Chi controlla le email (e le chat)?

Per un’azienda (ma vale per qualsiasi tipo di ente, anche pubblico o del terzo settore, nonché per i professionisti), i canali di comunicazione con i clienti/utenti sono fondamentali, per ovvi motivi; e lo sono sia dal punto di vista della trasmissione dei messaggi, che della loro conservazione. Il mondo di internet prevede come canali privilegiati quelli che si basano sulla rete globale (“internet”), e questi sono: la posta elettronica (email), la messaggistica istantanea (le chat quali whatsapp, telegram, messenger, etc), i social media (facebook, instagram, youtube, tiktok, X, etc, ma alcune funzionalità di questo tipo sono presenti anche nelle chat prima menzionate), ed infine, il “classico” sito web. Ora, ogni volta che c’è uno scambio di messaggi tramite questi sistemi, si ha un trattamento di dati personali dovuti almeno alla indispensabile presenza di una qualche forma di identità di mittenti e destinatari, ma più in generale il contenuto stesso può inglobare un altro trattamento di dati personali, magari di soggetti che non sono né mittenti né destinatari. Il problema che ci poniamo è: chi ha l’effettivo controllo di questi strumenti?

Posta elettronica

Per l’email, bisogna distinguere due casi: caselle con dominio specifico (es. nomeazienda.it) e caselle generiche (con dominio standard del gestore).

Le caselle generiche hanno un primo problema legato alla riconoscibilità: poiché il dominio è standard, e quindi condiviso con migliaia di altre caselle, l’identificazione del “proprietario” è limitata al nome della casella, che però può essere scelto liberamente in fase di registrazione e quindi potenzialmente chiunque è in grado di utilizzare un nome che sembri riferirsi ad altri soggetti (esempio: pincopallino@gmail.com può essere creata e utilizzata da Caio Sempronio), senza che nessuno sia in grado di sapere se dietro quel nome ci sia veramente il soggetto che sembra; il rischio di furto dei dati è quindi altissimo. Inoltre, queste caselle standard spesso sono gratuite, e la gratuità si “paga” con minore controllo del contenuto: il gestore ha in mano la possibilità tecnica e spesso anche legale di chiudere, cancellare o limitare la casella ed il suo contenuto.

Le caselle con dominio specifico hanno per prima cosa la garanzia dell’identità del soggetto, legata al fatto che il dominio viene registrato da un soggetto la cui identità è nota (agli organi competenti) e quindi il legame con l’azienda può essere giuridicamente ricostruito; quindi non c’è il problema della riconoscibilità (pur rimanendo il rischio che domini “simili” possano essere comunque registrati da chiunque). Inoltre, proprio perché legati a domini specifici, le caselle sono di fatto dei servizi a pagamento le cui clausole contrattuali garantiscono molto di più l’azienda, dal punto di vista del controllo operativo, ed anche dal punto di vista dell’affidabilità.

In sostanza, è sempre altamente consigliabile il dominio specifico per ogni soggetto, anche singolo, con un’attività professionale. Ma non basta: è sempre e comunque necessario mantenere una copia dei messaggi e degli altri dati (per esempio, le rubriche) sui propri sistemi.

Chat

I sistemi di messaggistica istantanea si sono imposti grazie alla semplicità d’uso soprattutto con l’avvento degli smartphone; e col tempo hanno anche iniziato ad essere utilizzati per scambi di dati più strutturati. A differenza delle email, i sistemi di chat non possono dirsi mai sotto il controllo dell’utilizzatore: le modalità di accesso, di gestione dei contatti, di sicurezza e di backup sono sempre sotto il controllo del fornitore del servizio (al di là delle impostazioni che si possono personalizzare), e spesso accade che alcune funzionalità vengano modificate unilateralmente. Le chat sono nate per comunicazioni tra singoli, per finalità private; in alcuni casi, è stata estesa la possibilità di gestire un utenza da parte di aziende/enti, con vari livelli di garanzia dell’identità. Il servizio è quasi sempre gratuito, con eventuali funzionalità aggiuntive a pagamento (spesso dedicate, appunto, alle aziende); ma la gratuità, come sempre, si “paga” attraverso la raccolta e l’utilizzo di dati personali o includendo pubblicità.

Di fatto, proprio per come sono state pensate e nonostante l’improvviso successo riscosso, rispettare tutti gli aspetti della normativa sui dati personali relativi alle comunicazioni aziendali con uno strumento del genere risulta molto difficile.

Social media

I social media si basano su un concetto di comunicazione diverso, quello della condivisione; in cui cioè i destinatari del messaggio non sono noti con precisione a priori. In ambito aziendale sono utilizzate per campagne promozionali o come vetrina delle proprie attività/prodotti ed iniziative, ma grazie alle funzionalità di interazione con gli altri utenti, è possibile ci sia anche una forma di dialogo. Dal punto di vista del controllo di queste comunicazioni, la situazione è abbastanza simile a quella dei sistemi di messaggistica istantanea: il gestore della piattaforma decide in massima parte, lasciando alle utenze solo possibilità molto limitate. Anche in questo caso, l’utilizzo è di base gratuito (ma che comporta l’obbligo della pubblicità e la raccolta di dati personali, spesso con profilazione), con funzionalità aggiuntive a pagamento tipicamente per le aziende.

In questo caso, però, il rispetto della normativa sui dati personali presenta alcuni caratteri di media complessità: poiché la parte di marketing fa spesso parte di un sistema più ampio che comunque deve essere correttamente gestito, mentre la parte di interazione con gli utenti non presenta particolari problemi se non quella della mancanza di riservatezza; resta però il problema relativo alla conservazione dei dati, che spesso è demandata completamente alla piattaforma con tutti i rischi di perdita che questo comporta.

Sito web

Il sito web ha rappresentato, fin dagli albori di internet, la vetrina di presentazione di un’azienda; oggi con l’avvento dei social, ha perso un po’ del suo appeal ma rimane comunque uno strumento imprescindibile. Il suo punto di forza riguarda l’aspetto della riconoscibilità: oltre alla questione dell’attribuzione univoca del dominio, c’è anche l’ormai diffusissimo certificato pubblico per l’HTTPS che garantisce la corrispondenza tra il sito e il soggetto che ne ha il controllo. E proprio il controllo totale (a parte i tecnicismi implementativi, per cui spesso è coinvolto un consulente specializzato) dei contenuti, e soprattutto della struttura e delle funzionalità, è l’altro enorme punto di forza del sito web, per cui non ci sono problemi a stabilire quali dati sono raccolti, dove sono conservati, le misure di sicurezza, i backup, etc. In sostanza un sito web aziendale, anche con solo una descrizione aziendale ed i contatti, è fortemente consigliato.

Esiste anche in questo caso, come per l’email, la possibilità di avere un sito su dominio non specifico, ed in questo caso si perde parzialmente l’aspetto della garanzia della riconoscibilità, ed anche quello del controllo sullo strumento.

La comunicazione privacy

C’è uno degli adempimenti della normativa sui dati personali in cui questi strumenti possono essere d’aiuto: la messa a disposizione delle informative. Le modalità più pratiche possono essere:

Posta elettronica: aggiungere nella firma (che viene automaticamente aggiunta ad ogni messaggio) un link o un allegato;
Chat e social: nel profilo dell’account, aggiungere un link o un file;
Sito web: a parte l’informativa obbligatoria relativa ai trattamenti del sito, si può predisporre una pagina comprendente tutte le altre informative (i cui link possono essere quelli utilizzati come citato nei due punti precedenti).

Si noti che la presenza di un riferimento ad un’informativa che ha l’instestazione aziendale aumenta anche la riconoscibilità.

Un altro utile utilizzo per gli adempimenti della normativa è dare la possibilità agli interessati di esercitare i loro diritti; in generale, lo strumento principe è la posta elettronica, anche se non è impossibile prevedere una modalità che utilizzi qualche servizio nel sito web, mentre assolutamente sconsigliabili sono i social media e la messaggistica istantanea, soprattutto per il non sufficiente controllo sulla piattaforma di cui si diceva in precedenza.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie

Il DPO: uno dei tanti o il direttore dell’orchestra?

La privacy degli studi medici