IL FATTO
Una società titolare di una APP per diabetici ha notificato al Garante Privacy il data breach, vale a dire una violazione dei sistemi di sicurezza che ha comportato la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati.
L’incidente sarebbe stato causato da un dipendente che, nell’ambito di una campagna informativa, ha inviato un messaggio di posta elettronica inserendo gli indirizzi dei destinatari nel campo “cc” (carbon copy) invece che nel campo “bcc” (blind carbon copy). Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi e-mail degli altri.
L’importanza di conoscere e proteggere i propri diritti anche quando si è online è approfondita nel corso CITTADINANZA DIGITALE – Come utilizzare la rete in modo consapevole ed efficace, disponibile sulla piattaforma IGEA CPS.
L’ISTRUTTORIA DEL GARANTE PRIVACY
Il Garante ha più volte ribadito che l’indirizzo di posta elettronica è un dato personale in quanto riferibile a una persona identificata o identificabile. Può quindi essere trattato solo previo consenso dell’interessato, vale a dire del soggetto cui si riferisce. Il trattamento, inoltre, deve essere lecito, corretto e trasparente, garantendo un’adeguata sicurezza.
A questo aspetto di carattere generale della normativa deve aggiungersi una specifica circostanza. In questo caso la comunicazione era indirizzata a soggetti affetti da una patologia. Le informazioni contenute nella e-mail costituivano dati personali che possono rivelare lo stato di salute di un soggetto. Quindi potevano essere comunicati ad altri esclusivamente in presenza di una delega scritta dell’interessato.
Il Garante ha inoltre rilevato ulteriori violazioni della normativa sulla protezione dei dati relative all’utilizzo del sistema di monitoraggio del glucosio. Scaricando l’App, infatti, gli utenti erano obbligati ad accettare tutte le condizioni con un unico “clic” di approvazione, senza distinzione tra le condizioni contrattuali e l’informativa, vale a dire senza distinzione tra il trattamento dei dati necessari per l’erogazione del servizio e il trattamento dei dati facoltativo in quanto finalizzato ad altre attività.
Tale modalità di registrazione, priva quindi di distinzione dei vari consensi (obbligatori, necessari e facoltativi), è irregolare. Infatti, la norma impone di distinguere i trattamenti per obbligo di legge da quelli necessari all’esecuzione del contratto, ma soprattutto da quelli facoltativi. Quanto precede ha portato l’Autorità a considerare violati anche i principi di correttezza e trasparenza, giacché la società ha fornito un’unica informativa, per di più confusa e carente.
Da ultimo, ma non meno importante, è stato accertato che l’azienda in questione, inoltre, non aveva adempiuto all’obbligo di nominare per iscritto un responsabile privacy (DPO), circostanza cui era obbligata in considerazione della mole e tipologia di dati trattati.
IL PROVVEDIMENTO
Il Garante ha ovviamente tenuto conto della assoluta assenza di dolo e del comportamento collaborativo della società in questione.
Ha così sanzionato l’azienda con 45mila euro di multa, decretando l’illecito trattamento dei dati personali. Le irregolarità sono state riscontrate nel sistema di monitoraggio del glucosio e nella illecita diffusione degli indirizzi e-mail di circa 2000 italiani affetti da diabete.
L’Azienda è stata anche obbligata a conformare i trattamenti di dati personali alla normativa vigente ed a rielaborare l’informativa sulla privacy in una forma concisa, trasparente e comprensibile, comunicando le iniziative intraprese in tal senso.