[doc. web n. 10185435]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 613 del 9 ottpobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal Sig. XX nei confronti di Sicuritalia S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 22 novembre 2022, integrato il 29 novembre 2022, il Sig. XX ha lamentato presunte violazioni del Regolamento da parte di Sicuritalia S.p.A. (di seguito, la Società), con particolare riferimento all’accesso ai dati contenuti nell’indirizzo e-mail XX, assegnato nell’ambito del rapporto di lavoro, dopo la cessazione del rapporto stesso.

In particolare, con il reclamo è stato lamentato che l’ultimo giorno di lavoro presso la Società (in data 15/9/2022) al reclamante è stato sottoposto, per la sottoscrizione, un modulo di riconsegna del pc e del cellulare aziendale recante in calce la “richiesta di autorizzazione ad accedere alla mail personale dopo la fine del rapporto lavorativo”.

Nonostante il diniego espresso dal reclamante alla richiesta di autorizzazione all’accesso, questi ha appreso che l’accesso è stato comunque effettuato dalla Società.

In proposito, il reclamante ha lamentato che “non vi sono ragioni che possano determinare la necessità di accedere […] per questioni lavorative in quanto ogni gestione operativa era sempre tracciata all’interno del CRM aziendale”.

La casella di posta a suo tempo assegnata al reclamante conteneva altresì “mail di natura confidenziale tra colleghi e, seppur sporadicamente, anche documentazione strettamente personale […] (certificazioni, moduli, copie di documenti personali)”.
La casella, secondo quanto lamentato, sarebbe stata mantenuta attiva, almeno fino alla data di invio del reclamo all’Autorità.

Con successiva comunicazione all’Autorità del 29 novembre 2022, il reclamante ha altresì lamentato che la Società, nel rispondere a una richiesta di chiarimento sui fatti accaduti, avrebbe “conferma[to] di aver consentito l'accesso alla […] casella personale di posta elettronica”, ed avrebbe nel contempo rinviato al contenuto di una “"policy" che consente il back up e l'accesso alla mail dopo la fine del periodo di rapporto lavorativo”.

L’Autorità ha avviato l’istruttoria preliminare e ha chiesto alla Società informazioni utili alla valutazione del caso.

La Società, nel fornire riscontro alla richiesta di informazioni rivolta dall’Ufficio, con nota del 4 marzo 2024, ha dichiarato che:

il reclamante ha rivestito all’interno dell’azienda il ruolo di “responsabile della gestione dei reclami”, da ciò conseguiva l’”ingente numero delle pratiche di sua esclusiva gestione”; inoltre “diversamente da quanto asserito dal [reclamante] non tutte le pratiche transitavano per la gestione aziendale Dynamics, essendo alcune di queste gestite direttamente a mezzo posta elettronica [del reclamante] e pertanto reperibili esclusivamente mediante accesso alla propria mail aziendale”;

“successivamente alla cessazione del rapporto di lavoro avvenuta in data 16.09.2022, si rendeva necessario […] garantire una continuità operativa nella gestione delle pratiche assegnate e gestite” dal reclamante; pertanto “nel mese strettamente successivo alla cessazione del rapporto di lavoro, veniva autorizzato l’accesso alla mail aziendale” del reclamante; l’autorizzazione all’accesso è stata “rilasciata solo ed esclusivamente ad un soggetto appositamente identificato dalle competenti funzioni aziendali quale successore nella funzione attribuita al reclamante”;

una volta “cessate le finalità di cui sopra, veniva opportunamente disposta la cancellazione dell’account aziendale [del reclamante], come certificato da riscontro […] alle istanze del reclamante”;

la procedura aziendale interna “Utilizzo degli strumenti IT “appositamente caricata sul gestionale XX e, pertanto, nella piena disponibilità di ogni dipendente” prevede una procedura conforme a quella adottata nel caso oggetto di reclamo;

“ben prima della cessazione del rapporto di lavoro, il reclamante ha preso visione della suddetta procedura mediante accesso al portale XX”;

“alla luce dei recenti provvedimenti di Codesta Autorità, la procedura in parola sarà oggetto di riesame”.

Nel fornire riscontro a una richiesta di ulteriori chiarimenti, formulata dall’Ufficio il 18/6/2024, la Società, con nota del 18/7/2024, ha precisato inoltre che:

la cancellazione dell’account aziendale è avvenuta nel corso del mese di novembre 2022, anche se “non risulta possibile fornire prova documentale della cancellazione in quanto in ragione del considerevole lasso di tempo trascorso dalla cessazione del rapporto lavorativo la società non ha più la disponibilità dei log delle attività sui sistemi” (nota 18/7/2024, p. 1);

“sin dal primo accesso alla piattaforma aziendale XX […] viene comunicata la presenza della procedura di utilizzo della strumentazione aziendale […]. La medesima procedura rimane nella disponibilità del dipendente in qualsiasi momento, attraverso l’accesso personale al portale […]. Fin quando il dipendente non conferma la presa visione del documento, lo stesso viene riprodotto mediante pop up ad ogni successivo accesso al portale” (nota cit., p. 1);

“si allega evidenza documentale a dimostrazione della presa visione da parte del reclamante alle ore 15.14 del 9.05.2022” del documento relativo all’utilizzo degli strumenti informatici (SI-D32 Utilizzo degli strumenti IT) “in periodo antecedente alla cessazione del rapporto di lavoro” (nota cit., p. 1);

“in considerazione anche delle recenti indicazioni pervenute da Codesta Autorità” il richiamato regolamento relativo al corretto utilizzo degli strumenti aziendali è in fase di revisione (nota cit., p. 2);

“l’accesso [alla casella e-mail] si [è] verificato in due uniche occasioni, nei giorni immediatamente successivi alle dimissioni del [reclamante], a cura della persona autorizzata dallo scrivente all’accesso e che lo ha sostituito nel ruolo” (nota cit., p. 2);

“L’accesso è stato assolutamente indispensabile e non evitabile per i seguenti motivi: a) il [reclamante] non solo era il responsabile della sezione Reclami Corporate per il gruppo […] ma era anche il solo che al momento delle dimissioni gestisse i reclami; b) non tutti i reclami erano tracciati sui sistemi gestionali […]; c) [la] società […] svolge attività di vigilanza a favore di migliaia di clienti sia privati sia pubblici ed è quindi incaricata da parte di questi ultimi di vigilare sui beni di proprietà evitando non solo che si possano verificare furti, ma anche danneggiamenti alle infrastrutture che possano mettere a rischio anche l’incolumità delle persone […]; d) la mancata tempestiva gestione di un reclamo avrebbe pertanto potuto comportare non solo irreparabili danni a carico di clienti e conseguentemente della società, ma anche mettere a rischio l’incolumità delle persone operanti nei siti vigilati” (nota cit., p. 2);

“la procedura “SI-D32 Utilizzo degli strumenti IT” […] evidenzi[a] espressamente che “l’uso degli indirizzi di posta elettronica aziendale è ammesso esclusivamente per motivi attinenti all’attività lavorativa […]” (nota cit., p. 2).

Al riscontro, sono stati altresì allegati i seguenti documenti: copia del modulo di riconsegna dei dispositivi assegnati al reclamante; comunicazione della procedura “SI-D32 Utilizzo degli strumenti IT” sul portale XX; presa visione procedura da parte del reclamante; dichiarazione del dipendente che ha effettuato i due accessi alla casella di posta elettronica del reclamante.

Infine, con integrazione del 30/9/2024, la Società ha trasmesso copia della procedura “SI-D 32 Policy aziendale – Utilizzo strumenti IT (personal computer e altri dispositivi elettronici aziendali, Internet e posta elettronica)” aggiornata da ultimo in data 1/7/2024.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 5 dicembre 2024, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento, con riferimento agli artt. 5, par. 1, lett. a), c), e) e 88 del Regolamento e artt. 113 e 114 del Codice.

Con memorie difensive inviate in data 3 gennaio 2025, la Società ha rappresentato che:

“la contestazione sollevata nei confronti [della Società] prescinde da elementi specifici circa l’effettivo controllo e monitoraggio dell’attività dei dipendenti che […] sembra dedotta dal Garante sulla base di alcune previsioni contenute nella procedura «SI-D32 Utilizzo degli strumenti IT» […]. Sul punto non ci pare che la mera possibilità prevista dalla Procedura di conservare le email […] possa tradursi automaticamente in una qualche violazione se il comportamento contestato […] non viene posto in essere” (nota 3/1/2025, p. 1);

“l’effettuazione di due accessi alla casella email [del reclamante] […] anche in considerazione del fatto che il ruolo svolto dal dipendente medesimo […] fosse particolarmente sensibile per la continuità e l’immagine dell’azienda, non ci pare possa essere considerata prova di una effettiva sistematica raccolta e conservazione del contenuto delle email presenti negli account aziendali proprio per la carenza del carattere di sistematicità” (nota cit., p. 2);

con riguardo alla “facoltà di conservare ed eventualmente poter accedere alle email del dipendente per un periodo di sei mesi dopo la cessazione del rapporto lavorativo […] preme richiamare le best practice in termini di sicurezza informatica che prevedono l’adozione di piani di Incident Response suddivisi in tre fasi chiave: Containment, Eradication, Recovery. In particolare la fase di contenimento prevede l’implementazione di azioni volte a impedire che l’incidente o l’evento si diffonda all’interno del sistema o del network al fine di preservarne la sicurezza. Tale risultato è ottenibile solo isolando i segmenti compromessi e individuando il punto in cui l’incidente ha avuto origine, punto che sovente coincide proprio con la posta elettronica” (nota cit., p. 2);

“una diversa impostazione delle politiche di sicurezza che precludesse la possibilità di conservare le caselle di posta elettronica (e di accedervi quando strettamente necessario) potrebbe comportare l’impossibilità di fronteggiare adeguatamente un’eventuale violazione di dati personali” (nota cit., p. 2);

“dalla sussunzione della posta elettronica nell’alveo degli «strumenti di lavoro» discende […] l’assoggettabilità della stessa alla disciplina di cui al comma 2 (e non già al comma 1) dell’art. 4 della legge n. 300/1970” (nota cit., p. 4);

“l’accesso all’account di posta elettronica [del reclamante] si è verificato a causa di un disguido interno all’ufficio HR che non ha comunicato all’ufficio IT il mancato rilascio, secondo i termini della procedura, del consenso. È peraltro da sottolineare che in casi di specie quale quello che ci occupa il consenso ben possa ritenersi liberamente prestato in quanto prestato dall’interessato a seguito delle dimissioni rassegnate” (v. nota cit., p. 6);

la Società “soggiace anche a limiti codicistici in termini di conservazione delle e-mail. Infatti, l’art. 2220 cod. civ. prevede che «co.1) Le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione. co.2) Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti» mentre l’art. 2214 co. 2 cod. civ. stabilisce che l’imprenditore «Deve altresì tenere le altre scritture contabili che siano richieste dalla natura e dalle dimensioni dell'impresa e conservare ordinatamente per ciascun affare gli originali delle lettere, dei telegrammi e delle fatture ricevute, nonché le copie delle lettere, dei telegrammi e delle fatture spedite». Ne deriva che le imprese sono obbligate a conservare la corrispondenza (tra cui, per interpretazione costante, sono ricomprese anche le e-mail) per 10 anni e in modo ordinato. È innegabile che tale previsione - pur consapevoli che le semplici e-mail siano prive delle caratteristiche in grado di farle assurgere a piena prova - nasce da evidenti esigenze di garanzia probatoria degli affari conclusi” (v. nota cit., p. 7);

in ogni caso la Società “adeguandosi a quanto previsto dal Garante nel […] provvedimento n. 53 del 1° febbraio 2018, assicura che al database relativo al singolo account avrà «accesso (anche effettuando le operazioni consentite dal sistema) solo l'interessato, intestatario dell'account stesso […]» […] Inoltre, una volta terminato il rapporto di lavoro l’account del dipendente cessato verrà prontamente cancellato, salvo che quest’ultimo presti il proprio consenso, nel qual caso gli Amministratori di Sistema (in seguito “ADS”) [della Società] potranno accedervi per un periodo massimo di trenta giorni a decorrere dalla cessazione del rapporto di lavoro” (v. nota cit., p. 8);

“La previsione di cui al combinato disposto degli artt. 2220 e 2214 cod. civ. assume particolare rilevanza anche nell’ambito della conservazione dei file di log, compresi quelli delle e-mail aziendali. I file di log, infatti, contengono informazioni e parametri tecnici generati dai sistemi server di gestione e smistamento della posta elettronica che consentono di individuare con certezza la storia di una determinata e-mail. Va da sé che tali file sono indispensabili ai fini probatori poiché, senza di essi, diverrebbe estremamente difficile provare la legittimità dell’e-mail”; […] “Oltre che in termini probatori, la cancellazione dei file di log potrebbe rappresentare un problema anche in termini di sicurezza informatica. La registrazione dei file di log, infatti, permette tipicamente anche di individuare eventuali accessi non autorizzati a reti o archivi e di ricostruire le dinamiche di una violazione di dati personali” (v. nota cit., p. 8-9);

“La sicurezza delle informazioni è ritenuta prioritaria da parte [della Società] che, infatti, è dotata di un Security Operations Center (SOC) attraverso il quale viene eseguito un costante controllo della rete aziendale per individuare tempestivamente potenziali incidenti di sicurezza sia originatisi per azioni di terzi che da comportamenti pericolosi posti in essere da personale interno, e adottare le più opportune misure rimediali. Tanto più se si considera che [la Società] opera in un settore particolarmente critico, avendo in carico la sicurezza di numerosi enti pubblici e aziende private di rilevanza nazionale che svolgono servizi essenziali per l’intera collettività” (v. nota cit., p. 9);

la Società “nello scegliere un provider che offrisse le più ampie garanzie in termini di affidabilità e sicurezza, ha deciso di selezionare uno dei più noti e diffusi provider, Microsoft. Il sistema di Microsoft è impostato per permettere l’accesso e la visualizzazione dei log solo a utenti specifici in base alle buone prassi di segregazione degli accessi. Ciò viene concretamente attuato [dalla Società] tramite assegnazione, all’interno del sistema, dei ruoli di “Log di controllo” o “Log di controllo di sola visualizzazione”. Tali ruoli, in particolare, sono stati assegnati […] ai soli ADS, i cui log di accesso vengono conservati per 6 mesi secondo quanto disposto dal Garante nel Provvedimento in materia di ADS del 27 novembre 2008” (v. nota cit., p. 10);

“I file di log, compresi quelli degli ADS, confluiscono all’interno del sistema di Security Information and Event Management (SIEM) fornito da Google, che permette l’aggregazione e l’analisi delle informazioni e degli eventi di sicurezza provenienti da più fonti per l’identificazione di eventuali minacce” (v. nota cit., p. 10);

la Società “non ha alcun interesse a conoscere i siti web - né, tanto meno, i contenuti - visitati dal proprio personale, a molti dei quali la navigazione è già inibita by default, non avendo gli stessi alcuna pertinenza lavorativa, ritenendo sufficiente poter disporre delle sole informazioni tecniche desumibili dai log di navigazione idonee a intercettare eventuali anomalie, a garanzia delle già esplicitate esigenze di sicurezza” (v. nota cit., p. 10);

“Le stesse best practice in ambito di sicurezza informatica impongono [alla Società] di conservare i log delle e-mail e della navigazione per un periodo minimo di 6 mesi. Non si può ignorare, infatti, che una delle più gravi minacce di esfiltrazione dei dati personali e di trattamento illecito sia rappresentato proprio dal proliferare dei c.d. Advanced Persistent Threat (APT), ossia attacchi informatici sistematici particolarmente sofisticati e contraddistinti dalla “persistenza”, intesa come capacità dell’attaccante di mantenere viva e attiva la propria presenza nell’ambiente target per il tempo necessario a concludere il suo obiettivo primario” (v. nota cit., p. 11);

“solo attraverso l’analisi di detti log è possibile ricostruire condizioni di minaccia attivatesi mesi prima e a suo tempo non note (come, ad es., in caso di attacchi di tipo zero-day)” (v. nota cit., p. 11);

pertanto “la conservazione del contenuto delle e-mail così come dei log (di e-mail e della navigazione) non è finalizzato in alcun modo a controllare o accertare l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro ma a garantire la sicurezza dei sistemi informatici della Società e, in ultima istanza, la sicurezza dei dati personali trattati e, in generale, del patrimonio informativo proprio e dei propri clienti” (v. nota cit., p. 12);

“il trattamento posto in essere [dalla Società deve] considerarsi legittimo e sottratto al campo di applicazione dell’art. 4, co. 1, L. 300/70 […]. A fronte della previsione di cui al co. 2 […] ci pare debba ritenersi non soggetta ad accordo/autorizzazione l’installazione degli strumenti che devono essere utilizzati dal lavoratore per rendere la prestazione lavorativa e di quelli deputati alla registrazione degli accessi e delle presenze, anche se l’analisi delle informazioni registrate dagli stessi potrebbe consentire un controllo dell’attività lavorativa” (v. nota cit., p. 13);

“A fronte di tutto quanto sopra si ritiene che il limite di conservazione dei file di log debba essere determinato in autonomia dal titolare sulla base delle esigenze e delle finalità di trattamento e dei limiti di minimizzazione e limitazione del trattamento di cui all’art. 5 del GDPR. La limitazione della conservazione a un massimo di 21 giorni non sembra applicabile né giustificabile ai sensi dell’art. 4 della L. n. 300/70 che, al contrario, consente la libera installazione dei sistemi di posta elettronica e di controllo degli accessi senza alcuna subordinazione della stessa ad autorizzazione, neppure allorquando la conservazione dei dati dovesse oltrepassate il limite suggerito dal Garante in 21 giorni” (v. nota cit., p. 13).

Nel corso dell’audizione richiesta dalla Società, tenutasi in data 6 febbraio 2025, la stessa ha infine chiarito, tra l’altro, che:

“la prospettiva perseguita dalla Società è di regolamentare il servizio di posta elettronica aziendale, garantendo la conservazione e la disponibilità delle e-mail esclusivamente per metterle a disposizione dei lavoratori stessi. Pertanto ciascun dipendente potrà disporre del proprio account aziendale in via esclusiva anche per un tempo dilatato. Si forniranno istruzioni ai dipendenti affinché procedano periodicamente alla cancellazione delle e-mail non più utili”;

“Nel caso di cessazione del rapporto di lavoro con il dipendente la Società intende conservare l’account (quindi compreso il contenuto dello stesso) per un periodo limitato che si propone di impostare in 30 giorni. All’interno di tale periodo l’accesso all’account potrebbe avvenire esclusivamente per improrogabili esigenze lavorative e solo in presenza del consenso dell’ex dipendente. L’accesso all’account consentirà di visualizzare tutti i contenuti al momento presenti nell’account stesso. È prevista anche l’impostazione di una e-mail di risposta automatica nella quale si chiarirà che l’account è prossimo alla chiusura e si indicherà il nuovo referente”;

“Per quanto riguarda la conservazione dei file di log (log della posta elettronica e della navigazione) si intende proporre di conservare i log per un periodo di 6 mesi, previa adeguata comprova delle specificità della propria realtà tecnica e organizzativa in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, per esclusive esigenze di sicurezza ritenute necessarie per poter individuare la genesi di eventuali attacchi informatici”;

“esistono delle fattispecie di attacchi informatici che estrinsecano le loro caratteristiche anche in un tempo di sei mesi. La contromisura si definisce grazie al monitoraggio attivo e costante eseguito dal Security Operation Center che, avvalendosi di piattaforme di analisi dei log e risposta a potenziali attacchi informatici (Security Information and Event Management) monitora e garantisce il presidio della sicurezza informatica ed informativa dell’azienda e dei clienti ad essa collegati. I log rappresentato il nutrimento di queste piattaforme, evidenziando che alcuni account sono stati utilizzati per accedere al sistema. L’analisi dei log consente di accertare eventuali anomalie nonché tentativi di accessi, considerato che alcuni account possono essere usati in modo strumentale”;

“Il log non ha una valenza retrospettiva sull’attività del lavoratore, valutandone l’eventuale inappropriatezza. Il valore dei log è nella correlazione volumetrica con quello che accade”;

“In tale prospettiva non interessa il contenuto della comunicazione via e-mail bensì solo i metadati della e-mail. La tempistica di 6 mesi è ritenuta necessaria per potere effettuare i controlli e avere a disposizione le informazioni necessarie per mitigare le minacce anche con effetti differiti nel tempo (c.d. attacchi Advanced Persistent Threat). La conservazione delle e-mail, essendo la e-mail uno strumento di lavoro, è prevista per garantire l’accesso alle stesse al lavoratore. La Società non accede alle e-mail del dipendente attivo. Invece per gli ex dipendenti l’accesso alle e-mail può essere disposto solo per esigenze di business continuity e solo in presenza del consenso dell’interessato reso solo dopo che quest’ultimo ha presentato le dimissioni”.

Infine, in data 28/2/2025, la Società ha inviato all’Autorità il documento “SI-D32 Policy Aziendale – Utilizzo Strumenti IT”, con revisioni del 27/2/2025.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1  Il quadro normativo applicabile.

Il datore di lavoro privato può trattare lecitamente (art. 5, par. 1, lett. a) del Regolamento) i dati personali dei lavoratori, anche relativi a “categorie particolari”, di regola, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure, in caso di trattamento di dati personali “comuni”, anche se il trattamento è necessario “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (artt. 6, par. 1, lett. b) e c), e 2 e 3, e art. 9, parr. 2, lett. b) e 4; art. 88 del Regolamento).

Il titolare del trattamento è altresì tenuto ad osservare i principi generali della materia, in particolare quello di “liceità, correttezza e trasparenza”, di “limitazione delle finalità” e di “minimizzazione dei dati” (art. 5, par. 1, lett. a), b) e c) del Regolamento).
In base al principio di liceità del trattamento, il datore di lavoro deve inoltre rispettare le norme nazionali più specifiche e di maggior tutela relative al trattamento dei dati nell’ambito dei rapporti di lavoro (art. 88 e cons. 155 del Regolamento).

Sul punto il Codice fa espresso rinvio alle disposizioni che vietano al datore di lavoro di raccogliere, anche a mezzo di terzi, e trattare ulteriormente informazioni sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore e alla disposizione posta in materia di controlli a distanza (cfr. art. 113 del Codice, “Raccolta di dati e pertinenza”, che richiama quanto disposto dall’art. 8 della l. 20 maggio 1970, n. 300 e dall’art. 10 del d.lgs. 10 settembre 2003, n. 276 e art 114 del Codice, “Garanzie in materia di controlli a distanza”, che richiama l’art. 4 della l. 20 maggio 1970, n. 300).

Per effetto di tale rinvio, e tenuto conto di quanto stabilito dall’art. 88, par. 2, del Regolamento, l’osservanza delle norme espressamente richiamate dagli artt. 113 e 114 del Codice costituisce una specifica condizione di liceità del trattamento, che si aggiunge agli obblighi posti dagli artt. 5, 6 e 9 del Regolamento (cfr., Corte di giustizia dell’Unione europea, sentenze 19/12/2024, causa C 65/23 e 30 marzo 2023, causa C-34/21).

3.2. La gestione della posta elettronica aziendale dopo la cessazione del rapporto di lavoro. Violazione dei principi di liceità, correttezza e minimizzazione (artt. 5, par. 1, lett. a) e c) del Regolamento).

3.2.1. Trattamenti effettuati in base al regolamento interno applicato al tempo dei fatti oggetto di reclamo

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante e agli altri dipendenti, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società, dopo la cessazione del rapporto di lavoro del reclamante avvenuta in data 15/9/2022, ha mantenuto attivo l’account di posta elettronica di tipo individualizzato (XX), a suo tempo assegnato nell’ambito del rapporto di lavoro.

Sebbene non sia stato possibile accertare, in base ad elementi obiettivi e certi, la data esatta della cancellazione dell’account, la Società ha dichiarato che la cancellazione sarebbe avvenuta “nel corso del mese di novembre 2022”.

È inoltre emerso che la possibilità per la Società di accedere all’account di posta elettronica aziendale, dopo la cessazione del rapporto di lavoro, era espressamente prevista nel regolamento interno relativo all’utilizzo degli strumenti IT (SI-D32 Policy Aziendale – Utilizzo Strumenti IT, versione 3/5/2021) di cui il reclamante avrebbe preso visione in data 9/5/2022, in base a quanto documentato sui sistemi aziendali (v. All. 3, nota 18/7/2024).

In particolare, il richiamato regolamento interno relativo all’utilizzo degli strumenti IT, nella versione applicabile al tempo dei fatti oggetto di reclamo (3/5/2021), prevedeva sul punto che “Successivamente alla cessazione del rapporto di lavoro la casella di posta elettronica sarà disattivata. Sarà inoltre predisposto temporaneamente un sistema di risposta automatica per informare il mittente dell’avvenuta disattivazione dell’account di posta elettronica e dare indicazione del nuovo referente aziendale. Il contenuto degli account di posta elettronica disattivati sarà registrato in un file di backup. Successivamente alla cessazione del rapporto di lavoro, la Società potrà liberamente accedere al contenuto del file di backup, del personal computer nonché alla casella di posta elettronica assegnata al lavoratore durante il rapporto di lavoro per ragioni di continuità dell’attività della Società, per finalità di sicurezza del sistema informatico” (regolamento cit., p. 24).

Tuttavia il “Modulo riconsegna materiale informatico”, datato 19/9/2022 e sottoposto al reclamante dopo la cessazione del rapporto di lavoro, prevedeva una procedura, in parte, diversa da quella sopra riportata in quanto, nello spazio sottostante la firma per la riconsegna del materiale (che risulta apposta dal reclamante), era presente un ulteriore paragrafo con il quale si “autorizz[a] l’Azienda ad accedere alla […] casella di posta elettronica aziendale. Ciò potrà avvenire sia sui dati storici (in forma illimitata nel tempo) sia sulle nuove mail in ingresso per un massimo di mesi 6 dalla cessazione del rapporto”.

In relazione a tale paragrafo, come rappresentato dal reclamante nel caso oggetto di istruttoria, non risulta essere stata apposta la sua sottoscrizione (v. All. 1, nota 18/7/2024).
Pertanto, dopo la cessazione del rapporto di lavoro, l’account di tipo individualizzato, a suo tempo assegnato al reclamante, è rimasto attivo per un periodo di tempo non precisato, pari comunque a circa due mesi.

In base a quanto dichiarato dalla Società, nonché dal dipendente che ha acceduto materialmente all’account, gli accessi (in numero di due) alla casella di posta elettronica sarebbero avvenuti “nei giorni immediatamente successivi alle dimissioni del [reclamante]” (nota 18/7/2024, p. 2 e All. 4 contenente la dichiarazione scritta del dipendente che ha effettuato gli accessi all’account), con la conseguenza che l’account sarebbe rimasto attivo, a disposizione della Società, per un periodo ulteriore, rispetto agli accessi avvenuti “nei giorni immediatamente successivi” alla data del 16/9/2022 (la Società, in termini analoghi, ha fatto anche riferimento al “mese strettamente successivo alla cessazione del rapporto di lavoro”, tuttavia anche tale periodo risulta essere stato superato, prima di procedere alla cessazione dell’account).

Inoltre, sebbene il regolamento aziendale relativo all’utilizzo degli strumenti elettronici all’epoca adottato (SI-D 32 Policy aziendale – Utilizzo strumenti IT, versione 3/5/2021), prevedesse la possibilità per la Società di “accedere liberamente” all’account sia “per ragioni di continuità dell’attività della Società”, sia, anche, per “finalità di sicurezza del sistema informatico”, con il modulo sottoposto al reclamante il 19/9/2022, la Società aveva richiesto l’assenso dell’ex dipendente, da esprimersi mediante una specifica sottoscrizione, che il reclamante non ha però apposto.

In proposito, la Società ha dichiarato, nel corso del procedimento davanti all’Autorità, che si sarebbe “verificato […] un disguido interno all’ufficio HR che non ha comunicato all’ufficio IT il mancato rilascio, secondo i termini della procedura, del consenso [del reclamante]”.

Ciò, nonostante il fatto che la Società stessa avesse, a suo tempo, risposto al reclamante che l’accesso all’account era stato effettuato conformemente alle “previsioni statuite all’interno della Policy aziendale sull’utilizzo degli strumenti IT” (v. e-mail 25/11/2022, allegata al riscontro della Società del 4/3/204).

La condotta della Società relativa ai trattamenti dei dati riferiti al reclamante contenuti nell’account individualizzato di posta elettronica allo stesso assegnato, così come emersa all’esito del procedimento, non è pertanto risultata conforme alla disciplina in materia di protezione dei dati personali, per i motivi di seguito esposti.

Il Garante ha costantemente ritenuto che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa −, su un account aziendale di tipo individualizzato, configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b).

Sul punto, dunque, il reclamante ha legittimamente ritenuto che sono tutelate dall’ordinamento anche le “mail di natura confidenziale” scambiate con i colleghi, nonché i documenti di natura strettamente privata che, “seppur sporadicamente”, erano transitati sull’account assegnato.

Inoltre il Garante ha ritenuto conforme ai principi in materia di protezione dei dati personali che, a tutela di possibili e legittime esigenze di continuità dell’attività aziendale, dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi mittenti e a fornire, a questi ultimi, indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo, durante il periodo in cui tale sistema automatico è in funzione (v., tra i più recenti, Provv. 7 marzo 2024, n. 140, doc. web n. 10009004; Provv. 29 ottobre 2020, n. 214, doc. web n. 9518890; Provv. 21 luglio 2022, n. 255, doc. web n. 9809466).

Pertanto, la condotta della Società che ha mantenuto attiva, per circa due mesi, la casella di posta elettronica del reclamante in considerazione, secondo quanto dichiarato, della posizione ricoperta dallo stesso in costanza del rapporto di lavoro (Customer Claims Manager dal 1° ottobre 2020), con la connessa possibilità di accedere all’intero suo contenuto, in vista del perseguimento della “continuità operativa nella gestione delle pratiche”, peraltro nonostante l’esistenza in azienda di un sistema gestionale dei reclami che è normalmente preordinato proprio alla ordinata ed efficiente gestione degli stessi, ha comportato un trattamento di dati personali, al di là di quelli in concreto “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati” (principio di minimizzazione dei dati, ex art. 5; par. 1, lett. a) del Regolamento).

Il principio generale di proporzionalità (v. art. 52 della Carta dei diritti fondamentali dell’Unione europea) impone, infatti, che un trattamento di dati personali possa essere ritenuto necessario qualora l’interesse lecitamente perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati.

Nel caso di specie, in vista del raggiungimento di generali esigenze di continuità operativa, nonostante alle medesime esigenze la Società avesse più appropriatamente dedicato un apposito sistema gestionale (sebbene, secondo quanto dichiarato, “non tutti i reclami erano tracciati sul sistema”, e benché non siano state fornite ulteriori indicazioni circa le specifiche ragioni di tale scelta e le eventuali contromisure adottate in proposito), l’accesso al contenuto di tutte le e-mail scambiate dall’ex dipendente costituisce un mezzo non proporzionato, alla luce della particolare tutela accordata, in termini generali, alle comunicazioni dal nostro ordinamento, anche a livello costituzionale, comprese le e-mail (v. Corte Cost. n. 170 del 27 luglio 2023, che ha ricondotto i messaggi veicolati attraverso la posta elettronica alla nozione di corrispondenza tutelata dall’art. 15 Cost.: la garanzia costituzionale, infatti, “si estende […] ad ogni strumento che l’evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici, ignoti al momento del varo della Carta costituzionale”).

Ciò, tanto più considerato che tale accesso ha comportato anche la conoscenza di dati riferiti a dipendenti, ancora in servizio, con i quali il reclamante aveva comunicato nel corso del rapporto di lavoro a suo tempo in essere.

Inoltre, nel caso di specie, è emerso che, secondo la tempistica indicata nel paragrafo apposto in calce al modulo di riconsegna degli strumenti aziendali, l’accesso al contenuto delle e-mail sarebbe potuto avvenire, per sei mesi, dopo la cessazione del rapporto di lavoro, dunque per un periodo assai esteso, in relazione alle finalità dichiarate, in violazione del principio generale della limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento).

Sotto il profilo della liceità e correttezza, poi, che costituiscono anch’essi principi generali del trattamento che devono essere osservati ai sensi dell’art. 5, par. 1, lett. a) del Regolamento, è emerso che la Società ha sottoposto al reclamante, subito dopo la cessazione del rapporto di lavoro, un modulo che prospettava la prestazione di un assenso dell’interessato per autorizzare l’accesso all’archivio delle e-mail; nonostante il diniego dell’interessato (espresso mediante la mancata sottoscrizione per accettazione) la Società ha comunque proceduto ad accedere all’archivio, sulla base di quanto previsto dal regolamento interno sull’uso degli strumenti IT.

Posto che, il consenso prestato all’accesso alle e-mail conservate nel corso del rapporto di lavoro e pervenute sull’account aziendale non costituisce idonea base giuridica per il trattamento dei dati personali in esse contenuti (come si chiarirà più avanti con riguardo alla previsione contenuta su questo aspetto nella nuova versione del regolamento interno datata 27/2/2025), nel caso di specie i trattamenti effettuati a seguito della restituzione del modulo di riconsegna degli strumenti affidati nel corso del rapporto di lavoro, sottoposto al reclamante, sono stati altresì effettuati in violazione dei principi di liceità e correttezza considerato anche  che il reclamante aveva fatto affidamento su quanto indicato nel predetto modulo, ossia che l’accesso da parte della Società sarebbe avvenuto solo in caso di prestazione del suo consenso).

Infine si rileva che, in base a quanto stabilito dalla Società nel regolamento interno, l’accesso alla casella di posta elettronica e al personal computer assegnati al lavoratore, nonché alle e-mail contenute nell’apposito archivio (file di back up) costituito dopo la cessazione del rapporto di lavoro su tutti i dati presenti nella casella (v. regolamento 3/5/2021 cit., p. 24), era previsto in termini generali, dunque con carattere di sistematicità, per tutti gli ex dipendenti attraverso la prevista “libertà” di accesso della Società stessa a tale archivio in vista del perseguimento di generiche finalità di “continuità dell’attività” e di “sicurezza del sistema informatico”.

La condotta tenuta dalla Società ha pertanto violato, nei termini suesposti, i principi di liceità, correttezza e di minimizzazione di cui all’art. 5, par. 1, lett. a) e c) del Regolamento.

3.2.2.  Trattamenti effettuati in base alle versioni aggiornate del regolamento interno relativo all’utilizzo degli strumenti elettronici

Nel corso del procedimento, la Società ha fornito all’Autorità due versioni aggiornate del regolamento interno relativo all’utilizzo degli strumenti elettronici (SI-D 32 Policy aziendale – Utilizzo strumenti IT, versioni del 1/7/2024 e del 27/2/2025), con le quali, sempre con riguardo alla gestione della posta elettronica dopo la cessazione del rapporto di lavoro, diversamente dalla precedente versione ha previsto che “A seguito della cessazione del rapporto di lavoro, la casella di posta elettronica aziendale del dipendente sarà immediatamente disattivata. Sarà inoltre predisposto temporaneamente un sistema di risposta automatica per informare il mittente dell’avvenuta disattivazione dell’account di posta elettronica e dare indicazione del nuovo referente aziendale” (regolamento 1/7/2024, p. 23 e regolamento 28/2/2025, p. 20).

Inoltre, qualora la Società ritenga che “per ragioni di continuità aziendale vi possa essere la necessità di accedere alla posta elettronica del dimissionario, dovrà ottenere l’autorizzazione da parte di quest’ultimo solo dopo che le dimissioni siano intervenute. Tale manifestazione di volontà verrà raccolta ed archiviata da parte dell’Ufficio HR su un apposito modulo che verrà fatto sottoscrivere al dimissionario in fase di riconsegna delle dotazioni. L’ufficio IT, qualora venisse richiesto l’accesso alla casella e-mail tramite ticket, provvederà a richiedere autorizzazione all’ufficio HR che la concederà solo previa verifica dell’avvenuto consenso del dimissionario” (regolamento 1/7/2024, p. 24 e regolamento 28/2/2025, p. 21).

Con l’ultima versione del regolamento interno, la Società ha fornito chiarimenti sui tempi di conservazione dei dati, stabilendo che, sempre che il dipendente abbia acconsentito all’accesso alla casella di posta elettronica, “l’account e relativo contenuto saranno cancellati in ogni caso dopo 30 giorni. Qualora il dipendente non abbia dato il consenso la mailbox rimarrà attiva (account disabilitato) per 30 giorni per consentire il messaggio di “out of office” con nuovo referente, mentre il contenuto storico verrà cancellato immediatamente” (regolamento 28/2/2025, p. 21).

Anche tale ultima formulazione, sebbene rispetto alla precedente non attribuisca più alla Società piena “libertà di accesso” al contenuto dell’archivio delle e-mail, non può essere considerata ancora conforme alla disciplina vigente in quanto, subordina ancora l’accesso all’archivio alla manifestazione di volontà del dipendente definito “dimissionario”; ciò sull’erroneo presupposto che, non essendo più in essere il rapporto di lavoro, l’eventuale consenso fornito non sarebbe condizionato dalla “asimmetria dei poteri” che caratterizza, di regola, il rapporto di lavoro.

Questa prospettiva non considera però che la sproporzione di poteri può ben connotare anche le concrete modalità e le condizioni di “uscita” dal posto di lavoro, che possono avere rilievo, in ordine alla valutazione circa la “libertà” del consenso prestato alla luce delle circostanze del caso concreto (v. art. 4, n. 11 del Regolamento).

Soprattutto, poi, si sottolinea che la soluzione, da ultimo adottata, non tiene nella dovuta considerazione il fatto che l’accesso all’archivio delle e-mail aziendali consente alla Società di accedere anche ai dati personali dei dipendenti non “dimissionari” che abbiano intrattenuto comunicazioni via e-mail con l’ex dipendente, come ordinariamente avviene, con conseguente trattamento anche di dati di dipendenti effettuato in costanza del rapporto di lavoro.

Rispetto al trattamento di tali dati, che possono riguardare anche informazioni che rientrano nel novero dei dati “particolari” e la cui riservatezza è protetta in modo rafforzato dall’ordinamento, il consenso dell’ex dipendente non costituisce idonea base giuridica (v. artt. 5, par. 1, lett. a); 6, par. 1, lett. b) e c); 9, par. 2, lett. b) del Regolamento).

Pertanto i trattamenti consistenti nell’accesso alla casella di posta elettronica del dipendente dimissionario effettuati in base al regolamento interno (versione 27/2/2025) si pongono in violazione di quanto stabilito dall’art. 5, par. 1, lett. a) del Regolamento.

3.3.  Trattamento dei dati riferiti alla posta elettronica e alla navigazione in Internet nell’ambito del rapporto di lavoro. Violazione degli artt. 5, par. 1, lett. a) e 88 del Regolamento e degli art. 113 e 114 del Codice.

3.3.1. Trattamenti previsti dal regolamento interno fino al 28 febbraio 2025 [versioni del 3/5/2021 e del 1/7/2024]

Si osserva preliminarmente che, diversamente da quanto ritenuto dalla Società nelle memorie difensive, la contestazione effettuata dal Garante ai sensi dell’art. 166, comma 5, del Codice, non “prescinde da elementi specifici circa l’effettivo controllo e monitoraggio dell’attività dei dipendenti”, posto che l’Autorità ha valutato che, alla luce della normativa posta in materia di protezione dei dati personali, la disciplina interna che attribuisce alla Società la facoltà di effettuare trattamenti dei dati personali dei dipendenti, così come resa nota dalla stessa Società agli interessati e all’Autorità, nel corso del procedimento, prevede la concreta effettuazione di trattamenti non conformi alle norme applicabili ai trattamenti medesimi.

D’altra parte, proprio in relazione al caso concreto oggetto di reclamo, è emerso, come visto nel precedente paragrafo, che la Società ha acceduto alla casella di posta elettronica del reclamante, contenente tutti i dati memorizzati nel file di back up (peraltro senza limitazione temporale), nonché le eventuali nuove e-mail, nel frattempo pervenute, sulla casella, prima della sua disattivazione (proprio come previsto dal disciplinare interno).

Si rammenta, poi, che già l’attività di “raccolta” costituisce operazione di trattamento la cui liceità deve essere valutata in base a quanto stabilito dal Regolamento, in quanto - come del resto è emerso nel caso di specie - l’attività volta a acquisire dati, a registrarli e a memorizzarli consente normalmente l’effettuazione di ulteriori operazioni di trattamento, quali la “estrazione, la consultazione, l’uso, la comunicazione […] il raffronto o l’interconnessione” (v. art. 4, n. 2 del Regolamento contenente la definizione di “trattamento”).

Con riguardo ai trattamenti effettuati dalla Società sulla posta elettronica aziendale e sulla navigazione in Internet effettuata dai dipendenti utilizzando il pc aziendale, è emerso che, attraverso il regolamento “SI-D 32 Policy aziendale – Utilizzo strumenti IT”, sia nella versione dal 3/5/2021 che in quella del 1/7/2024, è stato reso noto ai dipendenti che la Società, attraverso il dipartimento IT, può “accedere sia alla memoria di massa locale che al SERVER aziendale nonché, previa comunicazione al dipendente, accedere al PC in remoto”. Ciò all’occorrenza di “ogni necessità aziendale”.

Quanto alle modalità dell’accesso al pc, con il regolamento interno è stato precisato che “qualora sia necessario accedere al PC” il superiore gerarchico e/o il responsabile del dipendente può chiedere al reparto IT, previa “autorizzazione di HR […] di modificare la password ai fini dell’accesso” (v. regolamenti cit., p. 13).

La possibilità per la Società di accedere ai dati raccolti nel corso dell’attività lavorativa, anche relativi all’utilizzo della posta elettronica aziendale e della navigazione in Internet, è prevista e resa nota ai dipendenti anche in altri passaggi dei menzionati regolamenti interni.

In particolare, laddove si prospettano “periodiche verifiche del contenuto della memoria di massa del PC consegnato al dipendente”, al fine di controllare l’osservanza delle regole stabilite dalla Società, per il corretto utilizzo del personal computer (regolamenti cit., p. 14).

Nonché nel passaggio in cui è contemplata la possibilità, per l’amministratore di sistema, di compiere, per conto dell’azienda, “interventi nel sistema informatico aziendale diretti a garantire la sicurezza e la salvaguardia del sistema stesso, nonché per ulteriori motivi tecnici e/o manutentivi. Detti interventi potranno comportare l’accesso in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica interna ed esterna, nonché alla verifica sui siti internet acceduti dagli Utenti abilitati alla navigazione esterna. La stessa facoltà, ai fini della sicurezza del sistema e della garanzia della normale operatività dell’Azienda, si applica anche in caso di assenza prolungata e/o impedimento dell’Utente” (regolamenti cit., p. 14).

Le previste attività di accesso, preordinate a una pluralità di scopi (sicurezza del sistema, motivi tecnici e/o manutentivi, controllo dell’osservanza delle regole per l’uso dei pc), sono la conseguenza della circostanza che i dati sono raccolti dalla Società con sistematicità.

Infatti i medesimi regolamenti prevedono, con riguardo all’utilizzo della rete internet, che “La connessione ad INTERNET dai PC aziendali (inclusi portatili e smartphone) e tutti gli accessi alla rete INTERNET vengono registrati nel proxy SERVER per motivi di sicurezza ed integrità del sistema informativo aziendale” (v. regolamenti cit. p. 19).

Con riguardo al trattamento dei dati così raccolti, la Società ha precisato che “Gli eventuali controlli, compiuti dal personale incaricato del Servizio IT potranno avvenire mediante un sistema di controllo dei contenuti o mediante “file di log” della navigazione svolta. Il succitato controllo non è continuativo ed i file stesso vengono conservati il tempo indispensabile per il corretto perseguimento delle finalità organizzative e di sicurezza dell’azienda” (v. regolamenti cit. p. 21).

Sebbene la Società abbia indicato che il predetto controllo “non è continuativo”, in altro passaggio del capoverso precedente, dichiara che i controlli sono comunque “periodici”, dunque effettuati con sistematicità e preordinati alla verifica del rispetto delle regole interne poste relativamente all’uso della rete Internet (tra le quali il divieto di accedere a siti non attinenti all’attività lavorativa e idonei a “rivelare dati sensibili ai sensi del Codice privacy”, o che abbiano “un contenuto contrario a norme di legge”, o che consentano l’effettuazione di operazioni di “remote banking, acquisti on line o simili”, etc.), benché affiancati da sistemi che operano “ex ante”, ossia sistemi di blocco o filtro automatico volti a prevenire il compimento di operazioni non consentite (“il rispetto di tali regole potrà essere oggetto di controllo anche mediante accesso in remoto, attraverso periodiche verifiche”, v. regolamenti cit. p. 21).

Con riferimento all’utilizzo della posta elettronica, la Società, attraverso il regolamento interno applicabile ai fatti oggetto di reclamo (versione 3/5/2021), ha in termini generali rappresentato che “l’uso degli indirizzi di posta elettronica aziendale è ammesso esclusivamente per motivi attinenti all’attività lavorativa; l’uso per motivi personali è pertanto espressamente vietato. Nessuna aspettativa di tutela del proprio diritto alla privacy, relativa ai messaggi di posta elettronica in entrata e in uscita utilizzando l’indirizzo aziendale potrà, dunque, essere pretesa dal dipendente” (v. regolamento 3/5/2021, p. 22).

Mentre, in caso di “prolungata assenza dal lavoro”, se il dipendente assente “sia irraggiungibile, o comunque in caso di effettiva urgenza”, in relazione alla finalità di “assicurare la continuità dell’attività aziendale”, il responsabile IT “potrà altresì accedere alla posta elettronica del dipendente mediante le proprie credenziali di amministratore” (v. regolamento 3/5/2021, p. 23).

La successiva versione del regolamento interno ha invece previsto che, qualora in caso di assenza improvvisa o prolungata e “per improrogabili necessità legate all’attività lavorativa”, si rendesse “necessario accedere al contenuto dei messaggi della posta elettronica”, si dovrà chiedere l’intervento di un “fiduciario” designato dal dipendente.

In ogni caso, “il datore di lavoro si riserva di effettuare controlli, anche saltuari o occasionali, per la verifica della funzionalità e sicurezza del sistema informatico aziendale, per l’esercizio di un diritto in sede giudiziaria e, in generale, per finalità espressamente connesse a specifiche esigenze organizzative, produttive e di sicurezza del lavoro” (v. regolamento 1/7/2024, p. 22).

L’impostazione della disciplina aziendale sui controlli è poi ribadita, in termini riepilogativi, nella sezione dedicata ai “Controlli e mancato rispetto delle policy”, laddove si prevede che “La società, anche a mezzo di terzi, si riserva il diritto di esercitare i controlli necessari ed opportuni sui dispositivi e sulla strumentazione elettronica, ivi compresa la casella di posta elettronica messa a disposizione dalla Società, ed i dati inerenti la navigazione in rete, per finalità espressamente connesse a specifiche esigenze organizzative, produttive e di sicurezza” (v. regolamento 1/7/2024, p. 25, negli stessi termini già il regolamento 3/5/2021, p. 26).

Le finalità in relazione alle quali la Società si riserva di effettuare i controlli sopra richiamati sono ampie e diversificate, tra cui: ”prevenire la commissione di illeciti; scopi difensivi […]; […] esigenze di carattere organizzativo e produttivo, al fine di rilevare, a titolo esemplificativo, anomalie di uso o di funzionamento oppure per l’esecuzione di attività di manutenzione; esigenze di sicurezza del sistema informatico […]; verifica del corretto utilizzo della strumentazione elettronica concessa in uso (ivi compreso l’uso della posta elettronica e della navigazione in rete) […]” (v. regolamento 1/7/2024, p. 25-26, negli stessi termini già il regolamento 3/5/2021, p.26).

In altri passaggi del regolamento interno, la Società, sui dati così raccolti e memorizzati, si riserva di effettuare un’attività di controllo in relazione a una pluralità eterogenea di scopi, in particolare: “verifica della funzionalità e sicurezza del sistema informatico aziendale, per l’esercizio di un diritto in sede giudiziaria e, in generale, per finalità espressamente connesse a specifiche esigenze organizzative, produttive e di sicurezza del lavoro” ma anche in relazione a non meglio precisati “scopi difensivi” e alla generale “verifica del corretto utilizzo della strumentazione elettronica concessa in uso”.

Dunque, in base a quanto rappresentato nel regolamento aziendale interno, nelle versioni del 3/5/2021 e del 1/7/2024, la Società procede alla conservazione sistematica della posta elettronica, scambiata nell’ambito del rapporto di lavoro, con riferimento sia al contenuto dei messaggi contenuti negli “archivi di posta elettronica” sia ai log della posta elettronica. Inoltre, anche i dati relativi alla “connessione ad INTERNET dai PC aziendali (inclusi portatili e smartphone) e tutti gli accessi alla rete INTERNET” sono memorizzati nei sistemi della Società.

Tale attività di sistematica raccolta di dati trattati nel corso del rapporto di lavoro, preordinata alla possibilità di effettuare l’ampia gamma di controlli sopra riportati, è avvenuta peraltro in assenza della previa individuazione di tempi di conservazione proporzionati, rispetto alle specifiche finalità perseguite.

A conferma di ciò, si rileva che, anche la formulazione contenuta nel modulo di riconsegna del materiale informatico sottoposto al reclamante nel 2022, esplicita il fatto che la Società conservava, per un periodo che non viene reso noto, una grande quantità di dati relativi alle e-mail scambiate in costanza di rapporto di lavoro (ciò in relazione “sia [ai] dati storici (in forma illimitata nel tempo) sia [alle] nuove mail in ingresso per un massimo di mesi 6 dalla cessazione del rapporto”).

Ciò ha dunque comportato il trattamento di una grande quantità di dati personali riferiti ai dipendenti, tenuto anche conto che, alla data del 31/12/2024, la Società risultava avere in forza 7.862 addetti, per un periodo esteso di tempo, in violazione dell’art. 5, par. 1, lett. e) del Regolamento.

In base a quanto rappresentato dalla stessa Società, attraverso la disciplina contenuta nei regolamenti interni e fino alla nuova versione del 27/2/2025, emerge dunque l’effettuazione di un’attività di sistematica raccolta e conservazione del contenuto delle e-mail, presenti negli account aziendali, nonché dei file di log relativi all’utilizzo del sistema di posta elettronica e della navigazione in internet, per un periodo significativo di tempo che, sebbene non indicato espressamente, coincide con l’intera durata del rapporto di lavoro.

Ciò, per quanto riguarda la posta elettronica, prefigurando espressamente, come sopra riportato, l’azzeramento di qualsiasi aspettativa di riservatezza del lavoratore con riguardo al contenuto e ai dati esterni (log) della posta elettronica, nonostante questa, come sopra ricordato, rappresenti invece una forma di comunicazione che, anche nel contesto del rapporto di lavoro, deve essere tutelata da ingerenze illecite e non proporzionate rispetto alle finalità perseguite (v. Linee guida per posta elettronica e internet, 1/3/2007, n. 13, doc. web n. 1387522, punto 5.2, lett. b; Corte Cost. n. 170 del 27 luglio 2023, cit., anche laddove ha rammentato che “Questa Corte […] ha già da tempo affermato che la garanzia apprestata dall'art. 15 Cost. si estende anche ai dati esteriori delle comunicazioni (quelli, cioè, che consentono di accertare il fatto storico che una comunicazione vi è stata e di identificarne autore, tempo e luogo)”; si vedano anche le decisioni adottate in proposito dalla Corte europea dei diritti dell’uomo: Niemietz v. Allemagne, 16.12.1992 (ric. n. 13710/88); Copland v. UK, 3.4.2007 (ric. n. 62617/00); Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08)).

Più in generale, poi, in relazione all’intera attività del dipendente è stato azzerato ogni spazio di riservatezza, considerata la possibilità del dipartimento IT della Società di accedere sia ai contenuti presenti sul server aziendale che al singolo pc, anche previa modifica della password impostata, in occasione di “ogni necessità aziendale”, vale a dire senza individuare adeguatamente il fine che legittima tale attività di controllo.

Pertanto, sebbene le modalità di effettuazione dei controlli, secondo quanto rappresentato con il regolamento, siano astrattamente ispirate al principio di gradualità, e che sia espressamente esclusa l’effettuazione di “controlli prolungati, costanti o indiscriminati”, la preventiva e sistematica raccolta e conservazione dei dati riferiti all’attività del dipendente, nei termini sopra indicati nel dettaglio, non è conforme al principio generale di minimizzazione, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c) del Regolamento) e che costituisce espressione del principio di proporzionalità. Pertanto, le finalità legittime perseguite dal titolare del trattamento non possono non essere adeguatamente bilanciate con i diritti e le libertà degli interessati.

Inoltre, il datore di lavoro, in qualità di titolare del trattamento, può trattare i dati personali dei dipendenti, di regola, solo se il trattamento è necessario per la gestione del rapporto di lavoro stesso oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (v. artt. 5, par. 1, lett. a), 6 e 9, del Regolamento), dunque qualora sussista un idoneo presupposto di liceità del trattamento stesso.

Sotto tale profilo, attraverso l’impiego di sistemi che consentono la conservazione sistematica del contenuto delle e-mail e dei file di log generati dall’utilizzo di posta elettronica e della navigazione in Internet nell’ambito del rapporto di lavoro, la Società, in violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento), può ricostruire l’attività dei propri dipendenti ed effettuare un controllo sulla stessa, in assenza delle garanzie stabilite, nell’ambito del rapporto di lavoro, ai sensi dell’art. 88 del Regolamento.

Tali garanzie, più specifiche, riguardano l’obbligo di utilizzare strumenti tecnologici che consentano l’effettuazione di attività di controllo, esclusivamente in vista del raggiungimento delle finalità tassativamente ammesse dalla disciplina di settore e comunque in presenza di specifiche garanzie procedurali (v. art. 4, l. 20 maggio 1970, n. 300, richiamato dall’art. 114 del Codice come condizione di liceità del trattamento; in proposito si vedano, in senso conforme, alcune precedenti decisioni del Garante in relazione a casi concreti: Provv. 17/7/2024, n. 472, doc. web n. 10053224; Provv. 21/7/2022, n. 255, doc. web n. 9809466; Provv. 15/04/2021, n. 137, doc web n. 9670738; Provv. 13/5/2021, n. 190, doc. web n. 9669974; Provv. 29/09/2021, n. 353, doc. web n. 9719914; Provv. 1/2/2018, n. 53, doc. web n. 8159221; Provv. 13/7/2016, n. 303, doc. web n. 5408460; si veda anche sul punto Cass. 29/8/2025, n. 24204, che ha richiamato le statuizioni della Corte europea dei diritti dell’uomo, sopra citate, in tema di “vita privata” e di “corrispondenza” (punto 11) ed ha altresì riaffermato che “in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro […] sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in Internet, all’utilizzo della posta elettronica e delle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro […]  attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure” ex art. 4, l. 20/5/1970, n. 300 (punto 14), seppure con riferimento, nel caso concreto, alla versione anteriore alle modifiche poste con il d. lgs. 151 del 2015).

Il richiamato art. 4, l. n. 300 del 1970 prevede l’obbligo di espletare una specifica procedura di garanzia in caso di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori”. Posto che questi strumenti “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, la loro installazione può avvenire solo “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro”.

La Società non ha invece verificato la sussistenza, in concreto, delle tassative finalità indicate dalla norma (in particolare valutando se gli “scopi difensivi” e la “verifica del corretto utilizzo della strumentazione elettronica concessa in uso” siano riconducibili o meno a “esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”), né, all’esito di tale verifica, ha attivato la procedura di garanzia prevista dalla richiamata disciplina di settore in materia di controlli a distanza.

In proposito, non può essere accolto quanto dedotto con le memorie difensive, laddove la Società ha sostenuto che la conservazione del contenuto e dei log della posta elettronica e della navigazione in Internet non sarebbe “finalizzato in alcun modo a controllare o accertare l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro ma a garantire la sicurezza dei sistemi informatici della Società”.

Infatti, se pure la finalità dei trattamenti effettuati rientrasse nel perimetro tassativamente elencato dalla norma, l’esistenza della possibilità di effettuare anche attività di controllo avrebbe reso necessaria la previa attivazione delle sopra richiamate procedure di garanzia, posto che proprio tale possibilità costituisce precisamente l’oggetto della disposizione vigente in materia di controlli a distanza.

Né può essere accolta la tesi della Società in base alla quale i trattamenti effettuati rientrerebbero nella nozione di “strumenti di lavoro”, in quanto tali sottratti all’ambito di applicazione delle predette garanzie di maggior tutela (v. art. 4, co. 2, l. 300/1970, in base al quale “la disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa […]”).

Infatti, i sistemi e i programmi che consentono la raccolta, la conservazione e l’elaborazione dei dati tratti dall’utilizzo della posta elettronica e della connessione ad Internet non sono indispensabili per rendere la prestazione lavorativa e operano in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente) (sul punto si veda: Provv. 28/10/2021, n. 384, doc. web n. 9722661; Provv. 13/5/2021, n. 190, doc. web n.9669974; Provv. 16/11/2017, n. 479, doc. web n.7355533; si vedano altresì le circolari INL n. 4/2017 del 26/7/2017 e n. 2/2016 del 7/11/2016).

Da ultimo, si ritiene che non possa neanche essere accolta la tesi difensiva della Società secondo la quale sia il contenuto che i file di log della posta elettronica aziendale siano soggetti ai termini di conservazione stabiliti dagli artt. 2220 e 2214 del codice civile, posto che tali informazioni non corrispondono alla nozione più limitata di “scritture contabili” alla cui conservazione è tenuta l’impresa anche in ragione della valenza probatoria attribuita alle stesse (v. Cass. civ., Sez. V, 25/03/2003, n. 4329, laddove chiarisce che, oltre ai “libri obbligatori” espressamente menzionati dall’art. 2214 c.c. [libro giornale e libro degli inventari] sono soggette ad obbligo di conservazione le “altre scritture” che siano “richieste” da norme di settore in base alla natura e alle dimensioni dell’impresa, mentre gli ulteriori documenti menzionati dalla norma, in particolare le lettere, oltre ai “telegrammi e fatture” di più agevole identificazione, “sono soltanto le lettere commerciali, ossia le lettere relative agli affari trattati dall'impresa” […] “dalle quali l'art. 2709 c.c., nello statuire che fanno prova contro l'imprenditore, fa scaturire una presunzione (semplice), in sfavore di quest'ultimo, della veridicità di quanto ivi affermato”).

Inoltre, sotto ulteriore profilo, attraverso il sistematico tracciamento dei log e dei contenuti della corrispondenza scambiata, attraverso la posta elettronica aziendale, nonché della navigazione in Internet previsto dal regolamento interno della Società, il titolare del trattamento/datore di lavoro può accedere a informazioni relative a fatti non rilevanti, ai fini della valutazione dell’attitudine professionale del lavoratore, in violazione dell’art. 113 del Codice (in proposito si veda anche il Provvedimento 6/6/2024, n. 364 “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, doc. web n. 10026277; in senso conforme si veda, da ultimo, il Provv. 29/4/2025, n. 243, doc. web n. 10134221: “Come messo in evidenza in numerose circostanze dal Garante e dalla giurisprudenza anche a livello sovranazionale, i log di navigazione in Internet […] possono riguardare aspetti della sfera personale e della vita privata dei dipendenti (art. 8 della Convenzione europea dei diritti dell’uomo e 7 della Carta dei diritti fondamentali dell’Unione europea). […] In tale quadro l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate all’attività lavorativa […] non può infatti giustificare ogni forma di interferenza nella vita privata ma, come tradizionalmente affermato dal Garante, può essere in generale soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire in radice che le eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali “non pertinenti” che ricadono nell’ambito di applicazione dell’art. 113 del Codice”, punto 4.2.; sulla tutela della corrispondenza in ambito lavorativo v. Provv. 21/5/2025, n. 288, doc. web n. doc. web n. 10143261; si veda anche Cass. civ., 19/9/2016, n. 18302, laddove ha chiarito che il divieto posto dall’art. 8, l. 20/5/1970, n. 300, opera anche in caso di “mera acquisizione e conservazione della disponibilità” di dati “che contengono (o possono contenere)” informazioni relative a “opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore”).

I trattamenti effettuati dalla Società, nei termini sopra descritti, sono stati pertanto effettuati in violazione degli artt. 5, par. 1, lett. a) e c) del Regolamento e degli artt. 113 e 114 del Codice in relazione a quanto stabilito dall’art. 88 del Regolamento.

3.3.2 Trattamenti previsti dal regolamento interno del 27/2/2025: conservazione dei log della posta elettronica e della navigazione in Internet e gestione della posta elettronica da parte del dipendente

La Società, nel corso del procedimento davanti al Garante, ha infine provveduto a redigere un’ulteriore versione aggiornata del regolamento interno “SI-D 32 Policy aziendale – Utilizzo strumenti IT”, con il quale i trattamenti relativi all’utilizzo degli strumenti aziendali sono disciplinati diversamente da quanto disposto in precedenza.

In particolare, la Società ha ivi previsto che i controlli “verranno effettuati esclusivamente sui file di log della navigazione in internet e della posta elettronica, mentre l’accesso al contenuto della posta elettronica e, quindi, all’intero data base relativo al singolo account è riservato esclusivamente all’Utente, assegnatario dell’account stesso” (v. regolamento 27/2/2025, p. 23).

La Società, inoltre, in vista della effettuazione dei predetti controlli, ha indicato in sei mesi il tempo di conservazione dei file di log riferiti sia alla posta elettronica aziendale che alla navigazione in Internet.

Più specificamente, poi, si prevede che i controlli sono eseguiti “per finalità espressamente connesse a specifiche esigenze di sicurezza informatica” e in particolare per “adempiere a eventuali obblighi di legge”, per la “soddisfazione di ordini o richieste pervenute da parte dell’Autorità giudiziaria o di altri soggetti pubblici”, nonché per “esigenze di sicurezza del sistema informatico (verifiche di funzionalità del sistema, verifica accessi non autorizzati, presenza o eliminazione di virus, vulnerabilità di assessment, ecc.)” (v. regolamento 27/2/2025, p. 22).

Per quanto riguarda l’indicazione delle specifiche ragioni per le quali è stato individuato un ampio tempo di conservazione dei log della posta elettronica e della navigazione in Internet pari a sei mesi, la Società ha rappresentato la sussistenza di “esigenze di sicurezza del sistema informatico aziendale atteso che una delle più gravi minacce di esfiltrazione dei dati personali e di trattamento illecito sia rappresentato proprio dal proliferare dei c.d. Advanced Persistent Threat (APT), ossia attacchi informatici sistematici particolarmente sofisticati e contraddistinti dalla “persistenza”, intesa come capacità dell’attaccante di mantenere viva e attiva la propria presenza nell’ambiente target per il tempo necessario a concludere il suo obiettivo primario. Seppur variabile, il periodo di tempo di latenza degli APT nell’area EMEA si aggira, in media, 177 giorni”.

Quanto alle modalità della effettuazione dei controlli, con il regolamento interno la Società precisa che questi “saranno posti in essere nel rispetto dei principi di pertinenza e non eccedenza, degli altri principi di cui al Regolamento UE n. 679/2016 e al D.lgs. 196/2003, attuando preferibilmente un controllo preliminare su dati aggregati, riferiti all’intera struttura lavorativa o a sue aree” (v. regolamento 27/2/2025, p. 22).

Per quanto specificamente riguarda i controlli sui log della navigazione in Internet, viene inoltre rappresentato che “I file di log generati dalla connessione ad INTERNET dai PC aziendali (inclusi portatili e smartphone) e tutti i file di log generati dagli accessi alla rete aziendale e internet vengono registrati nel sistema SIEM “Google Security Operations”” (v. regolamento 27/2/2025, p. 16).

Il Garante prende atto con favore della volontà di cooperazione della Società con l’autorità di controllo e, in particolare, della soppressione del riferimento alla possibilità di accedere al contenuto della posta elettronica dei dipendenti (nonché della contestuale introduzione di misure volte a consentire ai dipendenti la possibilità di accedere, tramite rete aziendale, al proprio account privato e, seppure in casi eccezionali, la possibilità di usare la posta aziendale per inviare o ricevere messaggi personali).

Tuttavia, la previsione della sistematica conservazione di tutti i log sia della posta elettronica che della navigazione in Internet, per un periodo temporale ampio pari a sei mesi nei termini su indicati, non è conforme alla disciplina di protezione dei dati, per le ragioni di seguito illustrate.

Il Garante, come già ricordato, ha costantemente ritenuto che anche i dati esteriori delle comunicazioni effettuate mediante la posta elettronica (log della posta, ossia gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto) costituiscano informazioni che afferiscono alla nozione di corrispondenza tutelata dall’ordinamento anche a livello costituzionale (artt. 2 e 15 Cost.).

Ciò, tenuto anche conto che i dati trattati attraverso la posta elettronica, ma anche quelli relativi alla navigazione in Internet, possono avere natura di dati particolari, ossia informazioni che sono protette da particolari forme di tutela atteso il pericolo di discriminazioni o comunque di divulgazione di informazioni in violazione del nucleo essenziale della dignità della persona che il relativo trattamento comporta (art. 9 del Regolamento).

Inoltre, in ambito lavorativo, proprio per scongiurare il pericolo di discriminazioni, è fatto divieto di trattare informazioni che non afferiscano all’attitudine lavorativa dell’interessato (v. art. 113 del Codice; v. anche Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, Provv. 5/8/2019, n. 146, doc. web n. 9124510).

Infatti, la sistematica conservazione, per ampio periodo di tempo, dei log delle comunicazioni effettuate attraverso la posta elettronica e della navigazione in Internet, con la possibilità di accedervi per svolgere attività di controllo, anche qualora esclusivamente e astrattamente riferite alla sfera lavorativa e professionale (secondo quanto disposto nel caso concreto dal disciplinare aziendale) può riguardare – pure incidentalmente - aspetti (es. relazioni sindacali, relazioni tra colleghi anche di tipo privato, stato di salute, etc.) idonei a rivelare, al datore di lavoro, informazioni che, in base all’ordinamento, non devono essere conosciute da quest’ultimo.

Alla luce di tali considerazioni, il Garante ha ritenuto che, nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi di posta elettronica aziendale oggetto di corrispondenza e, con riguardo ai dati relativi alla navigazione Internet, alla luce dei concreti rischi di trattamento di dati non pertinenti ed eccedenti, ha raccomandato di adottare, per quanto possibile, misure idonee a prevenire l’effettuazione di controlli successivi sul lavoratore, tenendo conto delle peculiarità proprie di ciascuna organizzazione produttiva e dei diversi profili professionali oppure, in caso di controlli lecitamente attivati, di effettuare trattamenti in forma anonima o su dati aggregati e di conservare, eventualmente, i dati raccolti solo per il tempo strettamente necessario al perseguimento di finalità ammesse dall’ordinamento (v. punto 5.2 lett. a) e b), delle "Linee guida del Garante per posta elettronica e Internet" del 1° marzo 2007, n. 13, doc. web n. 1387522).

Per quanto riguarda, in particolare, il trattamento dei dati personali contenuti nei log della posta elettronica aziendale effettuato attraverso l’impiego di appositi programmi e servizi informatici, il Garante ha poi fornito indicazioni di carattere generale con il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provv. 6/6/2024, n. 364, doc. web n. 10026277).

Con il predetto documento, l’Autorità ha rammentato che, anche in relazione al trattamento dei log della posta elettronica aziendale, il datore di lavoro, in qualità di titolare del trattamento, è tenuto a verificare che i trattamenti, conformemente al principio generale di liceità (v. artt. 5, par. 1, lett. a), e 6 del Regolamento), siano effettuati in presenza di una idonea base giuridica, nel rispetto delle condizioni e delle garanzie stabilite dall’ordinamento in caso di impiego di strumenti tecnologici nel contesto lavorativo (v. art. 88 del Regolamento).

Come già indicato nel precedente paragrafo relativamente al trattamento di dati riferiti alla posta elettronica aziendale e alla navigazione in Internet, tali specifiche condizioni e garanzie sono richiamate come condizioni di liceità del trattamento dall’art. 114 del Codice, che rinvia all’osservanza di quanto stabilito dall’art. 4, l. 20 maggio 1970, n. 300 in materia di controlli a distanza dell’attività dei lavoratori.

Inoltre, il datore di lavoro è tenuto a rispettare il divieto di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (v. art. 113 del Codice che richiama gli artt. 8, l. 20 maggio 1970, n. 300 e 10 d.lgs. 10 settembre 2003, n. 276 come condizione di liceità del trattamento; con riguardo a quanto stabilito dall’art. 8, l. n. 300 del 1970, Cass. civ., 19/9/2016, n. 18302, cit., ha chiarito che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata […] anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa”; v. Provv. 21/5/2025, n. 288, doc. web n. 10143261).

Ciò posto, con riferimento al trattamento dei log della posta elettronica per finalità di sicurezza del sistema informatico aziendale, la Società ha dunque individuato un periodo di conservazione pari a sei mesi superiore (largamente) al termine ritenuto dall’Autorità in termini generali congruo in relazione alla necessità di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica con il predetto documento di indirizzo, ossia 21 giorni, senza fornire adeguati elementi di valutazione al riguardo.

L’eventuale conservazione per un termine superiore a quello indicato dall’Autorità, ma comunque proporzionato rispetto alle finalità perseguite, può essere infatti prevista, qualora sussistano particolari condizioni che ne rendano necessaria l’estensione, comprovando però, in applicazione del principio di accountability (v. art. 5, par. 2 del Regolamento), le specificità della realtà tecnica e organizzativa del titolare.

Resta inteso che l’attività di raccolta e conservazione dei log, per un periodo di tempo più esteso, rispetto a 21 giorni, o al termine superiore individuato in base alla specificità del caso concreto, poiché comporta la possibilità di effettuare anche attività di controllo a distanza dei dipendenti, dovrà essere svolta solo dopo aver attivato le procedure di garanzia previste dalla disciplina di settore, sopra richiamate (v. art. 114 del Codice e il già citato documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”; v. anche, sul punto, Provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).

Le medesime considerazioni sono applicabili al trattamento dei log della navigazione in Internet, raccolti e conservati dalla Società per sei mesi, per finalità di sicurezza del sistema informatico.
In proposito, la Società, pur avendo rappresentato di operare in un settore “particolarmente critico, avendo in carico la sicurezza di numerosi enti pubblici e aziende private di rilevanza nazionale”, non ha però indicato le specificità della propria realtà tecnica e organizzativa che renderebbero necessario adottare un termine di conservazione ampio pari a sei mesi.

Ciò, tenuto anche conto che il tempo di conservazione dei log per finalità di sicurezza informatica, in applicazione del principio generale di limitazione della conservazione, deve essere individuato, dal titolare del trattamento, in un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure (v. art. 5, par. 1, lett. e), del Regolamento; v. altresì par. 4.3 del richiamato documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”; per un caso concreto di individuazione dei tempi di conservazione dei log della posta elettronica e della navigazione in Internet v. Provv. 29/4/2025, n. 243, doc. web n. 10134221, cit., che fa riferimento alla conservazione per 90 giorni dei log della navigazione in Internet e della posta elettronica, nel rispetto delle procedure di garanzia in materia di controlli a distanza).

Con specifico riferimento, poi, alla conservazione dei log della navigazione in Internet pari a sei mesi, si rileva che il regolamento interno del 27/2/2025 prevede che le attività di controllo sui predetti file sono preordinate non solo al perseguimento di “specifiche esigenze di sicurezza informatica” (v. regolamento cit., p. 22) bensì anche alla verifica dell’osservanza, da parte dei dipendenti, delle regole stabilite per il corretto utilizzo dei servizi Internet, ciò mediante “l’analisi manuale o automatica dei log generati dai vari sistemi aziendali (SIEM)” (v. regolamento cit., p. 17).

Alla luce del contenuto delle regole al cui rispetto è preordinata l’analisi dei log, emerge che tali ulteriori attività di verifica esulano dalle operazioni necessarie ad assicurare il funzionamento delle infrastrutture della posta elettronica e il soddisfacimento delle essenziali garanzie di sicurezza informatica, consistendo piuttosto in un controllo sul corretto adempimento delle prescrizioni impartite dal datore con riguardo all’utilizzo di Internet (tra i comportamenti non consentiti ai dipendenti, a titolo esemplificativo si riportano i seguenti: “Accedere a siti dal contenuto non attinente allo svolgimento dell’attività lavorativa”, “Accedere a siti INTERNET che abbiano un contenuto contrario a norme di legge e a norme a tutela dell’ordine pubblico”, “ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on line e simili, salvo i casi direttamente autorizzati dalla Direzione”, “Accedere, attraverso le apparecchiature della SOCIETÀ, a qualsivoglia gruppo di discussione o conferenza in rete (es: chat, gruppi whatsapp) o banche dati esterne, con la sola esclusione di quelli espressamente autorizzati”, “Utilizzare INTERNET in violazione delle norme in vigore dell’ordinamento giuridico italiano a tutela del diritto d’autore”, “Collegarsi a siti web al fine di ascoltare musica e/o stazioni radio e/o visionare filmati/video non inerenti all’attività professionale”, “Utilizzare le risorse dei server aziendali per la memorizzazione di materiale privato, personale o non attinente all’attività lavorativa”, “Pubblicare su internet tramite social o siti web, materiali o informazioni riguardanti il Gruppo Sicuritalia (software, comunicazioni interne, rassegne stampe, etc.), salvo che tali pubblicazioni siano state previamente approvate dalla Direzione”).

Pertanto, la Società non ha provveduto ad applicare le richiamate disposizioni in materia di controlli, né ha dichiarato di voler provvedere in tal senso, sia con riguardo ai tempi di conservazione dei log della posta elettronica e della navigazione in Internet, sia in relazione alle specifiche attività di verifica sulle condotte dei dipendenti che utilizzano la rete Internet.

Il fatto che la Società, come dedotto nelle memorie difensive, dichiari di non finalizzare la conservazione dei contenuti (con accesso riservato ai dipendenti) e dei log della posta elettronica aziendale “a controllare o accertare l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro”, non comporta che non sia applicabile la disciplina sui controlli posto che, come visto, tale disciplina è preordinata ad introdurre garanzie proprio nel caso in cui siano utilizzati strumenti tecnologici che, pur dovendo essere impiegati esclusivamente per finalità diverse, consentono l’effettuazione di controlli a distanza anche solo a livello potenziale.

Né può essere accolta l’obiezione secondo la quale i programmi e i servizi informatici, attraverso i quali opera la raccolta e la conservazione dei log della posta elettronica, debbano essere, in quanto “strumenti di lavoro”, sottratti all’operatività della disciplina lavoristica di garanzia (art. 4, co. 1, l. n. 300/1970), considerato che, come già sopra rilevato con riguardo all’impiego di sistemi che consentono la conservazione sistematica del contenuto delle e-mail e dei file di log generati dall’utilizzo di posta elettronica e della navigazione in Internet, tali programmi e servizi non sono indispensabili per rendere la prestazione lavorativa e operano in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (che infatti non ne percepisce l’operatività).

Pertanto, i descritti trattamenti si pongono in violazione di quanto stabilito dall’ordinamento, in materia di controlli a distanza, che, come più volte qui ricordato, consente l’effettuazione di controlli attraverso l’impiego di strumenti tecnologici, solo al ricorrere di finalità tassativamente individuate dalla norma (“esigenze organizzative  e produttive, per la sicurezza del lavoro per la tutela del patrimonio aziendale”), tra le quali non rientra la verifica dell’osservanza di regole aziendali interne (v. artt. 5, par. 1, lett. a) e 88 del Regolamento in relazione all’art. 114 del Codice, che richiama l’art. 4, comma 1, l. 20 maggio 1970, n. 300).

Infine, per quanto riguarda la conservazione delle e-mail contenute nell’account di posta elettronica con possibilità di accesso riservato esclusivamente all’intestatario dell’account (v. regolamento cit., p.23), si ritiene che, in applicazione dei principi di liceità e minimizzazione, la Società dovrà adottare misure di tipo organizzativo e tecnologico volte ad impedire l’accesso all’archivio a soggetti diversi dall’intestatario, se non su richiesta dell’intestatario stesso della casella, per finalità di assistenza (v. anche Provv. 1/2/2018, n. 53, doc. web n. 8159221, con il quale il Garante ha già stabilito, in un caso concreto, che il datore di lavoro può mettere a disposizione dei dipendenti l’accesso alle email scambiate attraverso il proprio account aziendale, fermo restando che “al database relativo al singolo account, così costituito, può avere accesso (anche effettuando le operazioni consentite dal sistema) solo l’interessato, intestatario dell’account stesso”).

Nel caso in cui invece, pur a seguito della necessaria applicazione di misure di limitazione dell’accesso, sia possibile per il titolare accedere alle e-mail per finalità consentite all’ordinamento e con modalità in concreto conformi ai principi di protezione dei dati (trasparenza, limitazione della finalità, minimizzazione, integrità e riservatezza), dovranno essere previamente esperite le procedure richiamate dall’art. 114 del Codice (accordo con le rappresentanze dei dipendenti o, in mancanza, autorizzazione dell’Ispettorato del Lavoro).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente la sistematica raccolta, con possibilità di accesso da parte del titolare, dei dati contenuti nella posta elettronica e dei log della posta elettronica e della navigazione in Internet, stabilito, nei termini su esposti, dai regolamenti aziendali, risulta infatti illecito in relazione agli artt. 5, par. 1, lett. a), c), e) e 88 del Regolamento e agli artt. 113 e 114 del Codice.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, come ritenuto dalla Società, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento dei dati (liceità, minimizzazione, limitazione della conservazione) e le disposizioni più specifiche in materia di controlli a distanza.

L’Autorità ha altresì tenuto conto del livello elevato di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone il divieto del trattamento dei dati raccolti illecitamente e l’irrogazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. f) e i) Regolamento).

5 Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta pertanto che Sicuritalia S.p.A. ha violato gli artt. 5, par. 1, lett. a), c), e) e 88 del Regolamento e artt. 113 e 114 del Codice.

Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e d) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Sicuritalia S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia elevato, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali del trattamento e disposizioni più specifiche in materia di controlli a distanza); in relazione alla gravità della violazione è stata presa in considerazione la natura del trattamento che ha riguardato la sistematica registrazione e conservazione di comunicazioni effettuate dai dipendenti (interessati vulnerabili) e dei log della navigazione in Internet;

b) con riguardo alla durata della violazione, è stata considerata rilevante la estesa durata della violazione stessa (l’intera durata del rapporto di lavoro più un ulteriore periodo dopo la cessazione dello stesso); è stato altresì considerato il numero considerevole di interessati coinvolti (7.862 dipendenti alla data del 31/12/2024);

c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta  della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni; in particolare la Società ha acceduto alla posta elettronica del reclamante nonostante lo stesso non avesse apposto la propria sottoscrizione nella apposita sezione del modulo, inoltre la Società ha previsto in via generale la conservazione dei dati contenuti nella posta elettronica e tratti dalla navigazione in Internet dei propri dipendenti con possibilità di accedervi per una pluralità di scopi;

d) a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di modificare nel corso del procedimento la configurazione dei sistemi che consentono la raccolta e l’accesso ai dati trattati attraverso la posta elettronica e la navigazione in Internet.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2024, ultimo disponibile.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Sicuritalia S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 500.000 (cinquecentomila).

In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato il trattamento di dati relativo all’utilizzo della posta elettronica e di Internet da parte dei dipendenti nel corso del rapporto di lavoro, consistente nella raccolta sistematica delle informazioni e la possibilità di accesso alle stesse da parte della Società in relazione ad una pluralità di scopi.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Sicuritalia S.p.A., in persona del legale rappresentante, con sede legale in Via Belvedere, 2/A, Como (CO), C.F. 07897711003, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), c), e) e 88 del Regolamento e degli artt. 113 e 114 del Codice;

ORDINA

a Sicuritalia S.p.A.:

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto dell’accesso da parte della Società al contenuto dei dati raccolti e conservati sui sistemi aziendali relativi alla posta elettronica aziendale e alla navigazione in Internet, nei termini descritti in motivazione;

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 500.000 (cinquecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di 500.000 (cinquecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza