Un disservizio dell’email può costituire un data breach e violare il GDPR
Posta elettronica da mantenere sempre funzionante: un disservizio delle e-mail (con il ritardo nel ricevimento delle comunicazioni elettroniche) viola la privacy. Potrebbe essere anche un data breach (violazione dei dati personali).
È questa una indicazione pratica, derivante da una pronuncia del Garante della privacy del Belgio (provvedimento n. 6 del 2 febbraio 2023), che le scuole devono osservare scrupolosamente, fornendo apposite istruzioni al personale docente e non docente.
Il provvedimento del Garante belga deve essere studiato e ha rilevanza anche in Italia, considerato che applica il Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679) e cioè la stessa normativa applicabile alle scuole italiane.
Nel caso, oggetto della pronuncia in esame, una persona ha inviato a un ente pubblico la richiesta di conoscere chi aveva avuto accesso a suoi dati personali, contenuti in un archivio elettronico nazionale. Nella sua richiesta, inviata per posta elettronica, l’interessato ha specificato che intendeva conoscere tutte le informazioni relative all’accesso al suo fascicolo personale, compreso il motivo e l’identità della persona e/o dell’ente che aveva consultato i dati.
L’interessato ha ricevuto una risposta automatica dal titolare del trattamento con cui veniva informato che la casella di posta elettronica del destinatario era piena e che non potevano essere ricevuti nuovi messaggi.
L’interessato ha continuato a inviare messaggi di posta elettronica, ma con lo stesso esito e cioè e-mail non consegnata per incapienza della casella di posta elettronica del destinatario.
A quel punto la persona in questione ha presentato un reclamo al Garante della privacy.
L’autorità belga, dopo avere qualificato la richiesta dell’interessato come un’istanza di accesso ai sensi dell’articolo 15 del Gdpr, ha accertato che l’ente non aveva risposto nel termine previsto dallo stesso Gdpr (un mese, si veda l’articolo 12) e ha ordinato all’ente di evadere la richiesta. Nel suo provvedimento il Garante belga ha constatato che l’indirizzo e-mail fornito dal titolare del trattamento non funzionava, con questo violando l’obbligo di mantenere disponibile agli interessati un canale idoneo a consentire loro di esercitare i diritti riconosciuti agli interessati dal GDPR.
Fin qui la pronuncia belga. Ma vediamo quali sono le ricadute operative per le scuole italiane e il personale delle stesse.
Una prima notazione riguarda l’organizzazione delle scuole. A questo scopo la scuola deve essere in grado di monitorare costantemente la posta elettronica, di scoprire rapidamente eventuali disservizi in corso e di intervenire velocemente per il ripristino della funzionalità in caso di interruzioni, provvedendo se del caso a svuotare la casella così da scongiurare la perdita di comunicazioni.
Tutto ciò rappresenta una buona gestione degli strumenti elettronici, ma anche un obbligo espresso discendente dal Gdpr.
Una seconda notazione riguarda le caselle di posta elettronica assegnate ai singoli dipendenti, sia quelle intestate al nome degli uffici sia quelle intestate al singolo dipendente.
In proposito, occorre ricordarsi che il Garante della privacy italiano ha più volte sottolineato che le caselle e-mail non sono sistemi di archiviazione. Questo significa che le e-mail non devono essere utilizzate quale un deposito delle comunicazioni, ricevute e inviate, da conservare senza limiti di tempo.
Questo significa anche che le caselle di posta elettronica devono essere sottoposte a una periodica verifica per distinguere quali messaggi debbano essere conservati e quali no, selezionando le e-mail che rappresentano atti endoprocedimentali da quelle che sono semplici messaggi e procedendo, quindi, a backup e cancellazioni.
La pulizia periodica delle caselle di posta elettronica elimina, tra l’altro, alla radice la possibilità di saturazione della loro capacità e tutti gli inconvenienti che ne derivano.
Sul punto si noti che il Garante belga ha avuto la mano leggera, poiché omettere la risposta oppure sforare i tempi di risposta di una richiesta di accesso privacy è un illecito punito con sanzione amministrativa pecuniaria (articolo 83 Gdpr).