En hälsovårdsmyndighet i Italien har fått en böter på €24,000 efter att ha brutit mot GDPR-reglerna genom att felaktigt överföra känsliga hälsouppgifter. Incidenten rörde en person som ansökte om att få status som funktionsnedsatt på grund av HIV. Enligt italiensk lag ger det en familjemedlem rätt att ta ledigt från jobbet för att vårda den funktionsnedsatta personen. När sonen till den berörda personen, som arbetar för justitiedepartementet, ansökte om ledighet kontaktade hans arbetsgivare hälsomyndigheten för att verifiera funktionsnedsättningen. Myndigheten överförde då hela intyget, inklusive information om HIV-diagnosen, till arbetsgivaren. Detta ledde till att den berörda personen lämnade in ett klagomål till den italienska dataskyddsmyndigheten.
Hälsovårdsmyndigheten menar att det beror på ett mänskligt misstag. Händelsen uppstod under en period med hög frånvaro bland anställda på grund av covid, vilket myndigheten hävdade bidrog till felet. Dataskyddsmyndigheten konstaterade att överföringen av hela certifikatet bröt mot principerna i GDPR om dataminimering och säkerhet, eftersom det endast var nödvändigt med en bekräftelse av funktionsnedsättningen, utan att avslöja diagnosen. Hälsovårdsmyndigheten kritiserades också för att inte ha implementerat tillräckliga tekniska och organisatoriska åtgärder för att skydda känsliga personuppgifter. Av dessa anledningar utfärdar dataskyddsmyndigheten en straffsanktion på €24,000 till hälsovårdsmyndigheten.
