Inviare un F24 via e-mail al cliente sbagliato o allegare un 730 senza protezione può sembrare un errore banale, ma è una violazione della privacy a tutti gli effetti. E-mail e PEC sono strumenti di uso quotidiano negli studi professionali, ma se usati senza attenzione, possono esporre commercialisti e consulenti a rischi rilevanti. In questo articolo vediamo cosa prevede il GDPR, quali sono gli errori più frequenti e come evitarli con poche buone pratiche.
Nella vita quotidiana di un commercialista, l’uso della posta elettronica e della PEC è diventato indispensabile. Tuttavia, dietro alla praticità dell’invio digitale si nascondono rischi spesso sottovalutati sul piano della protezione dei dati personali. Il trattamento di informazioni riservate tramite questi canali, infatti, deve avvenire nel rispetto del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale in materia di privacy, pena la possibilità di incorrere in violazioni anche gravi.
Il primo aspetto da considerare riguarda il principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f del GDPR), che impone a chi tratta dati personali – inclusi i commercialisti e i loro studi – di proteggerli da accessi non autorizzati e da divulgazioni accidentali. In questo contesto, l’uso scorretto della posta elettronica rappresenta uno dei vettori più frequenti di violazione.
Basti pensare all’invio di documentazione contenente dati sensibili o giudiziari (come cedolini, cartelle cliniche, documentazione fiscale, verbali di procedimenti disciplinari, ecc.) a un destinatario sbagliato, oppure in copia visibile (campo “CC” invece di “CCN”). Si tratta di data breach a tutti gli effetti, che possono comportare non solo danni reputazionali, ma anche obblighi di notifica al Garante per la protezione dei dati personali e all’interessato, secondo quanto previsto dagli articoli 33 e 34 del GDPR.
Il Garante Privacy italiano ha più volte richiamato all’ordine enti pubblici e privati per casi simili. In particolare, il Provvedimento del 4 dicembre 2019 ha ribadito l’obbligo di adottare accorgimenti minimi, come ad esempio l’uso del campo “CCN” per invii multipli, oppure la cifratura dei file contenenti dati personali allegati alle e-mail.
Nel caso delle PEC, invece, è diffusa l’errata convinzione che si tratti sempre di uno strumento sicuro. In realtà, la Posta Elettronica Certificata garantisce solo l’integrità e la tracciabilità del messaggio, non la riservatezza del contenuto. Se i server dei gestori PEC non sono adeguatamente protetti o se i messaggi non sono crittografati end-to-end, il contenuto può essere comunque letto da soggetti non autorizzati.
Inoltre, è bene ricordare che la trasmissione di dati sanitari, fiscali o giudiziari richiede un livello di protezione elevato, sia in termini di canale usato che di sicurezza del contenuto. L’art. 32 del GDPR impone infatti al titolare del trattamento di adottare misure tecniche e organizzative adeguate al rischio, tra cui la crittografia e la pseudonimizzazione, se del caso.
Tra le buone pratiche da adottare nello studio professionale, si possono menzionare:
- l’utilizzo di software di posta che impediscano errori nei destinatari (es. promemoria automatici o conferme di invio);
- la formazione del personale sull’uso corretto delle e-mail e delle PEC;
- la definizione di policy interne sull’invio di dati personali;
- e, ove possibile, l’impiego di portali sicuri per la condivisione dei documenti, anziché l’allegato via e-mail.
Non va dimenticato, infine, che in caso di violazione dei dati tramite e-mail, è responsabilità del titolare del trattamento (lo studio professionale) valutarne l’impatto e, se necessario, notificarla all’Autorità Garante entro 72 ore.
L’uso quotidiano di e-mail e PEC può sembrare un’operazione di routine, ma è in realtà uno dei punti più vulnerabili nella gestione della privacy in uno studio professionale. La normativa vigente – in primis il GDPR – richiede attenzione costante, prevenzione e consapevolezza, anche negli aspetti apparentemente più semplici. Per questo motivo, l’adozione di procedure interne chiare e la formazione continua del personale non sono solo un onere, ma una concreta misura di tutela per il professionista e i suoi clienti.
Alice Colussi – Centro Studi CGN
