Già con il D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), ancor di più adesso con l’entrata in vigore del regolamento europeo – GDPR 2016/679 – si vieta il trattamento dei dati personali in assenza di consenso obbligando il titolare del trattamento ad adottare tutte le cautele tecniche ed organizzative idonee a trattare i dati di terze persone in modo sicuro, nel rispetto dei diritti e delle libertà personali, nonché della dignità dell’interessato.
Nello specifico stiamo parlando di “dati personali” e per essi anche di dati sensibili e i dati giudiziari, e quindi di tutte le informazioni, a qualsiasi scopo raccolte, che identificano o rendano identificabile una persona fisica o che possano fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, orientamento sessuale, stato civile, stato di salute, stato patrimoniale etc.
La legge stabilisce il principio della necessità del consenso al trattamento dei dati personali, che deve sempre essere specifico, libero e consapevole.
Specifichiamo bene che il Legislatore non detta regole e/o norme su cosa e come si debba gestire la riservatezza delle mail, ma tutto ciò va in carico direttamente al Titolare del trattamento che devi spiegare e dimostrare ciò che si è fatto per evitare violazioni di dati personali, ed in proposito, ricordare ad un destinatario di una mail, le leggi vigenti in materia di privacy e violazioni della corrispondenza (616 C.P.) per avvertirlo dei rischi che corre se adotta comportamenti non corretti rappresenta senza dubbio una misura di sicurezza, che tutti ci auguriamo di ritrovare nella gestione dei rischi e nelle policies che si vorranno rendere operative.
In materia abbiamo già detto che non abbiamo una normativa di riferimento se non per estensione delle garanzie del trattamento, possiamo però rifarci anche se ormai datato alle le linee guida del Garante per posta elettronica e internet (www.garanteprivacy.it/garante/doc.jsp?ID=1387522), dove si precisa al punto 5.2
“Principio di necessità
In applicazione del menzionato principio di necessità il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri (da preferire rispetto all´adozione di misure “repressive”) e, comunque, a “minimizzare” l´uso di dati riferibili ai lavoratori (artt. 3, 11, comma 1, lett. d) e 22, commi 3 e 5, del Codice; aut. gen. al trattamento dei dati sensibili n. 1/2005, punto 4).”
E nello stesso articolo alla lettera b) “Il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un´ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell´amministrazione digitale)”
per proseguire poi
“.………..particolarmente opportuno che si adottino accorgimenti anche per prevenire eventuali trattamenti in violazione dei principi di pertinenza e non eccedenza. Si tratta di soluzioni che possono risultare utili per contemperare le esigenze di ordinato svolgimento dell’attività lavorativa con la prevenzione di inutili intrusioni nella sfera personale dei lavoratori, nonché violazioni della disciplina sull’eventuale segretezza della corrispondenza”.
E’ quindi opportuno ed essenziale inserire in calce alla mail un testo, come quello sotto riportato, in quanto la mancata comunicazione dell’informativa comporta, in caso di contestazione, ammende fino a varie migliaia di euro, salvo più gravose sanzioni in caso di trattamento di dati sensibili (con previsione di sanzione penale), da cui si evince che è meglio effettuare questo passaggio.
Informativa Privacy – Ai sensi del Regolamento (UE) 2016/679 si precisa che le informazioni contenute in questo messaggio sono riservate e ad uso esclusivo del destinatario. Qualora il messaggio in parola Le fosse pervenuto per errore, La preghiamo di eliminarlo senza copiarlo e di non inoltrarlo a terzi, dandocene gentilmente comunicazione. Grazie.
Privacy Information – This message, for the Regulation (UE) 2016/679, may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation.
Sarebbe auspicabile e lo consigliamo caldamente di inserire una opportuna dicitura, che di seguito riportiamo, anche su documentazione come fatture ddt ed altri documenti di questo tipo.
“Trattiamo i Vostri dati per fini amministrativi e contabili. Li tuteliamo rispettando la Privacy e a richiesta rimettiamo Informativa completa ai sensi del Regolamento (UE) 2016/679”
E’ opportuno fare chiarezza anche sugli indirizzi mail raccolti “pubblicamente” per capire che questi non sono utilizzabili a prescindere.
In proposito il Garante ha affermato ormai innumerevoli volte che: “l’utilizzo di un indirizzo di posta elettronica costituisce trattamento di dato personale” ragion per cui l’utilizzo è assolutamente illecito se l’utilizzo è privo del consenso preventivo e informato dell’interessato al trattamento.
