Den italienska hälso- och sjukvårdsmyndigheten skickade ett e-postmeddelande till 45 personer innehållande instruktioner om hur man får medicin för en specifik sjukdom. E-postadresserna lades dock till i ”cc”-fältet istället för ”bcc”-fältet vilket avslöjade mottagarnas adresser för varandra.
Efter att ha blivit informerad av en av mottagarna rapporterade myndigheten personuppgiftsincidenten till den italienska dataskyddsmyndigheten. Myndigheten förklarade att incidenten orsakades på grund av den mänskliga faktorn och att de regelbundet instruerat sina anställda att använda ”bcc”-fältet.
Trots detta konstaterade dataskyddsmyndigheten att e-postadresser är personuppgifter och att data om medicinsk behandling klassas som känslig information enligt GDPR. Dataskyddsmyndigheten fann därför att hälso- och sjukvårdsmyndigheten brutit mot principen och konfidentialitet samt behandling av känsliga personuppgifter enligt GDPR. Därav ålade myndigheten en sanktionsavgift på €8,400 för det otillåtna avslöjandet av namn och hälsouppgifter.
