L'autorité italienne de protection des données (Garante) a infligé une amende de 1 000 euros à l'ASST di Lodi. L'établissement de santé avait signalé une violation de données à l'autorité de protection des données conformément à l'article 33 du RGPD. Un patient avait fourni deux contacts pour ses affaires médicales. L'établissement avait été explicitement autorisé à obtenir des informations médicales du patient auprès de ces deux personnes en cas d'urgence. Dans le cadre d'un examen diagnostique important du patient, les deux contacts autorisés n'étaient pas joignables, de sorte qu'un employé de l'établissement de santé a demandé les informations à un membre de la famille qu'il connaissait personnellement. Au cours de son enquête, l'autorité de protection des données a constaté que l'établissement de santé avait traité les informations de la personne concernée sans le consentement de cette dernière et, par conséquent, sans base juridique valable. En outre, l'autorité de protection des données a conclu que l'établissement de santé n'avait pas pris les mesures techniques et organisationnelles appropriées pour protéger les données personnelles afin de prévenir de tels incidents.