Il Garante privacy, con la newsletter n. 461 del 7 febbraio 2020, ha deciso che viola il Regolamento UE 679/2016 inviare a più destinatari in chiaro un’email contenente dati strettamente personali, come lo sono quelli relativi alla salute.

Nel caso sottoposto al giudizio de Garante per la protezione dei dati personali una Provincia aveva inviato una e-mail destinata, contemporaneamente e con gli indirizzi in chiaro, a sedici genitori di bambini non in regola con l'obbligo delle vaccinazioni.

In prossimità dell'avvio dell'anno scolastico, l'e-mail della Provincia informava le famiglie dell'impossibilità di ammettere i minori alle scuole dell'infanzia, in assenza della regolarità vaccinale.

Il Garante ha precisato che le informazioni contenute nella comunicazione della Provincia sono qualificabili come dati relativi alla salute dei minori. Tali dati possono essere trattati solo sulla base di un idoneo presupposto giuridico (art. 9 del Regolamento), rispettando i principi di liceità, correttezza e trasparenza nonché di minimizzazione, in modo sicuro e solo se adeguati, pertinenti e limitati rispetto alle finalità per le quali sono trattati (art. 5, par. 1 del Regolamento).

L'e-mail andava dunque inviata a ciascun genitore separatamente, in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.

Di conseguenza l'Autorità, oltre ad aver dichiarato illecito il trattamento, ha ammonito la Provincia a conformare l'invio di comunicazioni alle disposizioni e ai principi che tutelano i dati personali.

Nel caso specifico il Garante ha tenuto conto del fatto che l'illecito è stato un primo e isolato evento, dovuto alla disattenzione di una dipendente.

Pertanto ha semplicemente ammonito il titolare del trattamento affinché provveda a conformare i trattamenti di dati personali che comportano l’invio di comunicazioni a mezzo posta elettronica alle disposizioni e ai principi in materia di protezione dei dati personali sopra indicati (58, par. 2, lett. b, del Regolamento) e ha accertato che non vi erano i presupposti per l’adozione di ulteriori provvedimenti.