A seguito di un errore umano, un laboratorio di analisi nell’inviare a pazienti, afflitti da una grave patologia, un piano terapeutico, spediva la stessa mail CC ad altri indirizzi di pazienti, che venivano così a conoscenza dei dati identificativi e sanitari della paziente originaria destinataria.

Il caso 

In particolare, l’evento si era prodotto per un errore umano dell’addetto di segreteria, il quale, erroneamente disattendendo le istruzioni sul trattamento dati per finalità di invio comunicazioni, trasmetteva una circolare di istruzioni sul piano terapeutico a 45 indirizzi di pazienti affetti da sclerosi multipla, inserendo i relativi indirizzi in campo CC in chiaro. Nei confronti dell’operatore responsabile veniva emessa la sanzione del richiamo verbale e l’Azienda sanitaria indicava alcune misure correttive sulla gestione della privacy.

Approfondisci > Privacy e finestre rotte: Come da una piccola disattenzione possono derivare conseguenze ben più gravi

Il garante, opportunamente avvisato, iniziava la propria istruttoria e l’Asl nella propria difesa, sottolineando come l’evento fosse stato assolutamente accidentale, poneva in evidenza che la scelta operata a favore della posta elettronica quale mezzo di comunicazione era dettata dalla larga diffusione di tale strumento, e dall’altro dal fatto che tale mezzo, essendo qualificato nella sostanza come “postale” è assistito dalle garanzie previste dalla legislazione vigente sulla tutela dei contenuti.

La sanzione

Le difese non sono state ritenute sufficienti dal Garante il quale, pur avendo preso atto della volontà dell’Azienda incolpata di implementare le misure di sicurezza e la formazione degli incaricati ho emesso una sanzione di € 8.400,00.
La vicenda, pur rivestendo ormai carattere di normalità, deve far riflettere ogni azienda o ente titolare di trattamento dati, di come l’adozione di misure di sicurezza nella fase di trasferimento o comunicazione dati debbano essere particolarmente rigorose quando si tratta di comunicazione di dati appartenenti a particolari categorie, come quelli sensibili, ma anche di come la mail sia uno degli strumenti più deboli nella catena della gestione della privacy.

Approfondisci > Quanto costa un piccolo Data Breach per una piccola impresa?

Policy e procedure di sicurezza inadeguate e mancata formazione del personale sono tra le lacune più comuni. Quest’ultima in particolare deve essere effettiva, costante e sempre aggiornata e monitorata.
Devono essere inoltre presi in considerazione possibili strumenti di maggiore sicurezza quali, ad esempio, l’adozione di alert che avvisino l’utente quando si debbano inviare messaggi al di fuori dell’organizzazione in modo da poter intervenire preventivamente, con forme di blocco, quando vengano inseriti indirizzi CC o BCC.

Un pò di storia.. 

Sul punto vogliamo ricordare che la mail originariamente, veniva utilizzata come strumento per sostituire le comunicazioni cartacee all’interno delle organizzazioni, per uso militare e come modo di inviare messaggi all'interno delle reti di computer esistenti e connesse.
Solo in seguito con l’espansione delle reti di computer, che diventavano più accessibili, le aziende iniziarono a considerare il valore dell’e-mail come strumento di comunicazione ancora inizialmente interna. Era un metodo sicuramente più veloce ed efficiente rispetto alla corrispondenza cartacea e alle telefonate, facilitando lo scambio rapido di informazioni tra dipendenti, reparti e sedi diverse di un'azienda.

Potrebbe interessarti > L'educazione alla protezione del dato

L'ampia diffusione dell’e-mail ha però portato alla luce le sue vulnerabilità. La mancanza di crittografia end-to-end nel protocollo SMTP originale, ad esempio, rendeva le comunicazioni suscettibili ad intercettazioni e manomissioni durante il transito. Queste lacune di sicurezza hanno spinto gli sviluppatori a cercare soluzioni migliori, portando all'adozione di protocolli più sicuri come SMTP (Simple mail Transfer protocol) con TLS (Transport Layer Security), che crittografa il contenuto del messaggio durante il suo transito tra i server.

Nonostante le migliorie apportate nel tempo, l’e-mail rimane ancora un mezzo di comunicazione potenzialmente vulnerabile. Per questo motivo, è essenziale per gli utenti e le organizzazioni essere consapevoli dei rischi e adottare pratiche di sicurezza appropriate, come l'uso di software antivirus, l'autenticazione a due fattori, e l'educazione alla consapevolezza delle minacce informatiche.