L'ICO a infligé une amende de 29 000 EUR à l'association caritative transgenre Mermaids pour ne pas avoir protégé les données personnelles de ses utilisateurs, en violation de l'art. 5 (1) f) RGPD britannique et art. 32 (1), (2) RGPD britannique. L'ICO a mené une enquête après avoir reçu un rapport faisant état d'une violation de données concernant un groupe de messagerie interne. Au cours de l'enquête, l'ICO a découvert que le groupe avait été créé avec des paramètres insuffisamment sécurisés, ce qui a permis d'afficher en ligne environ 780 pages d'e-mails confidentiels pendant près de trois ans. Cela a abouti à des informations personnelles, telles que les noms et les adresses e-mail, de 550 personnes étant en ligne. L'ICO conclut que Mermaids aurait dû restreindre l'accès à son groupe de messagerie et aurait pu envisager la pseudonymisation ou le cryptage pour fournir une protection supplémentaire aux données personnelles. Les organisations responsables des données personnelles doivent veiller à prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles.