Provvedimento del 12 febbraio 2026 [10230220]
Provvedimento del 12 febbraio 2026 [10230220]
Condividi[doc. web n. 10230220]
Provvedimento del 12 febbraio 2026
Registro dei provvedimenti
n. 82 del 12 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato dalla Sig. XX nei confronti di Based s.r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo nei confronti della Società e l’attività istruttoria.
Con reclamo del 9 gennaio 2025, il Sig. XX ha lamentato presunte violazioni del Regolamento (Ue) 2016/679 (di seguito “Regolamento”) da parte di Based s.r.l. (di seguito, la Società), con particolare riferimento all’inidoneo riscontro ricevuto a fronte dell’esercizio del diritto di accesso dell’interessato all’account di posta elettronica, a suo tempo assegnato nell’ambito di un rapporto di collaborazione, e del diritto di cancellazione avente ad oggetto il medesimo account.
Con il reclamo, in particolare, è stato lamentato che, a seguito dell’esercizio del diritto di accesso ai dati contenuti nell’account di posta elettronica di tipo individualizzato (XX), dopo che al reclamante è stato inibito l’accesso all’account medesimo, in prossimità della cessazione del rapporto di lavoro avvenuta in data 31 dicembre 2023, la Società ha fornito un riscontro ritenuto inidoneo.
Infatti, a fronte della lettera inviata via Pec in data 2/1/2024, con la quale, facendo espresso riferimento agli artt. 15-22 del Regolamento, il reclamante ha chiesto alla Società “l’accesso all’account al fine di trasporre su supporto informatico i dati personali che mi riguardano compresi quelli contenuti nella corrispondenza - professionale e privata - in tal modo conservata” nonché, successivamente all’accesso, “l’immediata chiusura ed eliminazione dell’account [e la] immediata distruzione di ogni eventuale copia dei miei dati e della mia corrispondenza […] estratti dall’account in questione”, la Società, con nota di riscontro del 12/1/2024, quanto alla richiesta di accesso, ha sostenuto che l’istanza riguardava “presunti dati personali”, mentre, con riferimento alla richiesta di cancellazione, ha rappresentato di aver “prontamente disattivato come doveroso” l’account di posta aziendale assegnato al reclamante nel corso del rapporto di lavoro, senza tuttavia fornire specifici elementi a supporto di quanto affermato.
Peraltro, a tale ultimo proposito, il reclamante lamenta, invece, di aver avuto evidenza della persistente attività dell’account (v. All. 6 al reclamo) e che la Società abbia acceduto ad alcuni file presenti nell’account stesso.
Il reclamante, infine, ha dichiarato che, in occasione dell’assegnazione dell’indirizzo di posta aziendale, la Società non avrebbe fornito “alcuna policy di utilizzo e/o informativa privacy” relativa al corretto utilizzo dello stesso.
Con il reclamo, di conseguenza, è stato chiesto al Garante di “[i]ngiungere al titolare del trattamento di fornire immediato riscontro alle richieste di esercizio dei diritti riconosciuti dagli artt. 15-22 del GDPR, incluse le richieste di accesso, portabilità e cancellazione dei dati personali presenti nell’account [oggetto di reclamo]”, nonché di “[i]mporre una limitazione provvisoria o definitiva al trattamento dei dati personali relativi all’account” e “[g]arantire il rispetto del diritto di accesso e portabilità dei dati personali”.
È stata pertanto avviata un’istruttoria preliminare, con nota del 18/2/2025, con la quale la Società è stata invitata ad aderire alle richieste dell’interessato e a fornire comunque un riscontro sui fatti oggetto di reclamo.
La Società, nel fornire riscontro alla richiesta dell’Autorità, con nota del 28 marzo 2025, ha rappresentato che:
- “La scrivente società e il [reclamante] hanno stipulato in data 31.12.2022 un accordo quadro di collaborazione con durata dal 01.01.2023 al 31.12.2023 […]. Tale contratto conferiva al [reclamante] l’incarico di consulente esperto in IT Marketing, CRM, Data Analyst, definendo correttamente il medesimo quale professionista autonomo” (riscontro 28/3/2025, p. 1);
- “Le parti convenivano […] che il consulente avrebbe dovuto “utilizzare l’indirizzo mail fornito da Based in relazione alla corrispondenza sia con il Cliente che con tutti i collaboratori di Based. È pertanto vietato l’utilizzo di email proprie o di aziende terze”” (riscontro cit., p. 2);
- “In esecuzione del contratto veniva, quindi, aperto un account di proprietà aziendale e, precisamente, XX, che, conformemente alla disciplina contrattuale sopra riportata, poteva essere utilizzato dal consulente esterno, esclusivamente per la corrispondenza professionale con i clienti e con tutti i collaboratori di Based e non per altri scopi, men che meno, personali” (riscontro cit., p. 2);
- “La società riconosce […] di non aver consegnato alcuna specifica informativa privacy al [reclamante] ritenendo che in virtù delle disposizioni contrattuali, sia la mail, sia, in generale, l’account di Google Workspace - strumenti tutti rientranti tra quelli individuati contrattualmente come “strumenti di pianificazione, gestione, archiviazione ed interazione aziendale” utilizzati dalla Società - fossero di esclusiva proprietà aziendale e che dunque il loro utilizzo per finalità e questioni private e per comunicazioni che non fossero indirizzate ai clienti e agli altri collaboratori della Società fosse contrattualmente inibito al professionista autonomo” (riscontro cit., p. 3);
- “Terminato il rapporto, il [reclamante] inviava la comunicazione via PEC in data 2 gennaio 2024 […], nella quale tra l’altro, formulava una richiesta di accesso all’account fornitogli dalla Based, lamentando di aver riscontrato l’impossibilità di accedervi, chiedendo conto dell’eventuale trattamento degli anzidetti suoi dati personali, nonché di distruggere questi ultimi una volta consentitogli l’accesso; nella medesima comunicazione, inoltre, il reclamante si diceva disponibile “pro bono pacis” a valutare una soluzione bonaria dell’“intera vicenda”, minacciando, diversamente, di agire giudizialmente” (riscontro cit., p. 4);
- “Seguiva, in data 8 gennaio 2024, un’ulteriore comunicazione via PEC, con la quale si sollecitava il pagamento di una fattura, emessa il precedente 2 gennaio 2024 […], ed, infine, in data 11 gennaio 2024 perveniva la PEC del legale del [reclamante] che diffidava Based al pagamento della medesima fattura, minacciando, che in caso contrario avrebbe intrapreso un’azione giudiziaria contro la Società […]. A tale ultima comunicazione Based rispondeva per il tramite del proprio legale, con la PEC in data 12 gennaio 2024 […], nella quale, oltre a rilevarsi l’infondatezza della pretesa avanzata dal legale avversario e a manifestarsi l’intenzione della società di tutelare i propri diritti […], si chiariva […] che del tutto legittimamente, la Società aveva provveduto a disattivare l’account” (riscontro cit., p. 4-5);
- “nei giorni tra il 5 ed il 10 gennaio 2023 [sic], essendo pervenuto a scadenza il precedente 31 dicembre 2023 l’accordo quadro di collaborazione […] con il [reclamante], e visto anche che quest’ultimo si mostrava sempre più ostile avanzando nei suoi confronti indebite pretese e minacciando plurime iniziative legali, aveva provveduto a disattivare l’account in precedenza assegnato al reclamante. […] l’account […] veniva, quindi, disattivato nei primi giorni del gennaio 2024, per poi essere definitivamente cessato in data 03.01.2025 così come risulta dal report che si offre in produzione” (riscontro cit., p. 4-5);
- “la mancata indicazione di una precisa data in relazione alla disattivazione dell’account - contrariamente all’individuazione esatta della data della cancellazione dell’account avvenuta in data 03.01.2025 (e quindi precedentemente alla notifica del reclamo) - è dovuta unicamente al fatto che nel sistema di conservazione dei dati degli eventi log amministrativo fornito da Google, per la piattaforma Google WorKspace il termine di conservazione dei medesimi è pari a 6 mesi” (riscontro cit., p. 5);
- “Based s.r.l. non attua alcuna forma di conservazione del contenuto degli account di posta elettronica dei collaboratori e, conseguentemente, dal giugno 2024, Based non è più in grado e/o comunque è impossibilitata ad indicare la data esatta di disattivazione dell’account avvenuta all’interno di un periodo limitato intercorrente tra il 5 ed il 10 gennaio 2024 e subito dopo il termine del rapporto contrattuale” (riscontro cit., p. 6);
- “La società ha ritenuto di non fornire ulteriore, specifico riscontro in quanto all’interno dell’account di posta elettronica non avrebbero dovuto essere legittimamente presenti dati personali del consulente esterno, bensì dati di esclusiva proprietà della società, oppure dati personali dei clienti terzi” (riscontro cit., p. 7);
- “accogliendo la richiesta di Codesto Ufficio, Based s.r.l. è pienamente disponibile a comunicare al [reclamante] la circostanza che a seguito della cessazione del rapporto di collaborazione l’account creato dalla società è stato disattivato in una data compresa tra il 05.01.2023 [sic] e il 10.01.2024 a seguito della cassazione del rapporto di lavoro e definitivamente cancellato in data 03.01.2025 e che nessun dato personale è stato trattato dalla Società in violazione dei principi di necessità, correttezza, pertinenza e non eccedenza” (riscontro cit., p. 8);
- “È […] possibile fornire prova del fatto che la mail era disattivata e non riceveva comunicazioni da altri indirizzi di posta elettronica come si evince dalla prova effettuata in data 15.11.2024 e 18.12.2024” (riscontro cit., p. 9);
- “L’unico trattamento posto in essere dalla società ha riguardato soltanto i dati relativi alla intestazione della casella mail e, quindi, il nome ed il cognome dell’odierno reclamante” (riscontro cit., p. 10);
- “Il secondo trattamento, sempre limitatamente al nome ed al cognome del reclamante relativi all’intestazione della casella mail, è consistito nella temporanea conservazione dell’account in stato inattivo […] ed è avvenuto per finalità di tutela dei diritti della società in sede giudiziaria in considerazione delle effettive iniziative precontenziose e contenziose poste in essere dall’odierno reclamante” (riscontro cit., p. 10);
- “attualmente la società ha implementato la contrattualistica in relazione al pieno rispetto della normativa in materia di protezione dei dati personali, provvedendo ad inserire nei contratti di collaborazione sottoscritti con i lavoratori una specifica disciplina riguardante il trattamento dei dati personali del lavoratore […], nonché una informativa privacy […] ed a sottoporre allo stesso il regolamento per l’uso degli strumenti informatici ove è specificatamente disciplinato l’utilizzo della posta elettronica aziendale” (riscontro cit., p. 11).
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.
Il 18 luglio 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 12, 13, 15 e 17 del Regolamento.
Con le memorie difensive inviate in data 12 agosto 2025, la Società ha rappresentato che:
il reclamante “successivamente al termine del rapporto di collaborazione, in assenza della necessaria autorizzazione, tentava di accedere all’account individualizzato - prontamente disattivato dalla società committente al termine del rapporto” (nota 12/8/2025, p. 2);
“nelle comunicazioni inviate alla Società del 2 e 4 gennaio 2024 […] il reclamante non ha richiesto alla Società - così come impone testualmente la norma - la previa conferma o meno dell’esistenza di un trattamento in corso, legittima e rituale istanza che avrebbe consentito a Based di valutare la medesima in maniera puntuale attraverso la relativa ricognizione e la successiva individuazione dell’eventuale trattamento svolto” (nota cit., p. 2);
“Il richiamo all’esercizio dei diritti di cui all’art. 15 e ss. del Regolamento, infatti, non esimeva il reclamante dal formulare una richiesta di accesso secondo il canone prescritto dalla norma e nel rispetto della base giuridica per esercitare tali diritti al fine di consentire alla Società […] di svolgere le comunicazioni dovute” (nota cit., p. 3);
“Il reclamante individua il file .docx “risoluzione” […] che assume essere un documento di sua proprietà in quanto asseritamente creato dal medesimo “per riassumere i punti di una riunione della società Based s.r.l. tenutasi nei giorni precedenti e proporre così una lettera di intenti per il prosieguo dell’attività”. Dall’ esame del suddetto file può tuttavia facilmente notarsi che in esso non vi è traccia di alcun dato del reclamante” (nota cit., p. 4);
“l’unico trattamento ancora in corso successivamente alla disattivazione dell’account era rappresentato nella mancata definitiva cancellazione dell’account sino alla data del 3.01.2025 e, conseguentemente, il diritto ad accedere ai dati personali ex art. 15 del Regolamento può essere declinato solo in relazione a tale unico residuale trattamento” (nota cit., p. 4);
“Sul punto risulta […] che Based, a mezzo del proprio legale, in data 12.01.2024 […] ha comunque tempestivamente riscontrato (anche in relazione al termine di 30 giorni dettato dall’art. 12 del Regolamento) le irrituali istanze di accesso all’account comunicando in maniera chiara al legale dell’interessato la disattivazione dell’account” (nota cit., p. 4-5);
la Società “riteneva in buona fede che l’account di Google Workspace comprensivo dell’indirizzo di posta elettronica […] fossero di esclusiva proprietà aziendale e che il loro utilizzo per finalità e questioni private e per comunicazioni che non fossero indirizzate ai clienti e agli altri collaboratori della Società fosse contrattualmente inibito al professionista autonomo e che, allo stesso tempo, in virtù del medesimo contratto […] i documenti all’interno di tale account fossero da considerarsi pacificamente tutti di proprietà dell’azienda” (nota cit., p. 5);
la Società altresì “precisa che ad oggi non risulta provato che vi fossero dei dati personali all’interno dell’account all’interno. In ogni caso anche se vi fossero stati dati personali l’unico trattamento effettuato è stato quello relativo alla temporanea conservazione dell’account disattivato” (nota cit., p. 5);
“l’accesso all’account non è più possibile essendo stato lo stesso definitivamente eliminato” (nota cit., p. 7);
“la Società - preso atto della insufficienza dei presidi volti alla tutela dei dati personali ha immediatamente dato mandato di predisporre l’informativa privacy […] da consegnare a tutti i collaboratori e ha adottato il Regolamento per l’utilizzo degli strumenti informatici […]. Peraltro […] Based ha conferito in data 29 luglio 2025 […] ulteriore mandato […] al fine di verificare la piena conformità della propria architettura privacy alla normativa ed alle decisioni adottate dal Codesto Garante in materia di trattamenti dei dati contenuti nella posta elettronica nel contesto lavorativo” (nota cit., p. 7);
“Risulta incontestato che il [reclamante], dopo aver minacciato azioni legali, abbia depositato in data 22.02.2024 un’istanza di mediazione al fine di procedere giudizialmente e che solo in data 30.04.2024 il procedimento radicato con la predetta istanza è terminato con un verbale di mancato accordo” (nota cit., p. 9);
“con la comunicazione del 12.01.2024 […] la Società oltre a comunicare la disattivazione immediata dell’account, a fronte delle istanze e delle condotte poste in essere dal reclamante, comunicava al medesimo - “l’intenzione tutelare i propri diritti violati dalle condotte illegittime ed antigiuridiche” […]. La Società, pertanto, a scopo precauzionale, ha ritenuto opportuno mantenere l’account disattivato, inaccessibile e sospeso senza tuttavia cessarlo immediatamente, onde non rischiare di essere accusata anche di volere, attraverso detta cancellazione, ostacolare eventuali attività di indagine che l’autorità giudiziaria avesse inteso svolgere” (nota cit., p. 9);
“trascorso circa un anno dalla denuncia - querela (18 gennaio 2024) senza che giungesse […] alcuna informazione di garanzia relativa ad indagini in corso […], la Società, ritenendo probabile l’archiviazione della denuncia querela, e considerando anche i costi necessari per continuare a mantenere l’account disattivato senza tuttavia cancellarlo, in data 3.01.2025, in esito ad un corretto bilanciamento degli interessi coinvolti, decise di cancellarlo del tutto” (nota cit., p. 9);
“si precisa che non è stato svolto alcun reindirizzamento dell’account ad altro indirizzo di posta elettronica nella disponibilità della società né alcun accesso all’interno del medesimo” (nota cit., p. 10);
“La Società, in un’ottica collaborativa e non oppositiva e/o defatigatoria ha già riconosciuto […] di non aver consegnato al collaboratore l’informativa prevista dall’art. 13 del Regolamento”; inoltre, in proposito, si evidenzia che “La Società, essendosi affidata ad una professionista con specifiche competenze in materia di privacy, ha ritenuto - in buona fede - di aver adempiuto a tutte le obbligazioni nascenti dalla normativa di settore, compresa quella relativa alla correttezza del proprio operato in materia di informativa ai collaboratori dei loro diritti in materia di protezione dei dati personali e dell’utilizzo ai predetti fini degli strumenti aziendali” (nota cit., p. 11);
“la Società - preso atto della assenza dell’informativa così come rilevato da Codesta Autorità - ha immediatamente dato mandato di predisporre l’informativa privacy da consegnare a tutti i collaboratori […] e ha adottato il Regolamento per l’utilizzo degli strumenti informatici” (nota cit., p. 12).
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
3.1 Il quadro normativo applicabile.
L’art. 5 del Regolamento indica i principi generali applicabili al trattamento dei dati personali, in particolare i principi di liceità, correttezza e trasparenza (par. 1, lett. a).
In materia di esercizio dei diritti da parte dell’interessato, l’art. 15, par. 1 del Regolamento stabilisce che “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).
In base all’art. 17 del Regolamento, “L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali” qualora ricorrano determinati motivi (tra i quali: “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”, oppure “l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2”).
Quanto alle specifiche modalità di riscontro alle richieste di esercizio dei diritti, ai sensi dell’art. 12 del Regolamento, “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”. Inoltre, il paragrafo 4 dell’art. 12 del Regolamento stabilisce che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
Ai sensi dell’art. 13 del Regolamento, in applicazione del principio generale di trasparenza, il titolare è tenuto a fornire informazioni specifiche sulle caratteristiche principali dei trattamenti prima che questi siano effettuati.
3.2 L’esito dell’istruttoria. Violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento. Diritto di accesso.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Premesso che la valutazione dell’Autorità riguarda esclusivamente i profili di protezione dei dati personali, ad esclusione dunque di quelli che attengono ad aspetti prettamente lavoristici, nel merito risulta accertato che il reclamante, dopo la cessazione del rapporto di lavoro con la Società (a seguito della scadenza del rapporto di collaborazione avvenuto, secondo quanto dichiarato dalla Società, in data 31/12/2023), con comunicazione inviata via Pec il 2/1/2024 ha esercitato il diritto di accesso all’account di posta elettronica di tipo individualizzato assegnato nell’ambito del rapporto di collaborazione instaurato con la Società e il diritto di cancellazione dei dati (nello specifico l’account medesimo, essendo venuto meno il rapporto lavorativo con il titolare del trattamento che era all’origine dell’assegnazione dello stesso), facendo espresso riferimento ai diritti previsti dagli artt. 15-22 del Regolamento (“con la presente […] sono costretto ad esercitare i miei diritti di protezione dei dati personali di cui agli artt. 15-22 del Regolamento (UE) 2016/679. […] invito […] a cessare qualunque ulteriore trattamento dei miei dati estratti dall’account Google e da tutti i servizi a cui sono registrato tramite lo stesso, e a voler permettermi l’accesso all’account al fine di trasporre su supporto informatico i dati personali che mi riguardano compresi quelli contenuti nella corrispondenza -professionale e privata - in tal modo conservata. Non appena espletata tale attività da parte del sottoscritto, dovrai provvedere all’immediata chiusura ed eliminazione dell’account”: v. All. 5 al reclamo).
Tale richiesta è stata poi rinnovata, in termini sintetici, con comunicazione Pec del 4/1/2024 (“facendo seguito alla inevasa richiesta a mezzo pec del 02/01/2024 di esercizio dei miei diritti in materia di dati personali, sollecito immediato riscontro circa l’accesso abusivo al mio account Google Workspace che ha comportato la violazione della mia privacy e corrispondenza”: v. All. 8 al reclamo).
La Società, con nota inviata via Pec il 12/1/2024, oltre alla trattazione di specifici profili lavoristici relativi al cessato rapporto di lavoro, con riguardo alla menzionata istanza di esercizio dei diritti si è limitata a rappresentare che il reclamante aveva formulato “una richiesta di accesso all’account fornitogli dalla Based a norma dell’Accordo di collaborazione in data 31 dicembre 2022, esclusivamente per le comunicazioni con i propri clienti e collaboratori, per poter accedere a presunti dati personali, lamentando di aver riscontrato l’impossibilità di accedervi, chiedendo conto dell’eventuale trattamento degli anzidetti dati personali, nonché di distruggere questi ultimi una volta consentitogli l’accesso”. In relazione alla predetta “richiesta di accesso”, con il riscontro non è stata fornita alcuna espressa risposta, neanche di contenuto negativo.
Pertanto, la Società, seppure nel contesto di contrasti tra le parti circa modalità e conseguenze della chiusura del rapporto di collaborazione, con specifico riguardo alla richiesta di esercizio del diritto di accesso da parte del reclamante, non ha dato corso alla richiesta stessa, assumendo che nell’account non vi fossero dati personali riferiti all’interessato (qualificati come “presunti dati personali”).
Ciò sulla base della considerazione che, in base al contratto di collaborazione, l’indirizzo di posta elettronica veniva assegnato “esclusivamente per le comunicazioni con i propri clienti e collaboratori”.
Né sul punto può essere accolto quanto dedotto con le memorie difensive della Società, ossia che l’istanza di accesso non avrebbe avuto le caratteristiche descritte dall’art. 15 del Regolamento. Infatti con la richiesta formulata il 2/1/2024 l’interessato ha fatto espresso riferimento all’accesso all’account a suo tempo assegnatogli, nel quadro dell’esercizio dei diritti stabiliti dagli artt. 15-22 del Regolamento.
Dunque, il titolare del trattamento è stato posto nella condizione di comprendere l’esatto contenuto della richiesta e la base giuridica della stessa. In ogni caso si rammenta in proposito che, secondo quanto indicato nelle Guidelines 01/2022 on data subject rights - Right of access, EDPB, del 28 marzo 2023, “il GDPR non impone agli interessati alcun requisito in merito alla forma della richiesta di accesso ai dati personali” (punto 52).
La condotta della Società non è stata pertanto conforme a quanto prescritto dalle norme poste in materia di protezione dei dati personali, laddove prevedono che l’interessato ha il diritto “di ottenere l’accesso ai dati personali” che lo riguardano (art. 15, par. 1, del Regolamento).
Con specifico riguardo alla qualificazione delle informazioni contenute nell’indirizzo di posta elettronica aziendale quali “dati personali”, in primo luogo si rileva che il fatto che il contratto tra le parti (peraltro caratterizzato dalla “autonoma organizzazione dei mezzi necessari alla esecuzione delle prestazioni […] affidate”) avesse previsto che “il Consulente dovrà utilizzare l’indirizzo e-mail fornito da Based in relazione alla corrispondenza sia con il Cliente che con tutti i collaboratori di Based s.r.l. È pertanto vietato l’utilizzo di e-mail proprie o di aziende terze” (art. 2, lett. b, Accordo quadro di collaborazione, All. 1, nota 28/3/2025) ha comportato esclusivamente l’obbligo, per il consulente, di utilizzare l’account assegnato - e non altri - al fine della gestione dei rapporti con i clienti e gli altri collaboratori.
Non si evince pertanto dal contratto, come invece sostenuto dalla Società, l’obbligo di utilizzare il predetto indirizzo e-mail “esclusivamente” per i rapporti con i clienti gli altri collaboratori. Né sono rintracciabili altrove indicazioni fornite dalla Società circa il corretto utilizzo dei dispositivi forniti nell’ambito del rapporto di lavoro, considerato che al reclamante non è stata fornita alcuna informativa.
In ogni caso, si osserva che, in base alla definizione di “dato personale” contenuta nel Regolamento (art. 4, n. 1) e conformemente a quanto ritenuto dalla giurisprudenza della CEDU nonché dal Garante nelle proprie decisioni, la tutela della riservatezza si estende anche all’ambito lavorativo, tenuto conto, in particolare, che lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", provv. 1/3/2007, in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b; v., da ultimo, provv. n. 589 del 9 ottobre 2025, doc. web n. 10197127).
Pertanto, la presenza di informazioni relative a clienti della Società nella corrispondenza presente sulla e-mail aziendale non costituisce elemento idoneo a negare la legittimità dell’istanza di accesso, considerato anche che l’interessato ha indicato a titolo esemplificativo la presenza di alcuni file contenenti informazioni a sé riferite (v. reclamo p. 5-6 con riferimenti specifici ad un file elaborato dal reclamante relativo ad una riunione e ad una “call privata” cui aveva partecipato).
In proposito, questa Autorità, conformemente a quanto costantemente sostenuto dalla Corte Europea dei diritti dell’Uomo, ha ritenuto che attraverso la posta elettronica aziendale possono essere veicolate comunicazioni che, anche nel contesto del rapporto di lavoro, devono essere tutelate da ingerenze illecite e non proporzionate rispetto alle finalità perseguite (v.: Niemietz v. Allemagne, 16.12.1992 (ric. n. 13710/88); Copland v. UK, 3.4.2007 (ric. n. 62617/00); Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08)).
Si rileva che tali principi sono applicabili anche con riferimento a relazioni ricollegate all’ambito lavorativo che, pur non traducendosi nell’instaurazione di un rapporto di lavoro subordinato, attribuiscono comunque, al titolare del trattamento, il potere di impostare l’ambito e le caratteristiche della collaborazione, elemento sussistente anche nel caso di specie in quanto la condotta ha riguardato l’account di posta elettronica assegnato al reclamante nel contesto di un rapporto di agenzia (v. Provv. n. 589 del 9 ottobre 2025, cit., e Provv. 9/3/2023, n. 68, doc. web n. 9877754).
In ogni caso, anche in applicazione del principio generale di correttezza che deve caratterizzare ogni operazione di trattamento di dati personali, in particolare nell’ambito del rapporto di lavoro (art. 5, par. 1, lett. a) del Regolamento), la Società avrebbe potuto e dovuto riscontrare la richiesta presentata dal reclamante.
Pertanto, la Società, poiché non ha consentito l’accesso all’account di posta elettronica oggetto di reclamo, ha agito in violazione dell’art. 15 del Regolamento che, come sopra ricordato, riconosce all’interessato il diritto di accedere ai propri dati personali nei termini e con le modalità indicate nell’art. 12 del Regolamento.
Si prende atto, infine, che allo stato non è più possibile dare corso all’istanza di accesso posto che l’account è stato cancellato in data 3 gennaio 2025.
3.3 Violazione degli artt. 12 e 17 del Regolamento. Diritto di cancellazione.
È inoltre emerso che la Società non ha fornito idoneo riscontro alla richiesta di cancellazione dei dati dell’interessato relativi all’account assegnatogli, effettuata conformemente a quanto disposto dall’art. 17 del Regolamento.
A fronte della richiesta, formulata con nota del 2/1/2024, di “provvedere all’immediata chiusura ed eliminazione dell’account”, con il riscontro del 12/1/2024 la Società ha infatti precisato che “una volta verificatasi la cessazione del rapporto contrattuale e constatata la volontà del [reclamante] di non rinnovarlo, Based ha prontamente disattivato, come doveroso”, l’account a suo tempo assegnato. (v. nota cit., in All. 9 al reclamo).
Sebbene la Società abbia disposto la disattivazione dell’account in una data compresa tra il 5 e il 10/1/2024 (non si tengono qui in considerazione i riferimenti al mese di gennaio 2023, espressione di refusi contenuti nel riscontro), ossia, qualche giorno dopo la cessazione del rapporto di lavoro con il reclamante, e benché, secondo quanto dichiarato, non abbia disposto il reindirizzamento del medesimo account né abbia acceduto al contenuto della casella e-mail, l’effettiva cancellazione è avvenuta solo in data 3/1/2025 (v. All. 8, riscontro 28/3/2025). Ciò in ragione di ritenute esigenze difensive che tuttavia non sono state rappresentate all’interessato.
Conformemente a quanto previsto dall’art. 23 del Regolamento, in base all’art. 2-undecies del Codice “I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: […] e) allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria”. In tale ipotesi “L'esercizio dei medesimi diritti può […] essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato”.
Anche in base all’art. 12, par. 4, del Regolamento “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
Nel caso di specie, invece, l’account non è stato cancellato a seguito della richiesta del reclamante ed è invece rimasto attivo fino al 3/1/2025 per ritenute esigenze difensive, senza però che tale circostanza sia stata rappresentata all’interessato, unitamente all’indicazione della possibilità di rivolgersi all’autorità di controllo o al giudice ordinario, come previsto dalle norme di riferimento.
Di conseguenza la condotta della Società è avvenuta in violazione, nei termini su indicati, degli artt. 12 e 17 del Regolamento.
3.4 Violazione dell’art. 13 del Regolamento. Obbligo di fornire l’informativa all’interessato.
Infine è emerso che la Società non ha fornito alcuna informativa al reclamante, relativamente ai trattamenti di dati personali che sarebbero stati effettuati, nel corso del rapporto di lavoro, inclusi quelli relativi all’utilizzo dell’account di posta elettronica aziendale.
Non può infatti ritenersi che l’adempimento degli obblighi informativi, posti in capo al titolare del trattamento dall’art. 13 del Regolamento, possa essere stato realizzato dal contenuto delle disposizioni contrattuali che hanno regolato il rapporto tra le parti fino al 31/12/2023, come sostenuto dalla Società.
Infatti l’accordo quadro di collaborazione contiene un unico articolo dedicato alla riservatezza (art. 8) che per lo più riguarda gli obblighi di riservatezza posti in capo al collaboratore nonché la previsione che lo stesso “in caso di trattamento di dati di terzi non si oppone ad un atto di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR”.
L’art. 13 del Regolamento impone invece al titolare l’obbligo di fornire all’interessato alcune informazioni specifiche sulle caratteristiche dei trattamenti di dati personali che si riserva di effettuare; nel contempo, nel sistema relativo alla disciplina di protezione dei dati personali, in capo all’interessato è posto il diritto di ricevere tali specifiche informazioni (“Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento”: art. 12, par. 1, del Regolamento).
Nell’ambito del rapporto di lavoro, l’obbligo di fornire all’interessato le informazioni relative ai trattamenti effettuati o che si riserva di effettuare il titolare/datore di lavoro è altresì espressione del principio generale di correttezza (art. 5, par. 1, lett. a) del Regolamento).
La Società pertanto laddove ha proceduto ad effettuare operazioni di trattamento di dati personali del reclamante in assenza di previa informativa nei termini suesposti, ha agito in violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.
Si prende atto favorevolmente, in ogni caso, che la Società, nel corso del procedimento, ha predisposto una “Informativa privacy” ai sensi dell’art. 13 del Regolamento rivolta ai collaboratori e un “Regolamento di utilizzo degli strumenti elettronici e del trattamento dei dati sensibili”, consegnati in allegato ai contratti di collaborazione (v. All. 12 e 13, riscontro 28/3/2025).
Premesso che il contenuto di tali documenti non è oggetto del presente provvedimento si invita la Società a tenere nella dovuta considerazione le decisioni adottate dal Garante in materia di trattamenti dei dati contenuti nella posta elettronica nel contesto lavorativo (v., tra gli altri, Provv. 17 luglio 2024 n. 472, in www.garanteprivacy.it, doc web n. 10053224, e provvedimenti ivi richiamati, tra i quali il Provv. 6 giugno 2024, “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, doc web. n. 10026277).
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’inidoneo riscontro alla richiesta di accesso e cancellazione dei dati personali del reclamante avanzata il 2 gennaio 2024 nonché l’effettuazione di operazioni di trattamento in assenza della dovuta informativa, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 12, 13, 15 e 17 del Regolamento.
La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato le disposizioni in materia di esercizio dei diritti, di diritto all’informativa e i principi generali del trattamento.
L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione, alla luce di tutti i fattori rilevanti nel caso concreto, e, in particolare, la natura e la gravità della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.
L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento), nonché le circostanze attenuanti rilevanti nel caso concreto.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento, risulta quindi che Based s.r.l. ha violato gli artt. 5, par. 1, lett. a), 12, 13, 15 e 17 del Regolamento.
Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Based s.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia medio, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento in ragione dell’interesse protetto dalle norme violate (disposizioni relative all’esercizio dei diritti e all’informativa nonché i principi generali del trattamento);
b) in relazione alla durata della violazione, questa si è protratta per circa un anno, con riguardo all’istanza di cancellazione, mentre in relazione all’istanza di accesso allo stato non è più possibile darvi corso;
c) in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato trattamenti effettuati nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra il titolare e gli interessati;
d) in relazione al numero di interessati concretamente coinvolti, è stata presa in considerazione la circostanza che la violazione ha riguardato un solo interessato;
e) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento e non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni;
f) come fattore attenuante, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e, in particolare, la predisposizione di documenti informativi relativi ai trattamenti effettuati nel corso del rapporto di lavoro; come fattore aggravante è stata considerata l’impossibilità di dare corso alla richiesta di accesso.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento) le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2024, ultimo disponibile.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene pertanto di applicare, nei confronti di Based s.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 12.000 (dodicimila).
In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio del diritto di accesso da parte dell’interessato, preordinato ad acquisire consapevolezza del trattamento effettuato dal titolare e verificarne la liceità (v. cons. 63 del Regolamento), nonché il diritto di cancellazione, il diritto di informativa e i principi generali del trattamento.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Based s.r.l., in persona del legale rappresentante, con sede legale in Riviera di Chiaia, 215, (NA), C.F. 04741321212 nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 12, 13, 15 e 17 del Regolamento;
ORDINA
a Based s.r.l. ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 12.000 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di 12.000 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;
- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 12 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Montuori
