[doc. web n. 10161563]

Provvedimento del 23 giugno 2025

Registro dei provvedimenti
n. 364 del 23 giugno 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dalla sig.ra XX in data 11/01/2024, ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di P2P s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato a questa Autorità in data 11/01/2024, la Sig.ra XX ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali da parte di P2P s.r.l. (di seguito anche la Società), riguardante la persistente attivazione dell’indirizzo e-mail XX, assegnato nell’ambito del rapporto di lavoro, dopo la cessazione del rapporto stesso.

In particolare, con il reclamo è stato lamentato che, dopo la cessazione del rapporto di lavoro avvenuta il 15/3/2023, l’interessata ha chiesto la disattivazione dell’account medesimo, in data 2/8/2023 e 29/9/2023.

In riscontro alla predetta richiesta, la Società ha comunicato che “la mail […] è aziendale, non è utilizzata in uscita e, semplicemente, chi ancora scrive all’indirizzo XX viene deviato agli indirizzi di lavoro della p2p pertanto può tranquillamente indirizzare le Sue rimostranze a mittenti ed utenti che utilizzano ancora quell’indirizzo e chiedere che utilizzino il Suo attuale”.

Inoltre, la richiesta di disattivazione dell’account è stata successivamente ribadita, con la nota inviata via pec in data 17 ottobre 2023, dall’Avv. Gigliola Iotti per conto dell’interessata, richiesta, stando a quanto rappresentato, rimasta priva di riscontro.

Con nota del 06/02/2023, questa Autorità ha invitato la Società a fornire osservazioni in ordine ai fatti oggetto di reclamo.

La Società, con la nota del 05/03/2023, ha riscontrato la richiesta precisando che:

- “La casella di posta XX, dopo la cessazione del rapporto di lavoro con la reclamante, è rimasta attiva fino al 23.11.2023 (si allega come evidenza relativa alla cancellazione dell'indirizzo di posta elettronica "XX il Documento 1)”;

- “L'inoltro delle comunicazioni indirizzate alla suddetta casella è stato attivato dal pomeriggio giorno in cui è terminato il rapporto lavorativo. L'inoltro è stato attivato unicamente alla casella di posta elettronica XX, visibile ed accessibile dalla sig.ra XX Responsabile Commerciale di P2P”.

- “La Sig.ra XX ha avuto accesso alla casella esclusivamente per le seguenti finalità: a) scaricare documenti fiscali esteri (non inviati al cassetto fiscale); b) reimpostare psw e di profili di accesso a siti funzionali per l'azienda. Alcuni siti e piattaforme alcuni programmi/piattaforme, risultavano accessibile come username l'indirizzo di posta elettronica attribuito alla Sig.ra XX e, pertanto, per finalizzare le procedure di reset è stato necessario mantenere attiva la sua casella di posta elettronica”;

- “La società non ha predisposto un Disciplinare interno sull'uso della posta elettronica aziendale”.

2. L’avvio del procedimento.

Per quanto sopra, l’Ufficio ha provveduto a notificare alla Società, con nota del 12/04/2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

In data 07/05/2024, la Società ha inviato i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui ha argomentato che:

- “In costanza del rapporto di lavoro, la Sig.ra XX aveva in uso l’indirizzo mail aziendale così denominato: XX (cfr. doc. n. 4)”;

- “Tale account è stato utilizzato per almeno 2 anni (dal 2019 al 2021) e poi è stato creato un alias XX (cfr. doc. n. 5)”;

- “Va inoltre precisato che, già in data 20 marzo 2023, ovvero dopo solo 5 giorni dalla cessazione del rapporto lavorativo con la società resistente, la Sig.ra XX disponeva di una nuova email aziendale (XX) (cfr. doc. n. 6) che veniva diffusa anche ad alcuni Clienti della Società P2P S.r.l.”;

- “Ciò per la sola dimostrazione che la qui segnalante ha contribuito, in modo seppur indiretto, a creare un flusso informativo nei confronti anche di contatti della P2P che ha potuto indurre in errore gli stessi destinatari, che infatti hanno continuato a scrivere al vecchio account aziendale. Situazione chiaramente conosciuta (se non addirittura voluta) dalla Sig.ra XX dal momento che, ancor prima di interpellare il proprio Legale, in data 29/09/2023, era stata informata dalla Società P2P, con email ordinaria in pari data alle ore 17.10 (cfr. doc. n. 7), della reale “gestione” del vecchio account aziendale”;

- “Da quanto sopra, è evidente l’importante ruolo aziendale assunto dalla qui segnalante; ruolo, quindi, strategico, da cui ne è conseguita la “necessità”, alla cessazione del rapporto di lavoro, di mantenere, almeno per un breve periodo (marzo – ottobre), lo stesso suffisso al fine di non rischiare di perdere i contatti e/o rapporti giuridici in essere di notevole importo economico, considerata anche la sua condotta successiva all’interruzione del rapporto lavorativo”;

- “Bisogna infatti ricordare che l’attività imprenditoriale dell’istante si svolge, principalmente, verso il mercato estero; questo comporta che tutta la relativa documentazione fiscale con Clienti esteri non può essere ricevuta nel cassetto fiscale, ma solo tramite mails”;

- “Tra questa documentazione rientrano anche le polizze di carico (che sono titoli rappresentativi della merce in viaggio), la cui mancata gestione impedisce il completamento del servizio, con gravi danni conseguenti”;

- “Tale documentazione, visto il ruolo apicale della Sig.ra XX, era inviata per mail a quest’ultima all’indirizzo “supervisor”;

- “Nei primi giorni successivi alla cessazione del rapporto di lavoro, chi scriveva un’email all’indirizzo XX, ovvero all’alias dell’originario ed anonimo indirizzo email XX, riceveva la comunicazione in lingua inglese così recitante: “good day the mail address XX is no longer available pls forward your msg to XX, XX this msg we’ll be automatically forwarded” (cfr. doc. n. 8). Tanto è vero che, in tale periodo, alcuni fornitori esteri chiedevano chiarimenti ai colleghi della Sig.ra XX sul suo status lavorativo (cfr. doc. n. 9); circostanza che continua a verificarsi tuttora (cfr. doc. n.10)”;

- “Per quanto riguarda l’effettiva data di cancellazione dell’account aziendale, la Società P2P è incorsa in errore nel dichiarare per tale evento la data del 23 novembre 2023; in realtà, già dal 16 ottobre 2023 l’account qui in esame era stato disattivato (cfr. doc. n. 11)”;

- “A parere degli scriventi, è evidente come la Società segnalata abbia agito in modo del tutto corretto e conformemente al dettato normativo; infatti l’account aziendale riportante i dati personali della Sig.ra XX era solo un alias di altro account”;

- “Se anche si volesse considerare che la condotta della P2P possa assurgere ad una presunta violazione in materia di tutela dei dati personali, questa trova le sue motivate ragioni nel fatto che era necessario evitare un grave ed irreparabile pericolo economico per la Società e, conseguentemente, per tutti i suoi dipendenti considerato il rischio tangibile dell’interruzione di gran parte dell’attività di business aziendale”;

- “Va infatti puntualizzato, in tale sede, che l’indirizzo email aziendale assegnato alla Sig.ra XX, ovvero XX, era ed ha continuato ad essere, fino alla sua disattivazione, del tutto anonimo poiché privo di alcun dato personale così come inteso dall’art. 4 Reg. UE 679/2016”;

- “Pertanto, la violazione alla disciplina in materia di protezione dei dati personali qui contestata alla Società P2P S.r.l. avente ad oggetto la liceità, la minimizzazione dei dati e la limitazione della loro conservazione in riferimento alla gestione dell’account in oggetto appare, agli occhi di chi scrive, del tutto infondata”;

- “Nella denegata ipotesi che sia ritenuta sussistente la responsabilità della Società P2p S.r.l. per le summenzionate violazioni si chiede all’Autorità stessa di tener conto, al fine di comminare una sanzione equa, effettiva, proporzionata come richiesto dall’art. 83 par. 1 Reg. (UE) 27 aprile 2016, n. 679, i seguenti rilevanti aspetti:

• la Società segnalata ha prestato tempestiva e genuina collaborazione all’Autorità interpellata fornendo tutte le necessarie informazioni nella nota del 05/03/2024 (art. 83 par. 2 lett. f);

• l’attivazione dell’account di posta elettronica XX, come alias, a seguito della cessazione del rapporto di lavoro, è stata non eccessivamente lunga e, comunque, necessitata da quanto sopra argomentato (ha infatti coinvolto prevalentemente dati riguardanti stakeholders esteri della Società segnalata sulla base di contratti commerciali già in essere o in divenire (art. 83 par. 2 lett. a);

• a seguito del ricevimento del reclamo dinanzi al Garante sporto dalla reclamante, la Società P2P S.r.l. ha subito posto in essere un comportamento proattivo. Ha, infatti, incaricato gli scriventi consulenti (cfr. doc. n. 12) al fine di riesaminare tutta la documentazione già posta in essere in materia di tutela dei dati personali, con particolare attenzione all’utilizzo degli strumenti informatici aziendali e alle informative necessarie nei confronti dei dipendenti (art. 83 par. 2 lett. c)”;

- “Oltre a ciò, non possono passare inosservate, sempre ai fini di una eventuale (commisurata) quantificazione della sanzione amministrativa pecuniaria, le seguenti circostanze: 1) la P2P non è mai incorsa in precedenti violazioni (art. 83, par. 2, lett. e); 2) la P2P non ha trattato, nella posizione qui in esame, categorie particolari di dati personali né dati personali relativi a condanne penali o reati (art. 83, par. 2, lett. g)”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità, nel corso del procedimento, nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società ha mantenuto attiva la casella di posta elettronica assegnata alla reclamante in costanza del rapporto di lavoro, successivamente all’interruzione dello stesso avvenuta in data 15/03/2023, e fino al 23/11/2023.

Inoltre, la Società ha proceduto anche al reindirizzamento automatico dei messaggi in transito su altro account aziendale, per tutto l’arco temporale intercorrente tra la cessazione del rapporto di lavoro e la cancellazione dell’account della reclamante.

Al proposito, si osserva che, benché la Società affermi, con la memoria difensiva del 07/05/2024, che la disattivazione sarebbe avvenuta prima di tale data, tale circostanza non viene adeguatamente dimostrata in atti, non potendo ritenersi pertanto accolta da parte dell’Autorità.

Nello specifico, risulta che la Società abbia effettuato il reindirizzamento automatico dei messaggi in transito sul predetto account fino al 23/11/2023. Tale condotta risulta contraria ai principi di liceità, di limitazione della conservazione e di minimizzazione dei dati, di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.

Sul punto, si evidenzia che il Garante ha ritenuto, in alcune pronunce anche recenti, che in conformità ai principi in materia di protezione dei dati personali, gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili debbano essere rimossi dopo l’interruzione del rapporto di lavoro previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento.

Ciò sul presupposto che l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi (v., da ultimo, provv.to n. 68 del 9 marzo 2023, in www.garanteprivacy.it, doc. web n. 9877754, e provv.to n. 171 del 27 aprile 2023, doc. web n. 9909235).

Pertanto, il datore di lavoro deve provvedere alla rimozione dell’account di posta elettronica aziendale di tipo individualizzato, in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi (v. anche il provv. n. 53 del 01/02/2018, doc. web n. 8159221).

Non può rilevare, a questo proposito, la “necessità”, rappresentata dalla Società, di tenere attivo l’account “al fine di non rischiare di perdere i contatti e/o rapporti giuridici in essere di notevole importo economico (…)”, poiché in contrasto con l’orientamento sopra riportato secondo cui la ragionevolezza del tempo di disattivazione dell’account debba essere riferita ai tempi tecnici di adozione delle misure, e non alle esigenze -anche lucrative- del datore di lavoro.  

Al proposito, si rileva che il reindirizzamento della corrispondenza in transito sugli account di utenti cessati è un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. Linee guida del Garante su posta elettronica ed internet del 01/03/2007, doc web n. 1387522),

Sotto altro profilo, risulta provato in atti che l’account assegnato alla sig.ra XX continuava a ricevere e-mail che venivano inoltrate all’indirizzo e-mail aziendale di posta elettronica XX, comportando la conoscibilità del contenuto dei messaggi ricevuti sui predetti account, da parte di terzi non autorizzati, almeno fino a novembre 2023 e, pertanto in violazione di quanto stabilito degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Ciò in quanto la Società non ha né predisposto un’informativa ai dipendenti né adottato un regolamento aziendale relativo all’utilizzo degli strumenti informatici nell’ambito del rapporto di lavoro, con particolare riferimento alla gestione della posta elettronica.

È opportuno richiamare, sul punto, l’obbligo del titolare di fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento (art. 13 del Regolamento), che, nell’ambito del rapporto di lavoro, è altresì espressione del principio generale di correttezza dei trattamenti, di cui all’art. 5, par. 1, lett. a) del Regolamento.

Il trattamento sopra evidenziato non è pertanto conforme a quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare è tenuto a fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento. Nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, di cui all’art. 5, par. 1, lett. a) del Regolamento.

Sulla base delle suesposte ragioni la Società ha pertanto violato il principio di correttezza (v. art. 5, par. 1, lett. a) del Regolamento) e, in particolare, l’obbligo di fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento (art. 13 del Regolamento), nonché posto altresì in essere una condotta contraria ai principi di liceità, di limitazione della conservazione e di minimizzazione dei dati, di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla Società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e) ed art. 13 del Regolamento.  

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da P2P S.r.l., con sede legale in Modena, Emilio Salgari 54/A, 41123, P.I. 09995100964, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c), e) ed art. 13 del Regolamento;

[OMISSIS]

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 giugno 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza 

IL SEGRETARIO GENERALE REGGENTE
Filippi