Questa pratica, spesso derivante da una disattenzione o una mancata conoscenza delle regole basilari di protezione dei dati, ha una particolarità: le persone coinvolte sono interessati i cui dati sono a rischio di violazione, ma al contempo anche soggetti che vengono a conoscenza di dati personali altrui.

• I rischi della divulgazione degli indirizzi email
• Gestire l’errore: i passaggi cruciali
• Gli adempimenti GDPR
• Le sanzioni

I rischi della divulgazione degli indirizzi email

Quando si utilizzano i campi A o CC per inviare un messaggio a più destinatari, si rende visibile a tutti l’elenco completo degli indirizzi email coinvolti. Questo comportamento determina una serie di rischi:

1. Violazione della riservatezza: Gli indirizzi email sono considerati dati personali ai sensi del GDPR, soprattutto quando possono essere associati ad altre informazioni che identificano un individuo (es. nome e cognome nell’indirizzo). La divulgazione non autorizzata a terzi rappresenta una violazione del principio di riservatezza.
2. Rivelazione di informazioni implicite: L’appartenenza a un gruppo specifico, deducibile dal contesto della comunicazione (es. partecipanti a un bando di concorso, beneficiari di un aiuto economico, pazienti di un determinato servizio), può comportare una violazione ancora più grave se tali informazioni sono sensibili o riservate.
3. Esposizione a rischi informatici: Gli indirizzi email resi pubblici possono essere sfruttati per campagne di spam, phishing o attacchi mirati da parte di soggetti malevoli.
4. Danno reputazionale e disagio personale: La rivelazione dell’identità in contesti delicati, seppur condivisi, può causare disagio agli interessati.

Gestire l’errore: i passaggi cruciali

Nel caso di un errore di invio con destinatari “in chiaro” anziché in CCN, è fondamentale agire tempestivamente per mitigare i danni. A questo scopo, qualora si ritenga che la comunicazione possa in qualche modo comportare alcuni dei rischi sopra menzionati, il primo passo è quello di avviare un dialogo con i destinatari della comunicazione, al fine di gestire in maniera lucida e responsabile l’incidente.

È bene chiarire alcuni aspetti di cui tenere conto quando si comunica con i destinatari:

• Si tratta di persone che sono già al corrente dell’incidente (avendo ricevuto la comunicazione), che potrebbero trovarsi in una situazione di disagio provocata dalla divulgazione delle informazioni. Si dovrà pertanto tenere un tono rassicurante ed esporre con chiarezza il contesto, al fine non lasciare spazio ad interpretazioni che possano peggiorare la percezione della cosa.
• Ci si rivolge a soggetti i cui dati sono stati violati, ma allo stesso tempo a destinatari non autorizzati che potrebbero fare un utilizzo non corretto delle informazioni di cui sono venuti a conoscenza. Diventa quindi fondamentale avere un approccio educato ma fermo, invitando a rispettare la riservatezza reciproca e sottolineando che qualsiasi utilizzo dei dati altrui potrebbe costituire una violazione delle normative ed avere conseguenze legali. La comunicazione deve richiedere di cancellare la comunicazione ricevuta contenente dati altrui ed invitare esplicitamente a non utilizzare, condividere o diffondere le informazioni contenute nel messaggio.

Gli adempimenti GDPR

In tema di obblighi legati alla normativa vigente in tema di protezione dei dati personali, è opportuno prevedere questi aspetti:

• Registrazione dell’incidente: come previsto dall’art. 33 GDPR, l’evento deve essere opportunamente tracciato e registrato.
• Notifica all’Autorità Garante per la protezione dei dati personali ai sensi dell’art. 33: la decisione spetta al Titolare del trattamento, occorre però considerare che i soggetti a cui si riferiscono i dati divulgati sono già al corrente dell’incidente, quindi in forma cautelativa potrebbe essere opportuno segnalare l’evento all’Autorità, anticipando eventuali reclami degli interessati. È meglio che l’Autorità venga a conoscenza dell’evento dal titolare del trattamento piuttosto che dagli interessati.
• Comunicazione agli interessati ai sensi dell’art. 34 GDPR: qualora l’incidente possa rappresentare un rischio elevato per i diritti e le libertà delle persone, è necessario formalizzare il contatto agli interessati come comunicazione ai sensi dell’art. 34 GDPR. È bene evidenziare che si tratta di un’opzione, di cui servirsi solo se l’incidente potrebbe comportare un rischio rilevante, altrimenti si rischia di attribuirvi un impatto maggiore del dovuto e preoccupare immotivatamente gli interessati che conoscano il senso della norma.
• Formazione e prevenzione: al fine di evitare che l’incidente si possa ripetere e di fornire al personale adeguati strumenti operativi per la gestione di tali situazioni, si consiglia di adottare delle linee guida per la gestione delle comunicazioni illegittime. Per le organizzazioni che ricorrono a SI.net come Responsabile Protezione Dati, si ricorda che nella sezione riservata del portale dedicato è disponibile una bozza delle linee guida, provvista di alcuni modelli di comunicazione utilizzabili.

Le sanzioni

Analizzando i provvedimenti sanzionatori del Garante per queste tipologie di incidente, emerge che l’eventuale sanzione è proporzionale al numero di soggetti coinvolti e soprattutto alla tipologia di dati: come si può evincere dalla tabella riassuntiva seguente, la presenza di dati sanitari potrebbe molto probabilmente comportare una sanzione.

Numero del Provvedimento  [doc. web n.]	Numero e Data del Registro dei Provvedimenti	Tipologia Titolare del Trattamento	Tipologia di Violazione Rilevata	Numero di Interessati Coinvolti e Tipologia	Importo della Sanzione o Valore dell’Ingiunzione
[9861356]	n. 328 del 16 settembre 2021	Azienda Ospedaliero-Universitaria	Invio email con dati sanitari visibili in CC anziché in CCN	98 pazienti affetti da HIV	20.000 €
[9843741]	n. 419 del 15 dicembre 2022	Ente bancario	Indirizzi visibili in CC in email inviata a partecipanti a concorso	500 candidati	Ammonimento formale
[9991183]	n. 7 dell’11 gennaio 2023	Azienda Ospedale-Università	Email accidentale con indirizzi di pazienti in CC	19 pazienti	5.000 €
[10026235]	n. 62 dell’8 febbraio 2024	Società operante nell’ambito sanitario	Indirizzi email esposti a destinatari non autorizzati	5.001 utenti globali (732 italiani)	300.000 €
[9779057]	n. 288 del 9 maggio 2024	Ordine dei Tecnici Sanitari afferenti a un capoluogo di provincia	Indirizzi visibili in email su obbligo vaccinale in campo “A” e non “CCN”	40 professionisti	3.000 €
[10037439]	n. 164 del 28 aprile 2022	Società  Ospedale	Invio di newsletter con dati visibili in CC invece di CCN	499 destinatari (321 pazienti, 46 caregiver, 132 indirizzi generici)	70.000 €
[10037439]	n. 306 del 23 maggio 2024	Azienda Sanitaria Locale	Invio di dati sanitari (piano terapeutico) a pazienti in CC	45 pazienti	8.400 €

Per contro, non si ha rilievo di sanzioni comminate in casi  di errate comunicazioni non contenenti dati sanitari, al massimo un ammonimento per l’invio ad un cospicuo numero di interessati di informazioni di carattere non critico.

In ogni caso, occorre evidenziare che le notifiche al Garante hanno una finalità cautelativa e non comportano necessariamente una sanzione per la violazione compiuta, per cui tale  aspetto non deve essere un deterrente per la comunicazione della violazione ai sensi dell’art. 33 GDPR.

SI.net offre servizi di supporto alla protezione dei dati personali: RPD, consulenza privacy per la gestione di sistemi di videosorveglianza, redazione di DPIA, affiancamento per l’introduzione dell’Intelligenza Artificiale.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Instagram, Telegram