A seguito delle numerose segnalazioni di violazioni della sicurezza dei dati personali, l’Agenzia danese per la protezione dei dati ha deciso di chiarire e rendere più rigorosa la prassi in relazione agli obblighi di aziende e autorità che utilizzano la funzione di “completamento automatico”.
In molti programmi di posta elettronica, la funzione di “completamento automatico” è attivata per impostazione predefinita. Questa funzione funziona grazie al salvataggio da parte dei programmi di posta elettronica dei nomi e degli indirizzi e-mail dei destinatari a cui l’utente ha precedentemente inviato un’e-mail. Su questa base, i suggerimenti per i destinatari vengono elencati automaticamente quando l’utente inizia a digitare una seconda volta i campi e-mail A, Cc e Bcc. L’utente può quindi selezionare facilmente un destinatario semplicemente facendo clic sul nome precompilato, invece di dover inserire l’intero indirizzo e-mail del destinatario.
Può avere conseguenze importanti per i cittadini
Tuttavia, in alcuni casi, l’utilizzo della funzione di “completamento automatico” porta gli utenti a selezionare il destinatario sbagliato, con il risultato che l’e-mail viene inviata a persone non autorizzate. Se l’e-mail contiene dati personali, si tratta di una violazione della sicurezza dei dati personali.
“Purtroppo, spesso vediamo che la funzione di “completamento automatico” viene utilizzata per inviare e-mail a persone che non avrebbero dovuto riceverle. Questo può avere conseguenze importanti se, ad esempio, le informazioni di cittadini, clienti o dipendenti finiscono nelle mani sbagliate”, spiega Ditte Yde Amsnæs, capo ufficio dell’Agenzia danese per la protezione dei dati, e prosegue:
“L’errore umano si verificherà sempre, ma si tratta di un frutto di scarso valore perché ci sono modi per ridurre al minimo il rischio che le cose vadano storte. È per questo che stiamo rafforzando le nostre pratiche per avere maggiore cura dei dati personali dei cittadini”.
Dal 25 maggio 2018, quando è stato introdotto l’obbligo di segnalare le violazioni dei dati personali all’Agenzia danese per la protezione dei dati, l’Agenzia ha ricevuto un numero significativo di segnalazioni di dati inviati a destinatari sbagliati, molti dei quali possono essere direttamente attribuiti all’uso della funzione di “completamento automatico”. Solo nel 2022 si sono verificate oltre 100 violazioni di questo tipo. Le e-mail sbagliate si verificano, ad esempio, quando un’e-mail deve essere inviata internamente a un determinato collega, ma viene invece inviata alla persona sbagliata, completamente estranea. Ci sono esempi di cittadini privati completamente non autorizzati che ricevono informazioni che non avrebbero mai dovuto ricevere. Ciò ha comportato l’invio di informazioni di contatto, numeri di previdenza sociale, informazioni sanitarie, comprese quelle sui minori, e informazioni su reati penali a destinatari non autorizzati.
Ora la pratica viene inasprita
A seguito delle numerose violazioni, l’Agenzia danese per la protezione dei dati ha deciso di chiarire e rendere più rigorosa la prassi in relazione agli obblighi dei responsabili del trattamento dei dati quando viene utilizzata la funzione di “completamento automatico”.
Finora, l’Agenzia danese per la protezione dei dati ha dichiarato che i responsabili del trattamento dei dati devono almeno prendere in considerazione l’introduzione di misure tecniche e/o organizzative che possano ridurre il rischio dell’uso del completamento automatico. Tuttavia, nelle notifiche di violazioni di dati personali ricevute dall’Agenzia danese per la protezione dei dati, i responsabili del trattamento dei dati – nonostante queste indicazioni – hanno spesso indicato solo misure organizzative sotto forma di maggiore consapevolezza come misure per prevenire ulteriori violazioni.
Pertanto, in futuro l’Agenzia danese per la protezione dei dati riterrà che i responsabili del trattamento dei dati che utilizzano in modo sistematico la posta elettronica per inviare informazioni riservate e/o sensibili non possono limitarsi ad attuare misure di sicurezza organizzative, ad esempio sotto forma di linee guida sulla comunicazione e sulla sensibilizzazione. Questi responsabili del trattamento devono anche implementare una o più misure tecniche per ridurre al minimo il rischio di errore di indirizzo dovuto all’uso del “completamento automatico”. Tuttavia, se solo alcune parti dell’organizzazione/autorità utilizzano sistematicamente la posta elettronica per inviare informazioni riservate e/o sensibili, le misure tecniche possono essere limitate ad esse.
L’Agenzia danese per la protezione dei dati ha deciso che si applicherà un periodo di transizione fino al 1° marzo 2024, durante il quale i responsabili del trattamento dei dati avranno la possibilità di valutare il rischio e di implementare le misure di sicurezza necessarie in conformità con le pratiche più rigorose.