È  bastata la disattenzione di un dipendente della società statunitense  Senseonics Inc, che distribuisce un sistema di monitoraggio del glucosio per  persone diabetiche, per causare un data breach che coinvolge circa 2.000  pazienti italiani. Inserendo gli indirizzi email nel campo "cc"  (carbon copy) invece che nel campo "bcc" (blind carbon copy),  ciascun destinatario ha potuto visualizzare gli indirizzi di tutti.  Per il GDPR, l’indirizzo di posta elettronica è da considerarsi un dato  personale e deve essere perciò adeguatamente protetto. Il Garante italiano ha  sanzionato la società statunitense per 45.000 euro.