Avere la inbox piena può comportare una doppia violazione della normativa privacy. Con tutte le conseguenze che ne possono derivare in termini di sanzioni. Potrebbe sembrare un’esagerazione, ma non è così e un recente provvedimento dell’Autorità Garante belga lo dimostra.
Casella piena, e-mail non recapitabile
In concreto, si è verificata una situazione che, come si dice in questi casi, “potrebbe succedere anche a te”. Un istituto, infatti, si è trovato con la mailbox satura di messaggi in entrata. La ragione è che, semplicemente, l’addetto alla gestione della casella non si è mai preoccupato di fare pulizia, conservando quindi tutte le e-mail ricevute negli anni. Il risultato è che una persona, che aveva mandato una e-mail all’istituto in questione, si è trovata una risposta automatica: impossibile recapitare causa casella piena. E poi un’altra. E un’altra ancora.
Il guaio è che l’e-mail questione conteneva una richiesta di accesso ai propri dati personali. Che è stata, per così dire, rimbalzata al mittente. In questo modo, è spirato il termine, previsto dal GDPR, entro cui il titolare del trattamento (l’istituto), avrebbe dovuto rispondere. E questa è la prima violazione, per la quale la persona si è rivolta all’Autorità Garante.
Le violazioni alla privacy
Si tratta di una violazione particolarmente rilevante. Nella pratica, infatti, l’interessato che non riceve una risposta sulla gestione dei suoi dati personali, finisce quasi sempre per coinvolgere nella questione l’Autorità Garante. Questo, a sua volta, comporta che si accendano i riflettori su tutto l’impianto privacy del titolare di turno. E vengono a galla tutti i problemi e tutte le violazioni, perché, solitamente, chi non risponde alle richieste di accesso è difficilmente un soggetto che ha soddisfatto tutti gli altri adempimenti in materia di privacy.
In questo caso specifico, ne viene in evidenza subito una, in materia di conservazione dei dati. Conservare sistematicamente tutti i messaggi ricevuti, lasciandoli per giunta in casella, è una pratica sbagliatissima. A prescindere dal fatto che, prima o poi, lo spazio si esaurisce e diventa impossibile ricevere altre e-mail. I dati personali, infatti, andrebbero conservati per il solo tempo utile alla finalità per cui sono trattati. Successivamente, il titolare deve adottare le cautele volte ad evitare il rischio che a quei dati succeda qualcosa.
Quando e come conservare
Bisognerebbe sempre chiedersi a cosa servono tutte quelle e-mail che conserviamo in inbox. Se non servono più a nulla, è preferibile cancellare quei dati. Se, invece, conservarli ha uno scopo, si dovrà trovare il modo adeguato, archiviandoli ad esempio in cartelle specifiche, magari privandoli degli elementi che non sono utili o sono superflui. L’importante è che lo scopo che giustifica la conservazione ulteriore sia lecito e attuale: conservare “perché non si sa mai”, infatti, non è mai una giustificazione valida.
Conservare mesi e mesi (per non dire anni) di e-mail, quindi, rappresenta un rischio. Più sono i dati che giacciono in inbox, maggiore è il danno, ad esempio, in caso di attacco informatico o di interruzione del servizio. Per non parlare delle sanzioni. Nel caso di mancato riscontro ad una richiesta di accesso, infatti, la sanzione è fino a 20.000.000 di euro o fino al 4% del fatturato annuo. Lo stesso per quanto riguarda la violazione delle modalità di conservazione. Forse è il caso di cominciare a fare pulizia.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale