La DPA britannique (ICO) a infligé une amende de 11 800 euros à l'organisation à but non lucratif HIV Scotland. Le contrôleur avait envoyé un e-mail à 105 personnes, avec des adresses e-mail sur la liste de diffusion visibles par tous les destinataires. Dans le cas de 65 des adresses e-mail, les personnes pouvaient être identifiées par leur nom. Il a été possible de tirer des conclusions sur le statut VIH ou le risque des individus sur la base des données personnelles fournies. La DPA a constaté que l'organisation n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. Par exemple, l'organisation avait dispensé une formation inadéquate à ses employés et utilisé des méthodes inappropriées pour envoyer des e-mails en masse via copie cachée (cci).