Proseguendo nell’analisi delle varie tipologie di data breach prese in considerazione dalle Linee Guida del EDP (European Data Protection Board), viene naturale far seguire alla trattazione sul furto occulto di email quella dedicata all’errore postale (mispostal).
In questo caso la fonte di rischio è l’errore umano, non malizioso, dovuto a semplice disattenzione; così che in linea generale si può subito osservare che il titolare del trattamento può fare davvero poco per limitarne l’insorgenza e mitigarne gli effetti.
Invio errato di posta ordinaria
La prima e più banale categoria di mispostal è l’invio errato di posta ordinaria.
Si immagini che du persone comprino online due differenti paia di scarpe. Per puro e semplice errore umano, i due acquirenti ricevono il pacco destinato all’altro, uno dei quali con relativa fattura, contenente alcuni dati personali (tipicamente, nome, cognome, indirizzo).
Dopo aver identificato l’errore il titolare del trattamento richiama i pacchi e li rispedisce correttamente ai rispettivi acquirenti.
In questo caso il rischio per i diritti e le libertà fondamentali delle persone è minimo o addirittura assente poiché i dati di fatturazione non possono condurre a minacce rilevanti.
Come anticipato sopra, il titolare del trattamento può fare ben poco per limitare l’insorgenza di questo tipo di inconveniente e deve tutt’al più verificare l’eventuale perfettibilità delle sue procedure interne, onde evitare che possa verificarsi sistematicamente.
La mitigazione dell’inconveniente passa anche attraverso la richiesta di distruzione delle fatture errate da parte dei due acquirenti in modo da distruggere i dati personali erroneamente trattati ivi contenuti.
Il data breach deve, ovviamente, essere documentato dal titolare del trattamento, il quale non è tuttavia tenuto a notificarlo ai titolari dei dati erroneamente trattati e all’Autorità di Regolazione (che deve invece essere formalmente informata laddove il numero dei destinatari sia elevato).
È peraltro raccomandato che il titolare del trattamento notifichi comunque il data breach ai titolari dei dati, poiché la loro collaborazione è necessaria a mitigare i rischi connessi al trattamento dei dati di fatturazione, mediante la distruzione delle fatture erroneamente inviate.
Dati personali sensibili erroneamente inviati per email a un elevato numero di soggetti
Più seri sono i rischi qualora l’invio errato coinvolga molte persone e comporti il trattamento di dati sensibili: si ipotizzi che una pubblica amministrazione, attraverso il dipartimento dedicato al collocamento di persone in cerca di lavoro, invii a migliaia di queste, per errore, un documento contenente svariati dati personali, tra i quali, nome/cognome/indirizzo di posta cartacea ed elettronica/numero di previdenza sociale.
Il titolare del trattamento contatta immediatamente tutte le persone coinvolte, chiedendo loro di cancellare l’email erroneamente inviata e di non usare i dati personali trasmessi mediante la medesima.
In questo caso, le contromisure devono passare attraverso una attenta verifica delle procedure interne intesa a predisporre strumenti che evitino per quanto possibile il ripetersi di questi accadimenti.
Dal punto di vista del rischio, questo deve essere considerato alto, in virtù dell’elevato numero di persone coinvolte e della natura sensibile del dato (costituito dal numero di previdenza sociale) che può mettere a rischio i diritti fondamentali e la libertà dei titolari qualora successivamente trattato malevolmente.
Come anticipato sopra, la mitigazione di questo tipo di data breach è difficoltosa perché anche laddove il titolare del trattamento chieda alle migliaia di persone che hanno ricevuto erroneamente l’email di cancellarla, non vi è alcuna garanzia che queste effettivamente si conformeranno a tale richiesta.
Va da sé che questa tipologia di mispostal deve essere documentata internamente, notificata all’Autorità di Regolazione e ovviamente anche alle migliaia di persone che hanno ricevuto l’invio erroneo.
Dati personali (anche sensibili) erroneamente inviati per email a un limitato numero di soggetti
Si immagini che i 15 iscritti a un corso di legal english della durata di 5 giorni ricevano via email, per errore dell’organizzatore, la lista in realtà destinata al hotel ospitante, nella quale sono contenuti alcuni dati personali, tra i quali le intolleranze alimentari di 2 di loro.
In questo caso le Linee Guida specificano che il rischio per le libertà e i diritti fondamentali delle persone è da considerarsi basso, in ragione del limitato numero di dati e di persone coinvolto e nonostante sia stato trattato erroneamente il dato sensibile. L’informazione relativa allo stato di salute, costituita dal dato sull’intolleranza al lattosio di 2 iscritti, non è infatti collegata a credenze religiose, opinioni politiche o filosofiche.
La mitigazione del data breach passa ovviamente da una revisione delle procedure interne al fine di ridurre al minimo la possibilità che l’invio erroneo si ripeta.
Come nel caso dell’invio errato di posta ordinaria considerato all’inizio dell’esposizione, in questa situazione il titolare del trattamento deve documentare il data breach e non è tenuto ad avvisare i destinatari dell’invio erroneo così come l’Autorità di Regolazione.
Va da sé che, come nel primo caso, è raccomandata la notifica del problema ai destinatari del messaggio erroneo con richiesta di distruzione dello stesso e precisazione che l’ulteriore utilizzo dei dati ivi contenuti è illecito.
Misure organizzative e tecniche per prevenire e/o mitigare l’impatto dell’invio erroneo di corrispondenza
Le Linee Guida, infine, esemplificano una serie di misure organizzative e tecniche che sono considerate funzionali, da sole o in combinazione tra loro, a prevenire e/o mitigare l’invio erroneo di corrispondenza e le sue conseguenze:
- adozione di standard precisi, che non concedano spazio all’interpretazione del personale addetto alla gestione della corrispondenza;
- addestramento specifico del medesimo personale;
- introduzione a priori dei destinatari multipli nel campo copia conoscenza nascosta della posta elettronica;
- necessità di una conferma ad hoc per il caso di invio di email multiple a destinatari non inseriti nel campo copia conoscenza nascosta;
- inserimento automatizzato degli indirizzi attingendo a un data base aggiornato, da controllare periodicamente al fine di rimuovere errori nascosti e impostazioni errate;
- adozione di un sistema di latenza rispetto al comando di invio, in modo da consentire la modifica e la cancellazione del messaggio anche dopo aver impartito il comando di invio;
- disabilitazione della funzionalità di completamento automatizzato degli indirizzi di posta elettronica;
- sessioni di addestramento sui più ricorrenti errori causa di data breach;
- sessioni di addestramento e manualistica sulle tecniche di gestione del data breach.
Chi è l’autore
Classe 1968, maturità classica, laurea in giurisprudenza presso l’Università statale di Milano, relatore prof. Alberto Santamaria (tesi sul diritto antitrust comunitario in ambito radiotelevisivo) Giovanni Ricci, iscritto all’albo degli avvocati dal 2002, è partner dello studio legale Edoardo Ricci Avvocati, fondato dall’avv. prof. Edoardo Ricci, professore emerito di diritto processuale civile all’Università statale di Milano sino al 2010. Giovanni Ricci, è responsabile del dipartimento di responsabilità civile dello studio, ha approfondito la responsabilità sanitaria e i temi correlati (medical malpractice) e maturato significative competenze in tema di protezione dei dati personali e sulla normativa e sul Regolamento n. 679/2016/UE (GDPR)
Email exfiltration, come reagire: notificazione e contromisure
LegalTech: furto di identità, valutazione del rischio e contromisure
