affetti da disturbi glicemici fossero soltanto un sottoinsieme di tutti i destinatari erroneamente inclusi nel campo CC”;
“Ciò posto, l’email non conteneva di per sé informazioni personali relative alla salute dei destinatari, e, senza la raccolta di ulteriori informazioni, non era possibile per i destinatari conoscere con certezza lo stato di salute di nessuno in particolare degli altri destinatari”;
“Sulla base dell’Atto di Contestazione, non vi sono ulteriori elementi per poter sostenere che tali informazioni aggiuntive idonee a rivelare lo stato di salute di un sottoinsieme dei destinatari, siano state acquisite da alcuno dei destinatari”;
“Successivamente alla comunicazione ai sensi dell’Articolo 34 del GDPR, Senseonics ha ricevuto solamente qualche commento e nessuna richiesta di risarcimento danni”;
“Alla luce di quanto sopra, non è possibile condividere la conclusione di codesta rispettabile Autorità che “la Società ha effettuato una comunicazione di dati relativi alla salute di 2.000 pazienti ad altrettanti pazienti”;
“l’invio della mail ai destinatari in CC non è stato intenzionale ma una conseguenza di un errore umano”. La violazione infatti ha riguardato un numero limitato di email inviate a clienti italiani e non ha interessato quelle inviate ad altri utenti Europei;
“l’incidente è occorso nel febbraio 2021, nel pieno corso dell’emergenza Pandemica Covid-19 (…) Il dipendente che ha inviato l’email stava lavorando da remoto. Questa circostanza potrebbe aver contribuito all’errore accidentale”;
“Senseonics non ha ignorato i principi del GDPR. Al contrario, in piena conformità al principio di accountability – ai sensi dell’Articolo 5, paragrafo 2, del GDPR – (…) ha posto in essere [specifiche] azioni” quali in particolare la comunicazione della violazione agli interessati ai sensi dell’art. 34 del Regolamento e al Garante ai sensi dell’art. 33 del Regolamento;