Privacy e Cybersecurity

Garante sanziona: Email aziendali e accesso ai dati sotto accusa

l'articolo appartiene alla categoria:

Privacy e Cybersecurity

pubblicato il:

1. Il caso: accesso parziale e selettivo ai dati dell’ex dipendente

Il procedimento ha avuto origine dal reclamo di un ex dipendente, il quale, al termine del rapporto di lavoro, ha esercitato il proprio diritto di accesso ai sensi dell’art. 15 del Regolamento (UE) 2016/679, richiedendo copia:

  • dei messaggi presenti nella propria casella di posta elettronica aziendale;
  • dei documenti salvati sul personal computer assegnatogli durante il rapporto.

L’azienda, dopo aver effettuato un accesso diretto all’account email dell’ex lavoratore, ha curato una selezione dei contenuti, trasmettendo esclusivamente i messaggi ritenuti “strettamente personali” e trattenendo quelli relativi all’attività lavorativa. Questa prassi non è isolata; molte organizzazioni credono di poter distinguere tra dati personali “in senso stretto” e dati afferenti alla sfera professionale, escludendo i secondi dal campo di applicazione dell’art. 15 GDPR. Il Garante interviene per smontare tale impostazione. Per approfondire il tema, è disponibile il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, su Shop Maggioli e su Amazon.

2. Il perimetro del diritto di accesso: dati personali anche nei contesti professionali

L’art. 15 GDPR conferisce all’interessato il diritto di ottenere dal titolare del trattamento la conferma dell’esistenza di un trattamento di dati personali che lo riguardano e, in tal caso, di accedere a tali dati. La nozione di “dato personale” include, ai sensi dell’art. 4, n. 1, GDPR, “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Non importa il contesto (privato o professionale) in cui il dato è generato; l’importante è la sua riferibilità a una persona fisica.

  • Le email inviate e ricevute tramite un account aziendale individualizzato, contenenti informazioni riferibili al lavoratore, costituiranno dati personali.
  • I documenti salvati sul computer aziendale, riconducibili all’attività del dipendente, rientrano nel perimetro del diritto di accesso.

Il Garante stabilisce chiaramente che non è legittimo fare distinzione tra comunicazioni “personali” e “professionali” per limitare l’esercizio del diritto di accesso, poiché tale distinzione non trova fondamento nel GDPR.

3. Il divieto di selezione preventiva dei contenuti

Significativa è la reprimenda del Garante riguardo alla condotta aziendale di selezione preventiva dei dati da comunicare. Il diritto di accesso non può essere soddisfatto tramite una “versione filtrata” dei dati, costruita unilateralmente dal titolare del trattamento. L’art. 15 GDPR conferisce pieno diritto all’interessato riguardo a tutti i dati personali che lo riguardano, salvo le limitazioni stabilite dall’art. 15, par. 4 e dall’art. 23 GDPR. Questo comporta che:

  • Il titolare non può sostituirsi all’interessato nella valutazione della rilevanza dei dati.
  • Non è consentito omettere o oscurare informazioni su base discrezionale.
  • Qualsiasi limitazione deve essere motivata in modo puntuale e documentato.

Nel caso specifico, la società ha applicato una classificazione interna “personale” vs “lavorativo”, priva di rilevanza giuridica secondo il GDPR, violando così il diritto di accesso.

4. Le possibili limitazioni: onere della prova e necessità di motivazione

Il Garante riconosce che possono esistere situazioni in cui l’accesso debba essere limitato; tuttavia, tali limitazioni devono essere:

  • Fondamentali in una specifica previsione normativa o per la tutela dei diritti e delle libertà altrui.
  • Giustificate da ragioni concrete, attuali e documentabili.

Il provvedimento menziona la tutela di segreti aziendali o informazioni riservate. Anche in queste situazioni, il titolare deve:

  • Dimostrare l’effettiva sussistenza del rischio.
  • Adottare misure proporzionate e non generalizzate.
  • Fornire comunque il maggior numero possibile di informazioni all’interessato.

Non è sufficiente invocare genericamente la riservatezza aziendale per limitare l’accesso.

5. Profili di accountability: informative carenti e tempi di conservazione sproporzionati

Oltre alla violazione del diritto di accesso, il Garante ha evidenziato ulteriori carenze nella gestione dei dati personali da parte della società. In particolare, sono emerse insufficienze sotto il profilo della trasparenza, in violazione degli artt. 12 e 13 GDPR. Le informative ai lavoratori non erano adeguate nel descrivere:

  • Le modalità di utilizzo degli strumenti aziendali.
  • Le finalità del trattamento dei dati.
  • I tempi di conservazione.

Il tema delle informative nel contesto lavorativo è spesso sottovalutato, nonostante rappresenti un aspetto fondamentale del principio di accountability (art. 5, par. 2 GDPR). Inoltre, il Garante ha considerato sproporzionati i tempi di conservazione:

  • Cinque anni per le email.
  • Dodici mesi per i dati di navigazione.

La valutazione di sproporzione si basa sul principio della limitazione della conservazione (art. 5, par. 1, lett. e GDPR), secondo cui i dati devono essere conservati solo per il tempo necessario rispetto alle finalità per le quali sono trattati. In assenza di giustificazioni specifiche, come esigenze di difesa in giudizio o obblighi normativi, periodi di conservazione così ampi risultano difficilmente giustificabili.

6. Il dispositivo: sanzione e ordini correttivi

Alla luce delle violazioni riscontrate, il Garante ha:

  • Irrogato una sanzione amministrativa di 50.000 euro;
  • Ordinato all’azienda di consentire l’accesso integrale ai dati richiesti dall’ex dipendente;
  • Imposto di adeguare le informative e le policy interne.

La misura sanzionatoria, sebbene non particolarmente alta, appare coerente con la natura delle violazioni e segue il principio di proporzionalità stabilito dall’art. 83 GDPR.

7. Implicazioni operative per le aziende

Il provvedimento impone riflessioni operative. È fondamentale che le aziende comprendano che:

  • Le caselle email aziendali individuali non sono spazi “neutri”, ma contengono dati personali del lavoratore;
  • Il diritto di accesso si estende anche a tali dati, anche dopo la cessazione del rapporto di lavoro.

È altresì necessario rivedere le procedure interne di gestione delle richieste ex art. 15 GDPR, evitando:

  • Filtri arbitrari;
  • Classificazioni interne prive di rilevanza normativa;
  • Approcci difensivi non supportati da adeguata documentazione.

In aggiunta, è fondamentale:

  • Definire policy chiare sull’uso degli strumenti aziendali;
  • Aggiornare le informative per renderle comprensibili e complete;
  • Riesaminare i tempi di conservazione in base al principio di proporzionalità.

8. Una questione di cultura giuridica, prima ancora che di compliance

Oltre al caso specifico, la decisione del Garante mette in luce una problematica più generale: la difficoltà di molte organizzazioni nel comprendere l’effettiva portata dei diritti riconosciuti dal GDPR. Il diritto di accesso è ancora percepito come una richiesta invasiva o come un adempimento formale da gestire in modo restrittivo. Invece, rappresenta uno strumento fondamentale attraverso cui l’interessato può esercitare controllo sui propri dati. Limitare questo diritto attraverso prassi interne non solo espone a sanzioni, ma mina anche la fiducia nel sistema di protezione dei dati.

9. Considerazioni conclusive

Il provvedimento sottolinea chiaramente alcuni principi che non dovrebbero essere oggetto di incertezze interpretative:

  • Il diritto di accesso riguarda tutti i dati personali, indipendentemente dal contesto in cui sono trattati;
  • Le email aziendali individuali rientrano pienamente in tale perimetro;
  • Non è consentito effettuare selezioni discrezionali sui dati da comunicare;
  • Eventuali limitazioni devono essere specifiche, motivate e proporzionate.

Per le aziende il messaggio è altrettanto chiaro: la gestione degli strumenti di lavoro deve essere integrata con la disciplina sulla protezione dei dati personali. Ogni scelta organizzativa deve essere valutata in funzione dei principi del GDPR. Continuare a considerare questi aspetti come marginali espone a sanzioni e a un contenzioso crescente, alimentato da lavoratori sempre più consapevoli dei propri diritti. Si tratta di applicare correttamente principi giuridici che il legislatore europeo ha stabilito. La necessità di ribadire tali principi attraverso sanzioni mette in evidenza un problema significativo.

Condividi sui social:

Articoli popolari

Altro nella categoria
Related

Scopri come proteggerti dai falsi tecnici IT in ufficio!

webm -
 Se qualcuno si presenta come supporto IT e chiede...

Piano Casa: tra promesse politiche e realtà normativa. Il rischio discriminazione per i supplenti

webm -
 Provvedimento NormativoIl Decreto-Legge 7 maggio 2026, n. 66, contenente...

WhatsApp: chat non crittografate su iOS e Mac, ecco cosa devi sapere!

webm -
 In breve: per gli utenti di WhatsApp su iPhone,...

Compiti a casa? 7 genitori su 10 usano YouTube come lavagna educativa!

webm -
 Recenti ricerche condotte dall’istituto Public First rivelano che YouTube...