L'invio di una email al destinatario sbagliato è una violazione di dati?

INDICE

L’invio di un messaggio email al destinatario sbagliato può costituire una violazione di dati personali (data breach) rilevante ai sensi del GDPR (Regolamento europeo 2016/679).

In base al GDPR, costituisce una violazione di dati personali qualsiasi “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

L’invio di un messaggio di posta elettronica contenente dati personali all’indirizzo errato comporta, tecnicamente, una comunicazione di dati a soggetti che non sono autorizzati a conoscerli. Si determina perciò una perdita della confidenzialità dei dati personali e, dunque, un data breach.

Il titolare del trattamento non deve dunque ignorare gli episodi in cui un dipendente, un collaboratore o responsabile esterno trasmettono per errore messaggi di posta elettronica contenenti dati personali a destinatari errati, ma deve gestirli come vere e proprie violazioni di dati.

Ciò significa che, entro 72 ore da quando è venuto a conoscenza della violazione, deve decidere se procedere alla notifica al Garante della Privacy e se deve comunicare agli interessati l’accaduto.

L’invio di una mail al destinatario sbagliato deve sempre essere notificata al Garante Privacy?

L’articolo 33 del GDPR prevede che il Titolare del trattamento deve procedere senza ingiustificato ritardo, e comunque entro 72 ore da quando ne ha avuto conoscenza, alla notifica della violazione all’autorità di controllo (ossia il Garante Privacy).

La notifica non è però obbligatoria quando è “improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

La valutazione delle possibili conseguenze della violazione

Il Titolare del trattamento, quando ha notizia della violazione, deve dunque attivarsi prontamente per valutare la gravità della violazione di dati. Nel caso in cui la violazione consista nell’invio di un messaggio email al destinatario sbagliato, deve valutare se dalla perdita di confidenzialità dei dati personali contenuti nel messaggio possano derivare rischi per i diritti e le libertà delle persone fisiche.

Dovrebbe quindi valutare, ad esempio:

la tipologia di dati coinvolti nella violazione: per esempio, se si tratta di dati comuni, o se si tratta di particolari categorie di dati (come quelli sulla salute) o dati relativi a procedimenti e condanne penali;
il numero di persone potenzialmente coinvolte nella violazione;
il possibile uso che potrebbe essere fatto dei dati: per esempio, se si tratta di dati che possono essere utilizzati per causare un danno economico, che possono essere usati per rubare l’identità dell’interessato o se si tratta di dati che possono essere utilizzati per discriminare l’interessato (ad esempio per le condizioni di salute, le opinioni politiche, l’orientamento sessuale);
il rapporto con il soggetto che ha ricevuto il messaggio per errore: se si tratta di un soggetto con il quale ha una relazione qualificata (es. dipendente, fornitore, collaboratore) e da qui può ragionevolmente attendersi che cancelli il messaggio senza fare uso dei dati oppure se si tratta di un perfetto sconosciuto.

Violazione da cui è improbabile che derivi un rischio per i diritti e le libertà degli interessati

Qualora, sulla base dell’analisi del rischio, possa ragionevolmente escludere che dalla violazione di dati possa derivare un pericolo per l’interessato, il titolare potrà evitare di notificare la violazione all’Autorità di controllo.

Sarà però tenuto a documentare l’accaduto e ad indicare quali misure di prevenzione intende attivare per evitare che una simile violazione si ripeta.

Casi in cui l’invio di un messaggio email al destinatario sbagliato non determina l’obbligo di notifica al Garante Privacy

Per esempio, il Garante europeo per la protezione dei dati personali, nelle sue linee guida n. 1/2021 ha analizzato il caso in cui, per un errore umano, l’elenco dei partecipanti ad un corso di lingue organizzato in un albergo sia trasmesso per errore ai partecipanti di una precedente sessione.

Il Garante europeo ha ritenuto che in questo caso il rischio derivante dalla violazione di dati fosse basso, perché “non sono state coinvolte categorie particolari di dati personali o altri dati il cui abuso potrebbe avere effetti negativi rilevanti, la violazione non consegue a un errore sistemico da parte del titolare del trattamento e sono interessate solo due persone”.

Tale violazione andrebbe considerata di minor gravità anche nel caso in cui l’elenco dei partecipanti contenesse indicazioni sulla salute dei partecipanti (ad es. le indicazioni relative alle intolleranze alimentari per l’organizzazione dei pasti). Pur trattandosi di un dato particolare sulla salute, si tratta di un’informazione per cui non appare probabile un utilizzo in danno dell’interessato.

Violazione da cui non è improbabile che derivi un rischio per i diritti e le libertà degli interessati

Se, invece, non è improbabile che dall’invio del messaggio email al destinatario sbagliato possa derivare un rischio per i diritti e le libertà degli interessati coinvolti, il Titolare del trattamento dovrà procedere con la notifica al Garante Privacy.

Dovrà poi adottare adeguate misure di mitigazione delle conseguenze della violazione e pianificare il potenziamento delle proprie misure di sicurezza, per evitare che in futuro si ripetano analoghi incidenti.

Inoltre, dovrà valutare l’opportunità di comunicare il data breach all’interessato, mettendolo a conoscenza della violazione che ha coinvolto i suoi dati e dandogli così modo di adottare misure di prevenzione.

Casi in cui l’invio di un messaggio email al destinatario sbagliato non determina l’obbligo di notificazione

Il Garante Privacy, in alcuni provvedimenti, ha avuto modo di analizzare alcuni casi in cui la trasmissione di comunicazioni ad un destinatario errato ha determinato una grave violazione di dati personali, per cui sarebbe necessaria la notifica.

In particolare, ha giudicato come grave la violazione consistente nell’invio da parte di una società di recupero crediti di solleciti di pagamento ad un indirizzo errato. Di conseguenza, infatti, erano state divulgate informazioni sulla condizione finanziaria dell’interessato, che potrebbero essere usate in modo pregiudizievole.

In un altro caso, il Garante Privacy ha ritenuto grave la violazione consistente nello scambio dei referti medici trasmessi per corrispondenza da parte di una Azienda Sanitaria. La violazione riguardava dati personali particolarmente delicati di carattere sanitario, idonei a costituire un pregiudizio per i diritti e le libertà degli interessati.

Cosa succede se si ignora la violazione?

In questi casi, potrebbe essere forte la tentazione di ignorare la violazione di dati, fingendo che nulla sia accaduto.

Non si tratta, però, di una buona idea.

Nel caso in cui un interessato venisse comunque a conoscenza della violazione dei propri dati, potrebbe presentare un reclamo al Garante per la protezione dei dati personali.

Il Garante Privacy potrebbe disporre un’ispezione e contestare al Titolare di non aver adempiuto agli obblighi previsti dagli articoli 33 e 34 GDPR. Si tratta di una violazione che può portare all’irrogazione di una sanzione pecuniaria estremamente elevata, fino a 10 milioni di euro (art. 83, par. 4 GDPR).

L’invio di una email al destinatario sbagliato è una violazione di dati?

L’invio di una mail al destinatario sbagliato deve sempre essere notificata al Garante Privacy?

La valutazione delle possibili conseguenze della violazione

Violazione da cui è improbabile che derivi un rischio per i diritti e le libertà degli interessati

Casi in cui l’invio di un messaggio email al destinatario sbagliato non determina l’obbligo di notifica al Garante Privacy

Violazione da cui non è improbabile che derivi un rischio per i diritti e le libertà degli interessati

Casi in cui l’invio di un messaggio email al destinatario sbagliato non determina l’obbligo di notificazione

Cosa succede se si ignora la violazione?

Circa l'autore

Francesco Foltran

ULTIMI ARTICOLI

CERCA NEL SITO

Archivio per mese

SEGUICI SUI SOCIAL

ISCRIVITI ALLA NEWSLETTER

Links

Timeline

Sitemap - mappa del sito

Privacy e Cookie policy

Note legali

Redazione virtuale

L’invio di una email al destinatario sbagliato è una violazione di dati?

L’invio di una mail al destinatario sbagliato deve sempre essere notificata al Garante Privacy?

La valutazione delle possibili conseguenze della violazione

Violazione da cui è improbabile che derivi un rischio per i diritti e le libertà degli interessati

Casi in cui l’invio di un messaggio email al destinatario sbagliato non determina l’obbligo di notifica al Garante Privacy

Violazione da cui non è improbabile che derivi un rischio per i diritti e le libertà degli interessati

Casi in cui l’invio di un messaggio email al destinatario sbagliato non determina l’obbligo di notificazione

Cosa succede se si ignora la violazione?

Circa l'autore

Francesco Foltran

Post correlati

Furto di identità digitale: quali conseguenze per l’azienda?

Smishing e Sim swap, attenzione all’autenticazione via sms

App che pagano gli utenti: convengono davvero?

Professionisti 4.0: tra personal branding e deontologia professionale

ULTIMI ARTICOLI

CERCA NEL SITO

TRENDING TOPICS

Archivio per mese

SEGUICI SUI SOCIAL

ISCRIVITI ALLA NEWSLETTER

NON PERDERTI LE ULTIME NOVITÀ SUL MONDO DELLA NEW ECONOMY E DELL’INDUSTRIA 4.0

Grazie!