Piaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrimenti è possibile dedurre delle informazioni personali dal messaggio. Come ogni evento di data breach, è necessario svolgere delle valutazioni.
In ogni caso si deve registrare l’evento e documentarlo, anche nel caso in cui non sia obbligatorio notificarlo all’autorità di controllo e sia stato valutata un’improbabilità per la violazione di presentare un rischio per i diritti e le libertà delle persone fisiche. Questo sia per espressa previsione dell’art. 33 par. 5 GDPR, sia perché nella gestione della sicurezza è necessario documentare anche i near miss ovverosia gli eventi senza esito per valutare eventuali misure per impedire che si vadano a ripetere nel tempo.
Nel momento in cui una comunicazione è inviata in Cc (copia conoscenza o, per i nostalgici, copia carbone) anziché in Ccn (copia conoscenza nascosta), ecco che gli indirizzi email sono rivelati a tutti i destinatari. Ovviamente il presupposto è che gli indirizzi si siano voluti mantenere nascosti.
Quindi, a meno che non siano coinvolti esclusivamente degli indirizzi di funzione (del tipo: privacy@, amministrazione@ e così via), il data breach è servito perché c’è stata una perdita di confidenzialità dell’indirizzo email e questo è un dato personale dal momento che riguarda una persona fisica identificata o identificabile.
Attenzione: non è detto che l’unica informazione esposta e da considerare per valutare i rischi sia solo l’indirizzo email. Anche in caso di comunicazioni standardizzate, tutto dipende dal contesto e da ciò che è ulteriormente deducibile. Vediamo come.
Se ad esempio l’oggetto riporta “Riscontro richiesta agevolazioni/contributo“, pur in caso di un testo del tipo “Con la presente, si comunica il buon esito della richiesta di contributo di cui alla legge n…” (o consideriamo anche l’ipotesi di diniego, perché alla fine essere negativi nella vita ispira i migliori pezzi di black metal) ecco che a seconda della norma invocata si potrà capire quale tipo di agevolazione è stata richiesta, e se è collegata a una condizione di salute ecco che si ha un’informazione piuttosto significativa e impattante. Che in termini privacy significa rischio certamente non improbabile e probabilmente anche significativo per l’interessato, e quindi con obbligo di notificare all’autorità di controllo e di comunicare agli interessati coinvolti.
Ulteriore esempio. Nel caso di una comunicazione di marketing, esporre tutti gli indirizzi dei partecipanti può far scattare un obbligo di notifica a seconda del numero di destinatari, ma anche dalla possibilità di ottenere ulteriori informazioni deducibili (es. se è uno sconto riservato ai clienti di un club BDSM, o a chi ha manifestato un interesse per approfondire determinati temi filosofici). Insomma: il rischio dev’essere valutato in concreto.
Ovviamente, si deve tenere conto anche dei destinatari della comunicazione erronea. Se sono soggetti più o meno noti e affidabili.
L’affidabilità del destinatario conta, sia nel caso in cui si tratta di un soggetto interno che esterno. Questo è stato confermato, ad esempio, dal provv. n. 117 del 27 febbraio 2025 del Garante Privacy, che riconosce la validità delle argomentazioni difensive nel richiamare le linee guida EDPB 9/2022 a riguardo secondo cui:
Il fatto che il titolare del trattamento sappia o meno che i dati personali sono nelle mani di persone le cui intenzioni sono sconosciute o potenzialmente dannose può incidere sul livello di rischio potenziale. Prendiamo una violazione della riservatezza nel cui ambito i dati personali vengono comunicati a un terzo di cui all’articolo 4, punto 10, o ad altri destinatari per errore. Una tale situazione può verificarsi, ad esempio, nel caso in cui i dati personali vengano inviati accidentalmente all’ufficio sbagliato di un’organizzazione o a un’organizzazione fornitrice utilizzata frequentemente. Il titolare del trattamento può chiedere al destinatario di restituire o distruggere in maniera sicura i dati ricevuti. In entrambi i casi, dato che il titolare del trattamento ha una relazione continuativa con tali soggetti e potrebbe essere a conoscenza delle loro procedure, della loro storia e di altri dettagli pertinenti, il destinatario può essere considerato “affidabile”. In altre parole, il titolare del trattamento può ritenere che il destinatario goda di una certa affidabilità e può ragionevolmente aspettarsi che non leggerà o accederà ai dati inviati per errore e che rispetterà le istruzioni di restituirli. Anche se i dati fossero stati consultati, il titolare del trattamento potrebbe comunque confidare nel fatto che il destinatario non intraprenderà ulteriori azioni in merito agli stessi e restituirà tempestivamente i dati al titolare del trattamento e coopererà per garantirne il recupero. In tali casi, questo aspetto può essere preso in considerazione nella valutazione del rischio effettuata dal titolare del trattamento in seguito alla violazione; il fatto che il destinatario sia affidabile può neutralizzare la gravità delle conseguenze della violazione, anche se questo non significa che non si sia verificata una violazione.
Quindi, nel caso in cui la comunicazione sia stata erroneamente rivolta a soggetti affidabili, interni o esterni che siano, questo comporta comporta che il data breach c’è, deve essere registrato ma non sussiste alcun obbligo di notifica all’autorità di controllo o di comunicazione agli autorizzati.
Ma anche qui, bisogna svolgere una valutazione in concreto.
E non cercare né tantomeno crearsi facili scusanti.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Diritti
Cyber News
Cyberpolitica
Cultura