Privacy – email inviata a più destinatari in copia

Viola la privacy l’invio di email a più destinatari in copia conoscenza semplice anche se gli indirizzi email non sono identificativi.

1. I fatti

Una azienda ospedaliera universitaria aveva notificato al Garante per la protezione dei dati personali un data breach che si era verificato presso la sua struttura.
In particolare, l’azienda ospedaliera sosteneva di aver inviato ai partecipanti ad uno studio clinico, una email con la richiesta di re-invio di documentazione relativa all’acquisizione dei consensi privacy e che detta email era stata inviata inserendo, in maniera accidentale, tutti i destinatari in copia conoscenza, anziché in copia conoscenza nascosta. In tal modo, l’azienda aveva reso conoscibile a tutti i destinatari gli indirizzi email di ognuno dei medesimi ed inoltre aveva fatto loro reciprocamente conoscere di essere coinvolti nello studio clinico quali pazienti in attesa di trapianto cardiaco.
L’azienda faceva, inoltre, presente al Garante che i soggetti coinvolti nella violazione erano 19 e che, per porre rimedio alla violazione e ridurre gli effetti negativi, aveva inviato una comunicazione a tutti i destinatari con cui li informava dell’accaduto e chiedeva loro di cancellare l’email ricevuta e di non usare gli indirizzi email degli altri destinatari.  
Il Garante privacy, preso atto della notifica della violazione, riteneva di avviare il procedimento sanzionatorio nei confronti dell’ospedale e lo invitava a fornire i propri scritti difensivi.
La struttura sanitaria si difendeva sostenendo che dei 19 indirizzi email utilizzati, soltanto 7 rendevano identificabili i destinatari, mentre gli altri 12 non erano riconducibili al nome e cognome dell’interessato.
In secondo luogo, faceva presente che nessuno dei destinatari aveva lamentato un disservizio e che la violazione aveva avuto carattere colposo, a causa della distrazione dell’operatrice che aveva inviato l’email e che non era di solito adibita a tale mansione (l’azienda, infatti, l’aveva adibita a tale compito in ragione della situazione pandemica che aveva portato alla riduzione del personale).
Infine, l’azienda evidenziava che i destinatari della email avevano soltanto conosciuto che gli altri destinatari erano anch’essi nella identica situazione di salute (cioè soggetti in attesa di trapianto di cuore), ma non avevano acquisito altri dati relativi alla salute degli interessati.
Potrebbero interessarti anche:

• Il Responsabile della protezione dei dati
• Viola la privacy il Comune che inoltra un’email della dipendente al datore di lavoro

2. Le valutazioni del Garante

Preliminarmente il Garante ha ricordato la definizione dei dati relativi alla salute fornita dalla normativa in materia di privacy, secondo cui vengono definiti tali i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
I dati relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.
I dati relativi alla salute possono essere comunicati soltanto all’interessato e possono essere comunicati a terzi solo sulla base di un idoneo presupposto giuridico.
Anche quando è possibile effettuare il trattamento di tale tipologia di dati, il titolare del trattamento deve comunque rispettare i principi in materia di protezione dei dati, fra i quali quello di integrità e riservatezza, secondo il quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti, attraverso l’uso di misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale dei medesimi.
Nel caso di specie, secondo il Garante, le difese dell’azienda non permettono di superare la violazione posta in essere mediante l’invio della sopra richiamata email.
In primo luogo, infatti, tenendo conto della definizione di dato personale prevista dalla normativa privacy, gli indirizzi email sono riconducibili alla nozione di dato personale anche quanto sono privi di riferimenti al nome e al cognome oppure ad altri elementi identificativi degli interessati.
In secondo luogo, dal tenore della email i destinatari potevano capire che i medesimi erano pazienti in attesa di trapianti di cuore. Pertanto, il trattamento posto in essere con l’invio della email ha avuto ad oggetto anche dati sanitari, idonei a rivelare informazioni sullo stato di salute degli interessati.
Secondo il Garante l’invio del messaggio di posta elettronica con l’inserimento in chiaro in copia conoscenza degli indirizzi Pec di tutti i destinatari (partecipanti allo studio clinico in questione), ha comportato una comunicazione dei dati personali senza giustificato motivo e in assenza di un presupposto giuridico.
Pertanto, il trattamento è risultato non conforme ai principi di liceità, correttezza e trasparenza nonché privo di idonea base giuridica e conseguentemente illecito.

3. La decisione del Garante

Il Garante per la protezione dei dati personali ha quindi ritenuto che la comunicazione email inviata dall’azienda ospedaliera in copia conoscenza a tutti i destinatari della medesima, configuri una illecita comunicazione di un dato sanitario degli interessati oltre che di un dato personale semplice (cioè l’indirizzo email).
In considerazione di ciò, il Garante ha ritenuto che detta condotta costituisca una violazione della normativa in materia di privacy sufficiente per l’irrogazione a carico del titolare del trattamento di una sanzione amministrativa pecuniaria (invece non ha ritenuto di applicare una misura correttiva poiché la condotta aveva ormai esaurito i suoi effetti e la struttura sanitaria aveva anche ridotto i suoi effetti negativi con il successivo invio di una email di rettifica).
Per quanto concerne la quantificazione di detta sanzione, il Garante, valutato – da un lato – che si trattava di dati sanitari e – dall’altro lato – che i soggetti interessati sono 19 e che la violazione è avvenuta per mero errore di una dipendente dell’azienda (che non era dedita ad occuparsi di tali mansioni) nonché delle misure adottate dal titolare del trattamento volte ad attenuare gli effetti negativi della propria condotta, ha ritenuto di condannare la struttura sanitaria al pagamento dell’importo di €. 5.000 (cinquemila).