L'autorité de protection des données italienne a infligé une amende de 70 000 euros à l'établissement de santé Ospedale San Raffaele srl. L'hôpital avait signalé à l'autorité de protection des données deux violations de données en vertu de l'article 33 du RGPD. Dans le premier cas, le service de neurologie de l'hôpital avait envoyé une newsletter dans une liste de distribution ouverte, ce qui avait pour conséquence que les adresses e-mail des destinataires étaient visibles par tous les destinataires. Sur les 499 adresses e-mail concernées, 321 concernaient des patients et 46 des membres de la famille/des soignants de patients, ce qui permettait d'identifier ces personnes par leur nom. Dans le deuxième cas, un service de chirurgie avait envoyé une newsletter dans une liste de distribution ouverte, de sorte que les adresses e-mail des destinataires étaient à nouveau visibles par tous les destinataires. Sur les 90 adresses e-mail concernées, 75 adresses e-mail faisaient référence à des patients et/ou à des membres de la famille/des soignants de patients, ce qui permettait d'identifier ces personnes par leur nom. L'APD a estimé qu'il s'agissait d'une violation du principe « d'intégrité et de confidentialité », qui exige que les données personnelles soient traitées de manière à garantir une sécurité appropriée, notamment une protection contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou détérioration accidentelle par des mesures techniques et organisationnelles appropriées. En ce qui concerne le calcul de l'amende, l'APD a pris en compte comme facteur aggravant le fait que la violation de données concernait également des données relatives à la santé des personnes concernées. Le fait que l'hôpital ait pris des mesures pour empêcher de tels événements à l'avenir et ait coopéré dans une large mesure avec l'APD a été pris en considération de manière positive.