Chi sceglie di fornire il proprio indirizzo posta elettronica offre un recapito per poter essere contattato in modo semplice e immediato, essendo l’email sempre più spesso consultata da dispositivi mobili quali smartphone o tablet.

Viene da sé che la casella di posta elettronica equivale a tutti gli effetti a un numero di telefono o a un indirizzo di residenza fisica.

In virtù di ciò, il Garante della privacy considera oggi l’email come un dato personale, e ne vieta la divulgazione previo consenso dell’interessato.

Emblematica è l’ipotesi in cui si voglia inviare lo stesso messaggio a più persone e, per risparmiare tempo, oltre al destinatario principale si inseriscano anche gli indirizzi di terzi ai quali la comunicazione è diretta per conoscenza.

Tramite posta elettronica ciò risulta estremamente semplice, dato che è sufficiente inserire gli eventuali indirizzi aggiuntivi nello spazio contraddistinto dalla sigla “CC” (Copia Conoscenza).

Tuttavia la problematica che sorge in questi casi è facilmente intuibile: tutti i destinatari dell’email possono liberamente visualizzare gli indirizzi altrui.

Si tratta dunque di una violazione della privacy? Inserire un indirizzo email in Copia Conoscenza costituisce un illecito?

Facciamo un po’ di chiarezza su questo e altri aspetti nei paragrafi successivi.

Privacy e posta elettronica: l’indirizzo mail è un dato personale?

Come detto, l’indirizzo di posta elettronica è a tutti gli effetti un dato personale, e in quanto tale è tutelato dal diritto alla riservatezza.

Si tratta infatti di un’informazione tramite la quale è possibile risalire a un determinato soggetto, sia in maniera diretta che indiretta.

Come stabilisce l’Autorità Garante, qualsiasi dato personale non può essere divulgato senza il consenso del titolare, ossia del soggetto a cui il dato in questione si riferisce.

Tale restrizione vale dunque anche per l’indirizzo di posta elettronica, a meno che lo stesso non sia già stato reso pubblico dal legittimo proprietario.

Questo è quanto stabilito dalla legge sulla tutela della privacy.

La diffusione da parte della scuola di un indirizzo email senza consenso viola la privacy

Secondo quanto sancito dal Codice in materia di protezione dei dati personali – nello specifico nell’art. 2 ter, comma 4, lett b) – viene da sé che, da parte delle scuole, l’affissione all’albo e alle bacheche esterne di qualsiasi documento che racchiuda eventuali dati personali comporta la diffusione degli stessi, intendendosi per diffusione “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Non è dunque possibile pubblicare senza consenso un dato come l’indirizzo email, in quanto tale diffusione comporta una violazione della privacy.

Comunicazioni scolastiche e violazione della privacy

Come trattato nell’articolo Comunicazioni scolastiche: come inviare una email senza violare i dati personali, la scuola ha la facoltà di inoltrare comunicazioni scolastiche mediante l’indirizzo di posta elettronica, purché vengano rispettati gli obblighi previsti dal Garante della Privacy.

L’invio massivo di comunicazioni rivolte ad indirizzi email personali utilizzando il campo “CC” (anziché “CCN”) può infatti comportare un “data breach”, poiché tale azione determina la diffusione di un dato personale senza consenso dell’interessato, specie se quest’ultimo è identificato come un soggetto minore e le informazioni legate alla comunicazione sono di carattere personale.

Valido anche per l’istituzione scolastica è il principio secondo il quale, qualora una comunicazione debba essere inoltrata a più soggetti, occorre sfruttare il campo “CCN” (Copia Conoscenza Nascosta), opzione fondamentale quando si parla di tutela della privacy e dei dati personali, poiché permette di rendere invisibili al soggetto a cui l’email è diretta eventuali indirizzi di utenti terzi presenti in copia.

La pubblicazione delle graduatorie da parte della scuola deve prevedere dati pertinenti

In ultimo, occorre ricordare come il Miur, attraverso la circolare del 7 marzo 2008, abbia chiarito che “non è consentita la pubblicazione, accanto ai dati strettamente necessari all´individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, domicilio, recapito telefonico, poiché la conoscenza da parti di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell´ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari”, compreso quindi un dato personale attualmente tanto utilizzato quale appunto l’indirizzo di posta elettronica.

Tale concetto è stato peraltro ribadito, sempre dal Miur, nella circolare del 22 gennaio 2013 (prot. n. AOODGPER510 – Uff. III).

Privacy e posta elettronica: ulteriori rischi legati alla mancata tutela dei dati personali

Chiunque divulghi dati personali altrui senza il relativo consenso, compresa la diffusione non autorizzata di indirizzi email da parte delle istituzioni scolastiche, corre anche il rischio di dover pagare un risarcimento, unitamente al dovere al contempo rimediare al danno provocato, ad esempio provvedendo all’immediata rimozione della comunicazione tramite la quale sono stati diffusi i dati personali.