Quando l’utilizzo improprio delle mail può causare un Data Breach
27/02/2023 2023-02-27 8:37Quando l’utilizzo improprio delle mail può causare un Data Breach
Prendendo spunto da un provvedimento del Garante Privacy risalente al mese di luglio 2022 cogliamo l’occasione per una breve riflessione sulle conseguenze che possono derivare nella errata gestione degli indirizzi mail degli interessati da parte del titolare.
L’ordinanza in questione ha disposto una sanzione di 45.000 euro nei confronti della Senseonics Inc. per aver, tra gli altri, comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 propri utenti, pazienti diabetici italiani che utilizzano l’App Eversense XL rilasciata dalla stessa società e contenente un sistema di monitoraggio continuo del glucosio per persone affette da diabete.
L’istruttoria del Garante nasceva dalla notifica da parte della società statunitensedi un data breach causato da un proprio dipendente il quale, nell’ambito di una campagna informativa, aveva inviato un messaggio di posta elettronica, inserendo gli indirizzi dei destinatari nel campo “cc” (carbon copy) anziché nel campo “bcc” (blind carbon copy).
Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi e-mail degli altri utenti cui la comunicazione era rivolta.
Nel pronunciare il proprio provvedimento, l’Autorità ha ribadito un importante principio interpretativo secondo il quale, in base al GDPR (Reg. UE 679/16 e ss. mm. ii.), l’indirizzo di posta elettronica è da considerarsi un dato personale, perché riguarda una persona identificata o identificabile.
Per tale ragione esso va trattato in modo lecito, corretto e trasparente, garantendone un’adeguata sicurezza.
In più, nel caso specifico, tenuto conto che la comunicazione era indirizzata a persone affette da diabete, le informazioni contenute nella e-mail costituivano “dati personali che possono rivelare lo stato di salute” e quindi avrebbero potuti essere comunicati a terzi solo sulla base di una delega scritta dell’interessato o di un idoneo presupposto giuridico.
Nel corso dell’istruttoria, poi, il Garante ha rilevato ulteriori violazioni della normativa sulla protezione dei dati relative all’utilizzo del sistema di monitoraggio del glucosio.
Risultavano altresì violati i principi di correttezza e trasparenza, avendo la società statunitense fornito agli utenti un’informativa confusa e carente in molte parti essenziali.
L’azienda stessa aveva inoltre omesso di designare per iscritto il proprio rappresentante nell’Unione europea quale interlocutore per tutte le questioni privacy, come previsto dal GDPR.
