Garante per la protezione dei dati personali, provv. n. 165 del 12 marzo 2026 [doc. web n. 10233328]
1. Premessa
Il provvedimento n. 165 del 12 marzo 2026 del Garante per la protezione dei dati personali offre un contributo di rilievo sistematico su tre questioni distinte ma convergenti, tutte riferibili al trattamento dei dati personali nel contesto del rapporto di lavoro: il perimetro del diritto di accesso ex art. 15 GDPR con riguardo alla corrispondenza elettronica aziendale di tipo individualizzato; la liceità e la proporzionalità delle politiche di conservazione del backup delle email aziendali; la qualificazione di tali politiche quale strumento potenzialmente idoneo al controllo a distanza dei lavoratori ai sensi dell’art. 4 della L. 300/1970, richiamato dall’art. 114 del Codice privacy.
Il caso origina dal reclamo di un ex dipendente di una società cooperativa di mutua assicurazione che, a seguito della cessazione del rapporto di lavoro, aveva chiesto di accedere ai contenuti della propria casella di posta elettronica aziendale individualizzata. La risposta della Società — parziale, ritardata, filtrata in funzione della distinzione tra corrispondenza «personale» e corrispondenza «lavorativa» — ha innescato un procedimento istruttorio che ha portato all’emersione di ulteriori profili di illiceità, segnatamente il backup quinquennale delle e-mail aziendali e la conservazione per dodici mesi dei log di navigazione, entrambi effettuati senza adeguata informativa e in assenza delle garanzie previste dallo Statuto dei lavoratori.
2. La vicenda di fatto
L’ex dipendente — ricoprente, peraltro, il ruolo di Referente interno a supporto del DPO dal 20 ottobre 2021 — cessava il rapporto di lavoro l’8 aprile 2022. Nei giorni immediatamente successivi richiedeva l’accesso ai documenti personali presenti sul pc aziendale e sull’account di posta elettronica individualizzato. A seguito di problematiche tecniche, l’accesso alla casella e-mail non fu pienamente garantito nei primi incontri (26 maggio e 16 giugno 2022).
L’incontro del 16 giugno 2022 è significativo: la Società consegnava all’interessato soltanto la «posta solamente personale quali scambi con famigliari, CU personali, rimborsi spese», escludendo esplicitamente «altri messaggi di posta elettronica afferenti all’attività lavorativa e/o documenti ritenuti dai referenti della compagnia non a contenuto personale». Questa distinzione — operata unilateralmente dall’azienda — costituisce il nucleo della violazione accertata in punto di diritto di accesso.
Il 15 luglio 2022, il reclamante formulava istanza formale ex art. 15 GDPR, chiedendo copia di tutte le email presenti sull’account dal 1 marzo 2021. In vista dell’incontro del 22 settembre 2022, la Società comunicava per iscritto all’interessato che la richiesta di ricevere copia di tutte le email esulava dal diritto di accesso ex art. 15 GDPR, sul presupposto che i dati e le informazioni presenti nella casella di posta elettronica sono di proprietà della società. La corrispondenza fu infine consegnata il 29 settembre 2022, epurata di molti elementi, previa anonimizzazione dei dati di terzi e rimozione dei contenuti ritenuti di pertinenza aziendale.
Nel corso dell’istruttoria emergeva altresì che: la casella email era stata disattivata in data 11 aprile 2022 e cancellata definitivamente il 25 aprile 2022; il backup dell’account veniva conservato per cinque anni; i file di log della navigazione in Internet venivano conservati per dodici mesi; nessuna delle informative predisposte a favore dei dipendenti menzionava specificamente il backup quinquennale delle e-mail, né le finalità e i presupposti di legittimità di tale trattamento.
3. Il ragionamento del Garante
3.1. Diritto di accesso ex art. 15 GDPR e corrispondenza elettronica aziendale individualizzata
Il Garante prende le mosse dal consolidato orientamento della Corte europea dei diritti dell’uomo secondo cui la linea di confine tra ambito lavorativo e ambito strettamente privato non può essere tracciata con nettezza, con la conseguenza che l’art. 8 CEDU — posto a tutela della vita privata e della corrispondenza — trova applicazione anche nel contesto occupazionale (Niemietz c. Allemagne, 1992; Copland v. UK, 2007; Bărbulescu v. Romania [GC], 2017). In questa prospettiva, le comunicazioni elettroniche scambiate sul luogo di lavoro rientrano nelle nozioni di «vita privata» e di «corrispondenza» tutelate dalla Convenzione.
Da questa premessa discende la censura centrale del provvedimento: la decisione della società cooperativa di esaminare preventivamente il contenuto delle email dell’account individualizzato dell’interessato — al fine di circoscrivere l’accesso alle sole comunicazioni «strettamente personali» — è contraria alla disciplina in materia di protezione dei dati. Il Garante chiarisce che, alla luce delle definizioni di «dato personale» e «trattamento» di cui all’art. 4, nn. 1 e 2 GDPR, le comunicazioni in transito su un account individualizzato sono inevitabilmente riconducibili a dati personali dell’assegnatario, indipendentemente dal contenuto — personale o lavorativo — degli scambi.
La seconda censura riguarda l’anonimizzazione operata dalla Società sul contenuto della corrispondenza prima di consegnarla all’interessato. Il Garante riconosce che l’art. 15, par. 4 GDPR consente limitazioni al diritto di accesso per tutelare i diritti e le libertà altrui (inclusi il segreto industriale e aziendale ex Considerando 63), ma ricorda che «la generica preoccupazione che, dando seguito alla richiesta di accesso, i diritti e le libertà altrui possano essere lesi non è sufficiente» (Linee guida EDPB 1/2022, punto 172). Nel caso di specie, i dati riferiti a terzi erano già conosciuti dall’interessato in quanto contenuti in comunicazioni da lui ricevute; e la Società non aveva fornito alcun elemento concreto atto a dimostrare che l’accesso avrebbe potuto determinare una effettiva sottrazione di segreti aziendali.
3.2. La conservazione del backup e la violazione dei principi di minimizzazione, limitazione delle finalità e limitazione della conservazione
Il secondo filone istruttorio attiene alla conservazione per cinque anni del backup del contenuto delle caselle di posta aziendale. La Società aveva giustificato tale scelta con la necessità di «preservare il patrimonio informativo» in relazione all’attività di vigilanza a cui l’impresa assicurativa è sottoposta, sostenendo altresì che la conservazione in modalità «non on-line» non integrerebbe un trattamento di dati personali.
Il Garante non concorda con entrambe le argomentazioni. Anzitutto, la conservazione in backup — anche offline — rientra nella definizione di «trattamento» di cui all’art. 4, n. 2 GDPR, che ricomprende qualsiasi operazione effettuata sui dati personali, ivi inclusa la «conservazione». In secondo luogo, la necessità di gestire la documentazione aziendale e di continuare l’operatività non giustifica il ricorso al backup delle email, strumento per sua natura non idoneo ad assicurare le caratteristiche di autenticità, integrità, affidabilità e reperibilità richieste dalla disciplina sulla gestione documentale. La conservazione di email aziendali in backup per cinque anni viola, pertanto, i principi di minimizzazione (art. 5, par. 1, lett. c) GDPR), di limitazione delle finalità (lett. b)) e di limitazione della conservazione (lett. e)).
Analoghe considerazioni si applicano alla conservazione per dodici mesi dei log di navigazione in Internet. Il Garante richiama il proprio indirizzo consolidato (da ultimo, provv. n. 613 del 9 ottobre 2025) secondo cui i file di log finalizzati alla sicurezza informatica devono essere conservati per un arco temporale congruo all’obiettivo di rilevare e mitigare incidenti, che non può essere automaticamente equiparato a un anno. Nel caso di specie, la conservazione era estesa anche alla «difesa dei propri diritti» — finalità difensiva che, come precisato dal Garante, è uno strumento potenzialmente idoneo al controllo sull’attività dei lavoratori e non può giustificare, di per sé, prolungati periodi di conservazione.
3.3. La violazione della disciplina sui controlli a distanza
Il terzo profilo sanzionato attiene al rispetto dell’art. 4 della L. 300/1970 (richiamato dall’art. 114 del Codice), che subordina l’impiego di strumenti idonei al controllo a distanza dei lavoratori alla previa stipula di un accordo sindacale o, in mancanza, all’autorizzazione dell’Ispettorato del lavoro.
Il Garante osserva che le «Regole di utilizzo degli strumenti aziendali» della compagnia assicurativa prevedono espressamente la possibilità per il titolare (o per il personale informatico designato) di accedere al contenuto della posta elettronica e ai log di navigazione per il perseguimento di varie finalità. Sebbene la Società abbia dichiarato di non aver mai effettuato controlli sull’attività del reclamante, ciò non è sufficiente a escludere l’applicabilità della disciplina sui controlli a distanza: la predisposizione di policy che contemplano tale possibilità rende lo strumento «potenzialmente idoneo a realizzare un controllo», a prescindere dalla sua effettiva attivazione. In assenza di accordo sindacale o autorizzazione ispettoriale, la Società è in violazione degli artt. 5, par. 1, lett. a) e 88 GDPR, nonché dell’art. 114 del Codice.
4. La sanzione e le misure correttive
Il Garante ha irrogato una sanzione di €50.000, commisurata alla pluralità delle violazioni accertate, alla loro durata (i dati dell’ex dipendente non hanno ancora ricevuto un riscontro completo), alla rilevanza dei principi violati e al carattere non conforme della condotta attuale della Società. In senso attenuante, si è tenuto conto della cooperazione nel procedimento e dell’assenza di precedenti specifici.
Sul piano correttivo, il Garante ha ordinato: (i) di consentire al reclamante l’accesso integrale al contenuto della propria casella di posta elettronica, tuttora nella disponibilità della Società; (ii) di conformare le policy aziendali alla disciplina in materia di protezione dei dati, con riferimento specifico alla conservazione dei backup delle e-mail e dei log di navigazione, e all’adeguamento alle garanzie previste dall’art. 4 dello Statuto dei lavoratori. Il termine per l’adempimento è di novanta giorni dalla notifica del provvedimento.
Avv. Adamo Brunetti
