GPDP (Italie), 20 octobre 2022
L’autorité de contrôle italienne a sanctionné un hôpital pour avoir transféré un rapport médical au mauvais destinataire.
A la suite d’une erreur humaine, un hôpital a transmis par courriel un « rapport d’anatomie pathologique » en intervertissant deux patients.
L’un des patients a immédiatement signalé cette erreur et a déposé une plainte auprès de l’autorité de contrôle italienne.
L’enquête initialement dirigée contre l’hôpital a été étendue à « l’institut d’étude et de prévention du cancer », ce dernier étant, selon l’hôpital et l’autorité de contrôle, le responsable du traitement, l’hôpital n’étant que sous-traitant au sens du RGPD.
Bien que constatant l’existence d’une violation de données, l’autorité de contrôle n’a pas sanctionné le responsable du traitement, considérant que le contrat conclu et que les instructions confiées au sous-traitant étaient satisfaisantes, et surtout qu’à la suite de l’incident, « l’institut avait mis en œuvre des mesures visant à minimiser le risque de survenance d’évènements similaires ».
En revanche, l’autorité de contrôle a considéré que l’hôpital, sous-traitant, avait réalisé un traitement de données à caractère personnel en violation des obligations de sécurité imposées par le RGPD.
En conséquence, l’autorité de contrôle italienne a infligé à l’hôpital une amende de 9000 €.
Source : ici