Quando viene inviata, per mero errore materiale, una email contenente dati personali ad una casella di posta elettronica e ad un indirizzo email errato, in quanto non coincidente con il destinatario della comunicazione, si configura un data breach?

L’incidente di sicurezza, in termini di perdita di confidenzialità dei dati dovuto all’invio di una email ad un destinatario sbagliato, deve essere notificato al Garante?

Quali sono le conseguenze a cui sono esposti l'Ente, nella sua qualità di titolare del trattamento e il dipendente, nella sua qualità di soggetto autorizzato al trattamento?

Quali sono i rimedi che possono essere messi in campo e che cosa è opportuno fare quando viene inviata una email contenente dati personali ad una casella di posta elettronica e ad un indirizzo email errato?

Si tratta di domande a cui è opportuno dare una risposta tenuto conto della ricorrenza dei casi nei quali il Garante interviene a irrogare sanzioni per errori anche involontari e in buona fede.

Per limitare l'esame ai casi più significativi basta ricordare che, nel 2022 , il Garante ha sanzionato la comunicazione di una Società di recupero crediti, effettuata tramite email ad un destinatario errato ed avente ad oggetto un sollecito di pagamento ( Registro dei provvedimenti n. 215/2022 anche se, nella stessa materia, si possono consultare anche, tra le varie decisioni: Provvedimento del 29 novembre 2012 [2313339]; Ordinanza ingiunzione 29 marzo 2018 [9004780]; Ordinanza ingiunzione 29 marzo 2018 [9006501]).

Nel 2023, l’intervento sanzionatorio del Garante risale allo scorso mese di Marzo e si riferisce al Provvedimento n. 85 anche se, nella stessa materia, si possono consultare anche, tra le varie decisioni: Ordinanza ingiunzione 27 gennaio 2021 [9544504]; Ordinanza ingiunzione 29 aprile 2021 [9678001]; Ordinanza ingiunzione 11 febbraio 2021 [9567143];Ordinanza ingiunzione - 27 gennaio 2021 [9547225]).

L'intervento dello scorso Marzo, in particolare, sanziona il caso di seguito descritto.

Presso Azienda socio-sanitaria locale n. 1 di Sassari, un dipendente addetto all’Ufficio ricoveri extra regione invia ad una assistita che aveva fatto richiesta di concessione di benefici economici ex L.R. 26/9, la email di accoglimento dell'istanza e, per mero errore materiale commesso in buona fede, allega a detta email, la nota recante “Ricovero extra-regione in territorio nazionale. Concessione benefici ex L.R. n. 26/91”, relativa ad un’altra assistita.

Per il tramite del proprio Avvocato, l’assistita ha formulato un reclamo al Garante evidenziando che l’Azienda socio-sanitaria locale n. 1 di Sassari, aveva inviato una email rivolta alla predetta reclamante, ma ad un indirizzo e-mail non appartenente alla stessa. In tal modo, i dati personali e sanitari della reclamante sono stati involontariamente resi accessibili ad altra assistita che ha provveduto ad informare dell’accaduto l’ufficio mittente (ricoveri extraregione) il quale, a sua volta, ha provveduto alla corretta trasmissione della documentazione alle interessate.

Nel reclamo veniva sostenuto, in particolare, che:

• la citata email conteneva il provvedimento con il quale l’Ufficio ricoveri extra regione autorizzava il ricovero extra regione della reclamante, affetta da problematiche di salute non curabili nel territorio della Regione Sardegna;
• il predetto documento, veniva trasmesso all’indirizzo email non riferibile alla reclamante e, conteneva, oltre ai dati identificativi della stessa, anche l’indicazione dell’Istituto ospedaliero presso il quale effettuare le cure mediche e una serie di altri elementi, come, ad esempio, la presenza dell’accompagnatore.

Con decisione del 23 marzo 2023 il Garante, visto il Regolamento (UE) 2016/679 e il D.Lgs. 30 giugno 2003, n. 196, ha deciso il reclamo:

• dichiarando l’illiceità del trattamento di comunicazione dei dati personali effettuato dall’Azienda socio-sanitaria;
• ordinando all’Azienda medesima, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione;
• disponendo la pubblicazione per intero del provvedimento sul sito web del Garante.

Il Garante, per quantificare la sanzione, ha tenuto conto che la violazione è avvenuta una sola volta ed ha riguardato la trasmissione a mezzo email di un allegato contenente dati di natura personale, oltreché sanitari, riferiti ad una assistita (autorizzazione alla fruizione di prestazioni in ambito extraregionale). Ha tenuto conto, altresì, che la violazione, per le modalità e le circostanze in cui si è verificata, non ha alcun carattere doloso, essendo imputabile ad un “mero errore involontario da parte dell’operatore, che nell’atto di trasmissione della email all’indirizzo XX ha erroneamente ed in buona fede sbagliato la documentazione da allegare…. ”.

Infine, ha tenuto conto che l'Azienda non aveva commesso analoghe precedenti violazioni.

Fermo restando che, nel caso di specie, la violazione ha riguardato il trattamento di "comunicazione" illecita di dati sanitari, numerosi sono i casi in cui, indipendentemente dalla categoria di dati trattati, i dipendenti delle PA si trovano esposti al rischio di email erroneamente inviate a caselle di posta e indirizzi di destinatari errati.

Per quanto concerne i dati sanitari o “dati relativi alla salute”, attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, la disciplina in materia di protezione prevede che le relative informazioni possono essere comunicate a terzi sulla base di:

• un idoneo presupposto giuridico;
• indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

Mancando il presupposto giuridico, la condotta dell’Azienda ha dato luogo ad una comunicazione di dati relativi alla salute della reclamante che risulta essere in contrasto sia con i principi di base del trattamento, contenuti negli artt. 5 e 9 del Regolamento, sia con gli obblighi in materia di sicurezza indicati nell’art. 32 del Regolamento medesimo.

Al riguardo, va ricordato che:

• il trattamento di "comunicazione" dei dati personali deve essere effettuato in maniera da garantire un’adeguata sicurezza compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);
• l’adeguatezza dellemisure tecniche e organizzativedeve essere valutata tenendo conto della natura dei dati, dell’oggetto, delle finalità del trattamento e del rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento).

Ciò premesso, costituisce un incidente di sicurezza l’invio di dati personali tramite email ad un destinatario errato.

Si tratta, in particolare, di una perdita di confidenzialità dei dati personali erroneamente comunicati a terzi.

Di regola, gli incidenti di sicurezza vanno notificati al Garante. Tuttavia, con riferimento al caso specifico delle mail inviate a indirizzi errati, non sempre va effettuata tale notifica.

Fermo restando che, se il destinatario dell'email è persona diversa dalla persona autorizzata ad accedere a dati personali, si è in presenza di un data breach ( l'accesso o l’acquisizione dei dati da parte di terzi non autorizzati), la notifica al Garante va effettuata soltanto in presenza di violazioni che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Come si legge sul sito del Garante (https://www.garanteprivacy.it/data-breach), “ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale”.

In tali casi, a partire dal 1° luglio 2021, la notifica deve essere inviata al Garante tramite l’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/ (VEDI: Provvedimento del 27 maggio 2021).

Nel caso, in precedenza riportato, del Provvedimento n. 215/2022, con il quale è stato sanzionato l'errato invio di una mail contenente un sollecito di pagamento a destinatario diverso dalla persona a cui il credito si riferiva, la società interessata non ha effettuato la notifica sostenendo di aver “attivato la propria Data Breach Notification Policy (Evidenza 06 - confidenziale) e la Metodologia per la Valutazione della gravità del breach (Evidenza 07 - confidenziale) … a fronte della quale l’incidente - considerato il contesto di elaborazione dei dati, facilità di identificazione, circostanze della violazione e gravità della violazione – è stato valutato a basso rischio ex art. 33 GDPR, non rendendosi quindi necessaria la notifica al Garante. Infatti, si trattava di pochi dati comuni (ossia: nome, cognome, email, posizione debitoria) relativi ad un solo cliente, condivisi per un mero errore eccezionale ed imprevedibile di una singola collaboratrice. Inoltre, l’interessato non pareva aver subito alcun danno, avendo transatto a saldo e stralcio la posizione stessa…”.

La violazione espone l’Ente al rischio di sanzioni pecuniarie amministrative, del tipo di quelle contenute nei casi in precedenza riportati.

Espone, altresì, il dipendente autorizzato alla responsabilità amministrativa ed, eventualmente, alla responsabilità disciplinare e, in caso di dirigenti, alla responsabilità dirigenziale.

Quanto ai rimedi da porre in essere sono di diversa natura.

In primo luogo vanno individuate e applicate adeguate misure di sicurezza, di natura organizzativa e di natura tecnica per ridurre il rischio di invio di email a indirizzi errati.

Tra le misure organizzative, può essere utilmente individuata la misura della formazione, consistente in adeguati percorsi di formazione, specifica, in ordine all'utilizzo degli applicativi di posta elettronica e delle funzionalità di tali applicativi correlate a esigenze di programmazione delle email, di annullamento dell'invio, di archiviazione e, più in generale, di gestione delle email.

Tra le misure tecniche, by design e by default, possono essere presi in considerazione anche particolari sistemi di Alert dell’applicativo informatico rivolto all'operatore prima dell'invio della email.

Resta fermo che, in calce a ciascuna email, deve essere presente una sintetica informativa in ordine alla circostanza che:

• se è stato ricevuto il messaggio email per errore, va fornita immediatacomunicazione al mittente dell’accaduto e il messaggio va cancellato.

Secondariamente, vanno fornite specifiche istruzioni, di natura operativa, ai dipendenti autorizzati al trattamento dei dati personali attraverso comunicazioni email: le istruzioni devono contenere anche l'indicazione del comportamento da porre in essere quando l’errore viene scoperto (es. Immediato inoltro della email all'indirizzo corretto; eventuale email di errata corrige).

Team Entionline

Servizio di supporto specialistico All privacy Entionline