Le decisioni del Garante della Privacy sono fonte di grande preoccupazione per le imprese. Eppure il Garante per la protezione dei dati personali dà filo da torcere alle imprese accertando, anche nei confronti delle imprese di autotrasporto che già stanno vivendo un periodo a dir poco incandescente, sempre più spesso, trattamenti illeciti riferiti al trattamento dei dati anche degli ex dipendenti.
Nel caso esaminato il Garante, con provvedimento del 12 marzo 2026 [10233328], ha ordinato la consegna integrale della corrispondenza mail di un ex dipendente ed irrogato all’impresa una sanzione di 50.000 euro.
La decisione ribadisce che il diritto di accesso ex art. 15 GDPR (General Data Protection Regulation) si estende a tutti i dati personali presenti nell’account individuale, senza filtri preventivi tra messaggi “personali” e “lavorativi”, e che eventuali limitazioni richiedono motivazioni concrete e comprovate, non mere preoccupazioni generiche.
Nel caso esaminato, l’ex dipendente aveva chiesto copia di tutte le email presenti nella casella aziendale individuale dal 1° marzo 2021 in poi. La società consegnava inizialmente solo i messaggi ritenuti “strettamente personali” e, successivamente, una corrispondenza “filtrata”, dopo aver operato relativa analisi e anonimizzazione dei dati.
Il Garante qualificava come illecita sia la previa selezione dei messaggi sia l’oscuramento generalizzato dei dati di terzi/asseriti segreti aziendali, in assenza di circostanze concrete che dimostrassero un pregiudizio effettivo ai diritti altrui ai sensi dell’art. 15, par. 4, GDPR. Venivano, pertanto, accertate violazioni relativa a incompletezza e ritardo nel riscontro all’istanza (degli artt. 12 e 15 GDPR) nonché violazioni dei principi di liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità e della conservazione di cui all’art. 5, par. 1, nonché degli obblighi informativi ex art. 13 GDPR.
Venivano evidenziati anche profili critici sulla disciplina dei controlli a distanza: le policy aziendali prevedevano accessi al contenuto delle email e ai log internet senza aver attivato le garanzie dell’art. 4 Statuto dei lavoratori, richiamato dall’art. 114 del Codice privacy, con conseguente violazione degli artt. 5, par. 1, lett. a) e 88 GDPR.
L’Autorità garante ordinava l’accesso integrale alla corrispondenza sull’account individuale e l’adeguamento delle policy aziendali e dei trattamenti dei dati ai principi privacy e alla disciplina sui controlli a distanza.
Alcuni accorgimenti possono allontanare e, nel migliore dei casi, evitare provvedimenti così penalizzanti, ne citiamo alcuni: predisporre informative privacy chiare e aggiornate che descrivano trattamenti su email e registrazioni di sistemi aziendali (finalità, basi giuridiche, tempi di conservazione, categorie di dati, destinatari), evitando incongruenze fra documenti interni; evitare backup indiscriminati dei contenuti delle email; adottare sistemi di gestione documentale per archiviare solo ciò che è necessario e con garanzie di autenticità, integrità e reperibilità; limitare la conservazione dei log al tempo strettamente necessario alla sicurezza; evitare di estendere la finalità a “difesa dei diritti” in modo generalizzato, che si traduce in controllo a distanza; disattivare tempestivamente gli account degli ex dipendenti, impostando risposte automatiche che informino i mittenti; riconoscere l’accesso ai dati personali senza selezioni arbitrarie, salvo comprovate esigenze puntuali di tutela di terzi o segreti industriali, da individuare caso per caso; attivare le garanzie dell’art. 4 Statuto dei lavoratori (accordo sindacale o autorizzazione INL) per qualsiasi strumento potenzialmente idoneo al controllo a distanza (inclusi sistemi che consentono accessi ai contenuti o conservazioni prolungate); particolare attenzione per il settore autotrasporto merci a geolocalizzazione e monitoraggio dei veicoli. Il Garante ha stabilito che il monitoraggio non deve essere continuativo, ma limitato alle necessità: vige l’obbligo di informativa e il rispetto della disciplina sui controlli a distanza, è illecito un monitoraggio penetrante e una conservazione estesa non proporzionata alle finalità dichiarate.
E’, inoltre, vietato un controllo indiscriminato su email e device: le policy aziendali devono prevenire trattamenti massivi e illimitati, consentendo solo la conservazione strettamente funzionale alla tutela in giudizio quando necessario.
Il tema caldo è che le caselle di posta elettronica aziendali contengono dati personali e corrispondenza protetta, l’accesso dell’ex dipendente non può essere “filtrato” ex ante dal datore, né coperto da lunghi backup senza base e finalità di trattamento proporzionate. Trasparenza, necessità e proporzionalità, insieme al rispetto delle garanzie sui controlli a distanza, sono le coordinate per evitare sanzioni e contenziosi.
Rimaniamo a disposizione per ogni prudente valutazione da svolgersi caso per caso.
NEWSLETTER 5/26