Violazione della protezione dei dati con le liste di distribuzione e-mail
di A. Navidy / J. Baeck
Se una mailing list aperta viene utilizzata per inviare messaggi di posta elettronica in un ambiente commerciale, c'è il rischio che venga considerata un reato di protezione dei dati dalle autorità di vigilanza e che sia soggetta a una multa.
Nel febbraio 2019, Harald von Bose, commissario statale per la protezione dei dati in Sassonia-Anhalt, ha inflitto diverse multe a un uomo di Merseburg. In diversi casi, aveva inviato e-mail con centinaia di indirizzi e-mail personali in una lista di distribuzione aperta (CC).
Il contenuto di queste e-mail comprendeva denunce, dichiarazioni, denigrazioni, ma anche accuse penali nei confronti di rappresentanti dell'economia, della politica e della stampa.
Secondo il signor von Bose, il contenuto di queste e-mail era legittimo e in linea di principio coperto dall'articolo 5 (1) della Legge fondamentale (libertà di espressione), ma non la gestione di fino a 1.600 indirizzi e-mail, utilizzati quasi quotidianamente. Nella controversia con l'autorità di vigilanza, l'uomo di Merseburg aveva invocato l'articolo 5 (1) della Legge fondamentale. Tuttavia, questo diritto fondamentale non giustifica l'uso di liste di distribuzione di e-mail aperte.
Il trattamento dei dati personali (indirizzi e-mail) non può essere giustificato né dal puro utilizzo per l'invio delle e-mail, né dal legittimo interesse ai sensi dell'art. 6 par. 1 frase 1 lit. f) GDPR (espressione di opinioni) del mittente. Per quanto riguarda la pubblicazione degli indirizzi e-mail da parte della lista di distribuzione aperta, tuttavia, la decisione di bilanciamento è a favore degli interessati, in quanto tale pubblicazione interferisce con i loro diritti fondamentali all'autodeterminazione informativa. Questa decisione di bilanciamento è supportata anche dalla cosiddetta riserva di limitazioni di cui all'art. 5 par. 2 GG.
Le varie ammende si basano probabilmente sull'art. 83 par. 1 GDPR, sull'art. 22 par. 2a n. 1 DSG LSA, sull'art. 43 par. 2 BDSG e ammontano a un totale di 2.628,50 euro.
Non si può escludere che seguiranno altre multe, poiché l'uomo avrebbe continuato a violare le norme sulla protezione dei dati anche dopo l'emissione delle multe.
Nel contesto aziendale, in futuro si dovrà prestare ancora più attenzione al corretto indirizzamento quando si inviano e-mail esterne, poiché esiste un'eccezione per la lista di distribuzione e-mail aperta solo nella sfera privata, in cui il GDPR non si applica "da parte di persone fisiche per l'esercizio di attività esclusivamente personali o familiari" ai sensi dell'art. 2 par. 2 lett. c) GDPR.
Ulteriori informazioni:
- mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308