Garante Privacy – Provvedimento n. 9843741 del 15 dicembre 2022
L’invio massimo di una mail o una pec ad un elenco in chiaro di destinatari, senza quindi nasconderne i relativi indirizzi, costituisce una violazione della normativa posta a tutela della privacy e dei dati personali.
A confermarlo è stata di recente l’Autorità Garante per la Protezione dei Dati Personali che, con il Provvedimento n. 9843741 del 15 dicembre 2022, ha sanzionato un piccolo comune della Provincia di Cagliari.
Nell’ambito di una procedura di selezione per l’affidamento di un incarico, due partecipanti a una procedura concorsuale hanno lamentato all’Authority di aver ricevuto riscontro da parte del Comune tramite una mail che rivelava l’indirizzo pec di altri candidati, oltre che delle reclamanti stesse. In più, veniva denunciata l’assenza dei dati di contatto del Responsabile della Protezione dei Dati Personali (o Data Protection Officer – DPO).
Il comune in questione, tuttavia, con un efficace mea culpa, ha saputo dimostrare la colpa lieve dell’errore commesso, sottolineando come il medesimo, dovuto all’eccessivo carico di lavoro che ha caratterizzato il periodo pandemico, abbia di fatto dato luogo ad una mera comunicazione di dati, peraltro non particolari o giudiziari, ad una cerchia ristrettissima di destinatari, e non già quindi ad una diffusione indeterminata di informazioni personali, comunicazione che, a detta del comune, non avrebbe poi prodotto ulteriori pregiudizi per gli interessi dei soggetti coinvolti.
Quanto invece alla mancata indicazione dei dati del DPO, l’ente locale precisava come i medesimi fossero stati correttamente indicati non solo nell’informativa inerente alla procedura concorsuale in commento, ma altresì in ogni informativa utilizzata dall’ente oltre che nella sezione privacy del proprio sito istituzionale.
Indagate le ragioni addotte dal comune, e considerate altresì le piccole dimensioni e dunque le limitate risorse del medesimo, il Garante Privacy ha da un lato archiviato il reclamo avverso l’assenza dei dati di contatto del DPO, accogliendo quindi in pieno le eccezioni dell’ente locale; dall’altro lato, invece, ha preso atto della sussistenza di una violazione della normativa privacy, considerata però minore, e ha dunque ritenuto sufficiente ammonire il comune in qualità di titolare del trattamento.
Inviare pertanto una mail o una pec ad un elenco in chiaro di destinatari costituisce una comunicazione illecita di dati personali e quindi una condotta sanzionabile: come emerge dalle difese del comune del caso appena esaminato, infatti, nell’invio massivo di comunicazioni di dati personali occorre inserire gli indirizzi dei destinatari in CCN (Copia Conoscenza Nascosta) piuttosto che in CC (Copia Conoscenza), così tutelando la privacy di ogni soggetto coinvolto.