Il Garante per la protezione dei dati personali, col provvedimento 242 del 23 aprile 2015, ha stabilito che è illecito inoltrare una mail contenente informazioni sulla salute e il numero di cellulare della persona che l’ha inviata senza averla prima informata e avere avuto il suo consenso.
Il provvedimento n. 242 prende origine dalla richiesta di una donna, collaboratrice di un’azienda informatica, che si è rivolta al Garante Privacy per segnalare quello che, a suo avviso, è stato un illecito trattamento dei dati personali contenuti in una email da lei inviata ad un conoscente e potenziale Cliente di una agenzia immobiliare, per promuovere la sua attività professionale.
La email in questione conteneva sia informazioni promozionali dei servizi dell’azienda informatica, incluso il numero di cellulare della scrivente, sia – visto il rapporto di conoscenza col destinatario della mail – informazioni relative ad una operazione che ella avrebbe dovuto affrontare a breve.
Quella stessa mail, dopo esser stata inoltrata una prima volta a un secondo destinatario, è stata da questi parzialmente modificata ed inoltrata ad oltre 200 affiliati dell’agenzia immobiliare utilizzando le mail aziendali. In entrambi i casi l’inoltro è avvenuto senza cancellare le informazioni personali che la donna aveva inserito.
L’interessata ha ravvisato in queste azioni di “inoltro”, eseguite senza il suo preventivo consenso e in assenza di adeguati presupposti giustificativi, un’indebita divulgazione dei propri dati personali e sensibili, oltre che del numero di cellulare anch’esso riportato nell’email inoltrate. Divulgazione aggravata dal disagio provocatole dalle numerose telefonate ricevute nei giorni successivi all’intervento ad opera di alcuni dei destinatari dell’inoltro, ormai al corrente delle sue condizioni di salute.
Questi “inoltro”, fatti senza il preventivo consenso dell’interessata, hanno violato gli articoli 13, 23 e 26 del Codice della Privacy.
L’Autorità Garante ha dichiarato illecito il trattamento effettuato ai dati personali e sensibili dell’interessata stabilendo che la responsabilità fosse addebitabile alle società, in capo alle quali rimane il compito ed il potere di vigilare sui propri collaboratori. Nel disporre il divieto, il Garante ha dunque prescritto alle società di adottare idonee misure atte a garantire una scrupolosa vigilanza sull’operato del personale, sensibilizzandole al rispetto delle istruzioni ricevute sulla protezione dei dati personali.
Visualizza il provvedimento n. 242 del’Autorità Garante
