Nell’era contemporanea i dati delle persone hanno assunto un grande valore da un punto di vista strategico per le imprese che operano nel mercato. Sulla tutela dei dati negli ultimi anni sono stati molti gli interventi del Garante della Privacy al fine di tutelare i cittadini, specie contro le appropriazioni indebite di informazioni personali.
In tale ottica molta importanza è ricoperta dal cosiddetto data breach, termine con cui si intende la violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi. Tale attività può essere accidentale, ovvero senza dolo umano, o illecita. Queste attività possono fortemente compromettere la riservatezza e la disponibilità dei dati personali e il Garante ha ritenuto importante intervenire per tutelare i cittadini.
Nel momento in cui si è diventati il bersaglio di una violazione dei dati personali, il titolare del trattamento, sia questo un soggetto pubblico o un’impresa, deve comunicare al Garante della Privacy la propria situazione. Per farla ha 72 ore da quando viene a conoscenza della violazione.
A tal proposito, il Garante belga ha emanato un provvedimento (n.6 del 2 febbraio 2023) sulla posta elettronica e il suo malfunzionamento. Una persona ha inviato ad un ente pubblico la richiesta di conoscere chi aveva avuto accesso ai suoi dati personali, contenuti in un archivio elettronico nazionale. Nella sua richiesta, inviata per posta elettronica, l’interessato ha specificato che intendeva conoscere tutte le informazioni relative all’accesso al suo fascicolo personale, compreso il motivo e l’identità della persona e/o dell’ente che aveva consultato i dati.
L’interessato ha ricevuto una risposta automatica dal titolare del trattamento con cui veniva informato che la casella di posta elettronica del destinatario era piena e che non potevano essere ricevuti nuovi messaggi. L’interessato ha continuato a inviare messaggi di posta elettronica, ma con lo stesso esito e cioè e-mail non consegnata per incapienza della casella di posta elettronica del destinatario. A quel punto la persona in questione ha presentato un reclamo al Garante della Privacy.
L’autorità belga, dopo avere qualificato la richiesta dell’interessato come un’istanza di accesso ai sensi dell’articolo 15 del General data protection regulation (Gdpr), ha accertato che l’ente non aveva risposto nel termine previsto dallo stesso Gdpr (un mese, si veda l’articolo 12) e ha ordinato all’ente di evadere la richiesta. Nel suo provvedimento il Garante belga ha constatato che l’indirizzo e-mail fornito dal titolare del trattamento non funzionava, con questo violando l’obbligo di mantenere disponibile agli interessati un canale idoneo a consentire loro di esercitare i diritti riconosciuti agli interessati dal Gdpr.
(V.M)
