L’Autorità britannica ICO (Imformation Commissioner’s Office) ha sanzionato un’ente di beneficienza attivo nel sostegno delle persone positive al virus HIV (HIV Scotland) per avere inviato via email a 105 persone associate l’invito ad un evento inserendo gli indirizzi nel campo “CC” (Carbon Copy) di Outlook invece che utilizzare il campo “BCC” (Blind Carbon Copy), mostrando a ciascun destinatario l’indirizzo email di tutti gli altri. Dei 105 indirizzi, 65 permettevano chiaramente di identificare il nome del destinatario. Due destinatari hanno segnalato la cosa ad HIV Scotland.
L’ente è stato sanzionato per £ 10.000 per violazione del principio di “integrità e riservatezza” (art. 5(1)(f) del GDPR) e per la mancata adozione di misure tecniche e organizzative adeguate al rischio (violazione dell’art. 32 del GDPR).