Garante privacy: inviare e-mail a diversi destinatari senza utilizzare la funzione "ccn" (o altra analoga) può costituire data breach.

Il Garante per la protezione dei dati personali, con il provvedimento del 9 gennaio 2020, ha richiamato l’attenzione sulla corretta prassi da adottare nella comunicazione attraverso la posta elettronica. In particolare, il Garante ha censurato il comportamento di un operatore della Provincia di Trento per l’invio di una comunicazione mediante un unico messaggio di posta elettronica indirizzato a più destinatari, i cui indirizzi sono stati inseriti nel campo copia conoscenza (cc).

L’aspetto più critico della condotta censurata sta nel fatto che le informazioni contenute nella e-mail erano idonee a rivelare lo stato di salute dei minori.

In via preliminare il Garante ha evidenziato come il trattamento di tali dati sia in generale vietato, salvo che non sussista un idoneo presupposto giuridico e siano rispettati i principi di liceità, correttezza e trasparenza nonché di minimizzazione. Il trattamento di dati c.d. sensibili deve avvenire in modo sicuro e i dati devono essere  adeguati, pertinenti e limitati rispetto alle finalità per le quali sono trattati.

Ciò considerato, l’operatore è incorso in una violazione di dati personali, rivelando lo stato di salute di ciascun minore a tutte le famiglie coinvolte senza giustificato motivo e in assenza di qualsivoglia presupposto normativo. La violazione si sarebbe potuta evitare semplicemente inserendo gli indirizzi dei destinatari nel campo denominato “copia conoscenza nascosta” (ccn).

Tenendo conto che l’illecito è stato un primo e isolato evento, dovuto alla disattenzione di una dipendente e che la violazione è stata notificata al Garante dalla Provincia stessa, adottando atti e iniziative volte a sensibilizzare il personale al rispetto della disciplina dei dati personali, l’Autorità ha ammonito la Provincia a conformare l’invio di comunicazioni alle disposizioni che tutelano i dati personali.

(Garante per la protezione dei dati personali, provvedimento del 9 gennaio 2020)