Oblio per il contenuto degli sms e niente accesso ai messaggi per scoprire frodi telematiche. Alle società di servizi di messaggistica è vietata la conservazione integrale dei messaggi inviati dai clienti e, dunque, non ci sono ragioni di giustizia che obbligano alla conservazione dei dati. Inoltre, non si può nemmeno scansionare il contenuto dei messaggi allo scopo di intercettare frodi telematiche, phishing, spamming, ecc. ed evitare di essere accusati di averli agevolati: ciò perché non sussiste uno specifico obbligo in capo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di effettuare verifiche preventive. Applicando questi principi il Garante della privacy ha sanzionato una società con una multa di 80mila euro (ingiunzione n. 12 dell’11 gennaio 2023). L’ingiunzione riguarda un fornitore di un servizio di messaggistica, ma contiene prescrizioni validi per tutte le imprese. Vediamole in dettaglio. La prima questione riguarda il trattamento di dati per evitare che i propri clienti o utenti subiscano un danno. Nel caso in questione la società si è difesa sostenendo che, senza il consenso degli interessati, faceva controlli, scansionando il contenuto degli sms, ma solo per intercettare tentativi di frode e altri illeciti telematici, così da evitare di essere eventualmente coinvolta nella responsabilità. Il Garante ha però ribattuto che la società fornitrice del servizio non ha obblighi di prevenzione di spam, phishing e simili e, quindi, non c’è base giuridica che sostenga il trattamento. A fronte di quest’orientamento, se un’impresa intende fare controlli antifrode, se deve usare dati personali senza il consenso, allora deve scrivere un documento di bilanciamento di interessi e spiegare qual è il suo interesse specifico e perché è necessario usare i dati. Senza un atto di documentazione delle scelte, la generica finalità antifrode non basta a evitare la sanzione. Il secondo profilo dell’ingiunzione in commento riguarda la conservazione del contenuto dell’sms. Al riguardo il Garante ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto. La conservazione sproporzionata di comunicazioni elettroniche, peraltro, riguarda tutte le imprese e le pubbliche amministrazioni e non solo per i fornitori di telecomunicazioni. Dall’ingiunzione del Garante risulta che le ragioni di giustizia non devono essere accampate a sproposito e che bisogna organizzare la conservazione dei documenti elettronici, evitando periodi troppo lunghi. Se si pensa alla quantità enorme di e-mail conservate negli account individuali delle caselle aziendali e istituzionali, si comprende quanto rischio corrono imprese e PA se non pianificano una gestione delle caselle stesse con cancellazioni periodiche. Sempre a riguardo delle -mail aziendali, con altra ingiunzione (n. 8 dell’11 gennaio 2023) il Garante ha affermato che né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio legittimano l’accesso del datore di lavoro alla casella di un ex collaboratore (nel caso specifico visione del contenuto delle e-mail e inoltro verso un dipendente della società): in questi casi è sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account. Avendo una società informatica contravvenuto a queste prescrizioni, ha subito una sanzione di 5 mila euro.

Antonio Ciccia Messina, ItaliaOggi