[doc. web n. 10216459 ]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 808 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX nei confronti di Anticimex s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’avvio dell’istruttoria preliminare a seguito della presentazione dei reclami.

Con reclamo presentato a questa Autorità in data 22/03/2023, il sig. XX, tramite il proprio legale Avv. XX, ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di Anticimex s.r.l. (di seguito “la Società”), alle cui dipendenze aveva prestato attività lavorativa fino alle dimissioni presentate l’11/01/2022.

Il reclamante rappresentava di aver formulato, nei confronti della Società, un’istanza di esercizio dei diritti, ai sensi dell’art. 15 del Regolamento, al fine di ricevere copia dei dati contenuti nel suo fascicolo personale (tra cui gli orari di accesso e uscita dal gestionale CRM, la corrispondenza in entrata e in uscita dalla casella di posta elettronica aziendale, estratti conto delle carte aziendali fornite al dipendente, informazioni e dettagli relativi ai contratti conclusi da lui stesso o sulla base delle trattative svolte).

L’istanza, regolarmente notificata all’indirizzo pec della Società in data 14/02/2023, non riceveva alcun riscontro nei termini indicati dall’art. 12, par. 3, del Regolamento.

A fronte dell’invito ad aderire formulato dall’Ufficio, la Società forniva il proprio riscontro rispetto ai fatti lamentati, con nota dell’08/06/2023, rappresentando che:

- rispetto alla richiesta di ricevere copia degli orari di ingresso e di uscita dal CRM, “l’azienda non è in grado di fornire gli orari di ingresso ed uscita”;

- “la casella di posta elettronica è stata creata il 02/10/2015. L’utenza abbinata è stata disattivata il giorno 01/02/2022. A seguito dell’avvio e della pendenza del contenzioso in materia di concorrenza (…) la casella è stata disattivata in data 08 giugno 2023”;

- “dalla cessazione del rapporto alla predetta data è stata disposta l’attivazione della risposta automatica” con cui si informavano i mittenti della disattivazione della casella e dell’indirizzo e-mail a cui inoltrare le richieste;

- rispetto alla richiesta di ottenere l’estratto conto delle carte aziendali, “Il [reclamante] era sprovvisto di carte di credito aziendali (…)”.

La Società trasmetteva in allegato i files contenenti i dati per il calcolo delle provvigioni, i premi maturati, in ordine a ciascun contratto, e il net gain maturato annualmente, precisando che tali documenti erano già stati periodicamente consegnati al dipendente, nel corso del rapporto di lavoro e sottolineando come gli stessi non fossero utili rispetto alle finalità che intendeva perseguire (differenze retributive).

Veniva, inoltre, allegato un file contenente la corrispondenza degli ultimi 5 anni in entrata e in uscita sull’account di posta elettronica assegnato al reclamante nel corso del rapporto di lavoro.

A seguito delle controdeduzioni presentate dal reclamante (il quale sottolineava come il riscontro della Società fosse parziale e inattendibile e rinnovava la richiesta di ricevere la copia dei contratti conclusi e le date di incasso dei relativi pagamenti, copia dei contratti cd. “spot” e di fornitura e i premi singolarmente indicati in relazione a ciascuno di detti contratti, nota dell’11/07/2023), la Società inviava una nota di integrazione, in data 07/09/2023, con cui forniva ulteriori precisazioni, anche a correzione di quanto precedentemente dichiarato. In particolare, rappresentava che:

- “Non sono dati personali le informazioni contenute nei contrati commerciali stipulati dall’azienda con i clienti, le date degli incassi, le date di stipula dei contratti, etc. Si tratta di informazioni strumentali all’esercizio di asseriti diritti di credito (…)”;

- “L’account di posta elettronica è stato disattivato lo scorso giugno, perché Anticimex ha il preciso e, costituzionalmente garantito, diritto di tutelarsi rispetto al danno subito a causa dell’infedele condotta dell’ex dipendente (…). Non disattivare l’account del reclamante ha, infatti, consentito all’azienda di reperire materiale probatorio utile alla dimostrazione del danno conseguito”;

- “Anticimex, immediatamente dopo la cessazione del rapporto di lavoro, ha consegnato alla società di investigazioni (…) il pc del reclamante (…) al fine di avviare l’analisi e la copia dei dati con le modalità Digital Forensic”;

- “Per tale ragione, a parziale correzione di quanto già esposto nel precedente scritto, in via prudenziale non è stata eseguita alcuna operazione che avrebbe richiesto un intervento sulla casella di posta, come l’attivazione del messaggio con il quale l’azienda avverte il mittente della disattivazione dell’account di posta elettronica”;

- con riferimento alla carta di credito aziendale, “Anticimex prende atto della imprecisione compiuta (…) la carta in questione confluiva su un unico conto corrente intestato all’azienda (…). La carta, consegnata [al reclamante] nel dicembre 2019, veniva utilizzata dal medesimo solo ed esclusivamente nelle rare ipotesi di pagamenti dei clienti eseguiti con denaro contante (…). Riguardo la richiesta del relativo estratto conto, si tratta di un’operazione significativamente dispendiosa, posto che il conto corrente era utilizzato dall’azienda per le più diverse operazioni (…).Ci si rimette all’Autorità nel caso il dato sia ritenuto necessario e/o il reclamante sia in grado di dettagliare cosa esattamente gli occorre (…)”.

Alla luce di quanto emerso dalla suddetta nota, l’Ufficio formulava una richiesta di informazioni, ai sensi dell’art. 157 del Codice, volta a conoscere in particolare i presupposti di legittimità, le modalità e le finalità dell’accesso eseguito sull’account di posta elettronica del dipendente (nota del 02/10/2023).

La Società forniva riscontro, con la nota del 31/10/2023, con cui ricostruiva, preliminarmente, le vicende che l’avevano indotta a rivolgersi a una società di investigazioni per eseguire un controllo sul contenuto della posta elettronica del reclamante, poi utilizzato nel corso del procedimento instaurato dinanzi al Tribunale di Pisa per vedere accertata la violazione del patto di non concorrenza.

In particolare, la Società rappresentava che:

- “dall’analisi del pc si evinceva che [il reclamante] dopo il rifiuto di restituire il pc, aveva cancellato (…) dal medesimo moltissimi files (…) recuperati solo grazie all’apposito sw Axiom in uso al perito”;

- “Dall’analisi dei dati si appurava che [il reclamante], durante l’ultimo periodo del rapporto di lavoro aveva inviato alla sua mail personale (…) diverso materiale di proprietà dell’azienda (contratti commerciali, mail con elenchi clienti, mail contenenti i dati dei clienti in attesa di rinnovo, etc) (…)”;

- “Anticimex decideva di avviare il contenzioso in via d’urgenza (…) non chiudeva l’account dell’ex dipendente infedele, al fine di poter reperire le prove della violazione del patto e poter dimostrare il danno patito”;

- “La mail veniva letta esclusivamente dal superiore gerarchico, (…), l’unico in grado di poter comprendere la rilevanza delle mails, ai fini della prova della condotta illecita all’interno del contenzioso (Principio di minimizzazione)”;

- “Alla luce di simili circostanze è evidente che non vi è stata nessuna illegittima intrusione nella posta dell’ex dipendente, ma il perseguimento, in concreto, del diritto del titolare a reperire a fronte della illegittima appropriazione, tramite mail di materiale riservato, elementi istruttori al fine di agire in giudizio e poter tutelare il proprio legittimo interesse a non essere destinatario dell’azione di concorrenza illecita posta in essere dall’ex dipendente (…)”;

- “A parziale correzione di quanto inizialmente indicato, in data 22 luglio 2022 procedeva con la comunicazione verso i terzi mittenti della avvenuta chiusura dell’account, con l’invito ad inoltrare le richieste al responsabile”.

Alla nota venivano acclusi, in allegato, copia dell’informativa, redatta il 05/05/2015 e sottoscritta dal reclamante in data 12/10/2015, e la sua revisione del 24/05/2018 (portata a conoscenza del reclamante tramite comunicazione del 06/06/2018), il Disciplinare sulle comunicazioni e sull’uso di dispositivi IT, datato 28/10/2016, l’informativa sull’utilizzo dati a fini disciplinari, datato 06/02/2016.

In particolare, l’informativa, aggiornata al 24/05/2018, prevedeva che: “una volta che la finalità per cui i dati sono stati raccolti non è più attuale, i dati personali sono cancellati” e che “Anticimex potrebbe conservare alcuni dati dopo la cessazione del rapporto contrattuale per adempiere a obblighi normativi e/o post contrattuali e/o per accertare, esercitare o difendere un proprio diritto (…)”.

Il testo dell’Informativa sull’utilizzo dei dati a fini disciplinari prevedeva che: “l’Azienda (…) potrà richiedere in qualunque momento la consultazione dei dati presenti all’interno di telefoni, smartphone, e altri dispositivi aziendali, ivi inclusi messaggi scambiati tramite programmi di instant messaging o e-mail. La consultazione di tali dati potrà avvenire direttamente sul dispositivo della persona interessata o attraverso apposito software (…). Questi dati potranno essere utilizzati per sanzionare disciplinarmente eventuali condotte contrarie ai doveri contrattuali”.

Infine, con ulteriore comunicazione inviata in data 28/03/2024, la Società, a fronte di una specifica richiesta di chiarimenti dell’Ufficio, dichiarava che:

- “normalmente gli account aziendali vengono chiusi dopo la cessazione del rapporto di lavoro e, con essi, i messaggi transitati sugli stessi, vengono cancellati. Tale regola viene derogata in caso di contenzioso con il /la lavoratore/trice o a fronte di una specifica richiesta dell’autorità o polizia giudiziaria”;

- “l’accesso alla casella di posta elettronica del reclamante era stato effettuato mediante server da parte del [superiore gerarchico]”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (nota del 25/07/2024), per la violazione degli artt. 5, par. 1, lett. a), b), c) ed e), 12, par. 3, 15, 13 e 88 del Regolamento, oltre che dell’art. 114 del Codice.

La Società, in data 23/08/2024, inviava le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con cui rappresentava, in via preliminare, che:

- “a seguito del fondato sospetto di condotte illecite (…), la Società lo esonerava dal prestare il preavviso e il rapporto cessava in data 31 gennaio 2022. In pari data, Anticimex conferiva mandato ad un’agenzia investigativa (…). La relazione riscontrava che effettivamente l’ex dipendente aveva violato gli obblighi di riservatezza. (…)”;

-“Sulla base delle risultanze dell’investigazione in data 7 aprile 2022 Anticimex depositava ricorso in via d’urgenza presso il Tribunale di Pisa. (…) Il Tribunale rigettava il ricorso argomentando sulla assenza di prove circa la sussistenza della condotta illecita. (…). L’ordinanza veniva impugnata in data 5 luglio 2022. In questo contesto, e solo in questo, a differenza di quanto accade normalmente in caso di cessazione del rapporto, Anticimex decideva di non cancellare la posta elettronica e di non disattivare l’account, al fine di poter reperire elementi di prova da addurre nel contenzioso pendente (…)”.

Con riferimento alle violazioni contestate, la Società rappresentava che:

- “Anticimex inizialmente non ha riscontrato la lettera del [reclamante] perché le istanze ivi formulate aldilà del nomen iuris di richiesta accesso dati personali, in realtà non avevano nulla a che vedere con le finalità espressamente declinate dall’art. 15 Regolamento. Il reclamante, infatti, non chiedeva se vi era un trattamento in atto dei suoi dati, la finalità o la cessazione o la limitazione del trattamento, ma una serie di documenti commerciali, con l’unica eccezione della copia di mail afferenti alla propria casella di posta elettronica. (…)”;

- “Anticimex, a seguito del reclamo, ha fornito riscontro alla richiesta relativa al trattamento della posta elettronica, fornendo l’elenco delle mail residue presenti ancora sull’account dell’ex dipendente. Nessuna malafede, dunque, nel mancato riscontro, piuttosto la legittima diffidenza verso una richiesta il cui contenuto nulla aveva a che fare con le finalità espresse dall’art. 15 reg.”;

- “Anticimex non ha inviato tutta la posta afferente agli ultimi 5 anni del rapporto di lavoro, ma solo quella parte che non è stata cancellata ad opera dello stesso reclamante”;

- “Nell’ambito del servizio di posta elettronica, quando i dati in essa presenti superano i 2GB per il personale tecnico addetto ai servizi, e 100 GB per il personale non tecnico, il sw avverte l’utente/interessato della necessità di procedere alla cancellazione della posta. (…). In questo modo, è il singolo interessato (…) a decidere di quale comunicazione tenere traccia e di quali contenuti disfarsi. Tale modalità esclude la conservazione sistematica e indiscriminata della posta elettronica del lavoratore nel corso del rapporto di lavoro”;

- “Riguardo alla conservazione della posta elettronica dopo la cessazione del rapporto di lavoro (…), Anticimex come previsto dalla policy, procedeva (e procede) alla disattivazione (cancellazione) dell’account di posta elettronica immediatamente dopo la cessazione del rapporto (…)”;

- “La nuova policy, a differenza del passato, indica: 1) il tempo entro cui verrà definitivamente disattivato l’account di posta elettronica; 2) l’interesse (legittimo) sulla base del quale viene fatto il trattamento e 3) la finalità che si intende perseguire”;

- “Riguardo la mancata disattivazione della posta elettronica dell’ex dipendente, tale condotta ha rappresentato una eccezione assoluta nella gestione degli ex dipendenti di Anticimex. (…). L’azienda non ha cancellato l’account di posta elettronica, al fine di poter intercettare le mail per reperire le fonti di convincimento da sottoporre all’autorità giudiziaria”;

- “Riguardo l’utilizzo di smartphone e palmari, Anticimex non ha violato l’art. 4 L. 300/1970, perché gli strumenti in questione non consentono di monitorare e ricostruire l’attività del lavoratore, effettuando un controllo a distanza sulla medesima (…) in quanto trattasi di strumenti di lavoro (…) impiegati esclusivamente per esigenze organizzative e produttive”;

- “In conclusione, entrambi i dispositivi non sono dotati di applicazioni o altri sistemi che consentono ad Anticimex di monitorare a distanza e/o tenere traccia dell’attività lavorativa svolta dal dipendente né di geolocalizzarlo”;

- “la mancata chiusura dell’account all’indomani della cessazione del rapporto di lavoro si rendeva necessario sia per l’estrema difficoltà di reperire le prove della condotta illecita (…) sia perché la commissione di ulteriori condotte dolose del reclamante (diffusione di notizie false e gravemente diffamatorie) poste in essere dopo l’instaurazione del contenzioso rendeva attuale e concreto il diritto di Anticimex di tutelarsi”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita, risulta accertato che la Società, individuata quale titolare del trattamento ai sensi dell’art. 4, n. 7, del Regolamento, ha effettuato operazioni di trattamento non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”. 

3.1 Violazione degli artt. 12, par. 3, e 15 del Regolamento.

In primo luogo, risulta accertato che la Società, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante ai sensi dell’art. 15 del Regolamento, non ha fornito alcun riscontro nei termini previsti dalla normativa.

L’istanza era volta a ricevere copia dei dati contenuti nel fascicolo personale, nonché ulteriori informazioni, alcune delle quali sicuramente non riguardanti l’interessato.

Tenuto conto della portata del citato articolo 15 del Regolamento, il cui ambito di applicazione è fortemente legato alla nozione di “dato personale”, si ritiene, come giustamente osservato anche dalla Società nel corso del procedimento, che le informazioni relative all’esecuzione dei contratti commerciali stipulati e ai dettagli sui pagamenti eseguiti non sono qualificabili come “dato personale” riferibili all’interessato e, pertanto, sono escluse dall’ambito di applicazione del diritto di accesso (si veda, a tal proposito, quanto chiarito nelle Linee guida 1/2022 sul diritto di accesso, adottate dall’EDPB il 28/03/2023: “Il diritto di accesso può essere esercitato esclusivamente in relazione a dati personali riguardanti l'interessato che chiede l'accesso”, par. 104 e ss.).

Al di là di questo specifico aspetto, si rileva però che, nel corso del procedimento e solo a seguito dell’intervento dell’Autorità, la Società in qualità di titolare del trattamento ha consentito l’accesso ai “dati personali riguardanti l’interessato” e consistenti nella corrispondenza ancora presente sul suo account di posta elettronica, ai premi maturati in ordine a ciascun contratto e al net gain maturato annualmente.

Non risulta, invece, consegnato l’estratto conto della carta aziendale in quanto “operazione dispendiosa” per la quale il titolare ha chiesto al reclamante di fornire maggiori dettagli. 
Su questo specifico aspetto, si prende atto che, nel corso del procedimento, l’interessato non ha fornito i chiarimenti richiesti.

Ciò nonostante, deve confermarsi in capo alla Società la violazione degli artt. 12, par. 3, e 15 del Regolamento, considerato che, solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità (e circa 4 mesi dopo la presentazione dell’istanza), è stato reso possibile l’accesso alla documentazione da parte dell’interessato.

Rispetto alle argomentazioni addotte dalla Società per giustificare l’iniziale reticenza a fornire le informazioni richieste, occorre chiarire che né la disposizione dell’art. 15 del Regolamento né le Linee guida sul diritto di accesso richiedono che la richiesta di accesso ai dati personali sia effettuata secondo specifici requisiti formali o di specificare la finalità alla base della richiesta.

Ciò, in quanto obiettivo principale del diritto di accesso è quello di consentire alle persone fisiche di avere il controllo dei dati personali che le riguardano, di essere consapevoli del trattamento e verificarne la liceità, senza dover giustificare le proprie intenzioni.

Infatti, “Data l'ampia finalità del diritto di accesso, non è opportuno che il titolare del trattamento, nel valutare le richieste di accesso, analizzi la finalità come precondizione per l'esercizio del diritto di accesso. I titolari del trattamento pertanto non dovrebbero valutare il motivo per cui l'interessato richiede l'accesso, ma soltanto l'oggetto della richiesta” (v. Linee guida cit., cap. 2.1).

Piuttosto, considerato che tra le parti era in corso un contenzioso, la Società avrebbe potuto fornire riscontro all’interessato, esprimendo eventualmente un diniego all’accesso e dettagliando le circostanze in base alle quali non era possibile consegnare la documentazione richiesta. Ciò alla luce di quanto previsto dall’art. 12, par. 4, del Regolamento in base al quale “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza (…)”.

3.2 Violazione degli artt. 5, par. 1, lett. a), b), c) ed e), del Regolamento.

Con riferimento al trattamento effettuato sull’account di posta elettronica del reclamante, è emerso, dagli atti istruttori, che la Società ha effettuato un accesso alla corrispondenza presente sull’account di posta elettronica individualizzato, assegnato al reclamante nel corso del rapporto di lavoro, mediante un’attività di digital forensic svolta da una società di investigazioni, al fine di reperire elementi probatori utili ad accertare la violazione del patto di non concorrenza.

Tale attività è stata resa possibile in virtù della conservazione effettuata sul server aziendale della corrispondenza (in entrata e in uscita) presente sull’account assegnato all’ex dipendente nonostante l’intervenuta cessazione del rapporto di lavoro.

Tra l’altro, rispetto a questa specifica attività di trattamento, occorre considerare anche che la Società, nel corso dell’istruttoria, ha espressamente previsto la possibilità di accedere al contenuto della corrispondenza conservata sugli account dei propri dipendenti, prevedendo di poter “richiedere in qualunque momento la consultazione dei dati presenti all’interno di telefoni, smartphone, e altri dispositivi aziendali, ivi inclusi messaggi scambiati tramite programmi di instant messaging o e-mail” (v. Informativa del 24/05/2018 allegata alla nota del 31/10/2023).

In ogni caso, l’attività di digital forensics svolta ha consentito l’estrazione di documenti e di alcune e-mail, risalenti a novembre 2021 e una di giugno 2021, inviate dall’account aziendale del reclamante a quello privato, che sono stati poi utilizzati nel corso del procedimento giudiziario instaurato dinanzi al Tribunale di Pisa.

In base a quanto argomentato dalla Società, poiché tali documenti non sono stati sufficienti, in fase giudiziale, a dimostrare la violazione del patto di non concorrenza, si è reso necessario mantenere attivo l’account di posta elettronica per reperire ulteriori “elementi istruttori al fine di agire in giudizio e poter tutelare il proprio legittimo interesse”.

Tale operazione si è protratta per un periodo di tempo pari a 15 mesi (da gennaio 2022 a giugno 2023), durante il quale la corrispondenza veniva sistematicamente letta dal superiore gerarchico del reclamante. Ciò ha comportato quindi l’effettuazione di attività di trattamento dei dati personali, contenuti nella corrispondenza in transito sull’account aziendale.

Deve rilevarsi che l’esame del contenuto dei messaggi pervenuti si è protratto per un considerevole periodo di tempo, anche oltre l’attivazione dei procedimenti dinanzi all’autorità giudiziaria. Risulta, infatti, che la chiusura dell’account è stata disposta solo a giugno 2023, a fronte dell’accertamento della violazione del patto di non concorrenza da parte del Tribunale di Pisa con sentenza del 15/12/2022.

L’attività complessivamente svolta sulla casella di posta elettronica del reclamante ha, quindi, determinato un monitoraggio costante sulla corrispondenza del reclamante che ha riguardato indistintamente tutte le e-mail che vi sono transitate nel tempo. Tra l’altro, come confermato dalla Società, tale procedura è stata effettuata in deroga alle regole aziendali che, invece, prevedevano che, alla cessazione di un rapporto di lavoro, l’account venisse disattivato e la corrispondenza cancellata (si veda il Disciplinare sulle comunicazioni e sull’uso di dispositivi IT, allegato alla nota del 31/10/2023) e, quindi, senza che l’interessato ne fosse stato informato (sul punto si veda anche Cass. civ. Sez. lavoro, 26/06/2023, n. 18168). In proposito si precisa in termini generali che l’informativa deve contenere la descrizione di operazioni di trattamento, di per sé, lecite; l’aver informato l’interessato rispetto a un trattamento illecito, non scrimina infatti la condotta.

Pertanto, la circostanza che la società abbia effettuato, per finalità proprie, una conservazione massiva delle e-mail in transito sugli account aziendali, riservandosi la possibilità di “richiedere in qualunque momento la consultazione dei dati presenti all’interno” dei dispositivi aziendali e delle e-mail (v. Informativa del 24/05/2018 cit.) e, come dimostrato nel caso specifico, l’accesso alla corrispondenza contenuta nella casella di posta elettronica aziendale individualizzata assegnata al reclamante, costituisce un’attività di trattamento che non è conforme ai principi e alle disposizioni in materia di protezione dei dati personali.

In particolare, si ritiene che la condotta della Società sia contraria al principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento, in base al quale il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e al principio di limitazione delle finalità, in base al quale “i dati personali sono raccolti per finalità determinate, esplicite e legittime” (art. 5, par. 1, lett. b) del Regolamento); nonché del principio di limitazione della conservazione in base al quale i dati sono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par. 1, lett. e) del Regolamento). (Si vedano a tal proposito anche il provv. n. 472 del 17/07/2024, doc web n. 10053224; provv. n. 53 del 01/02/2018, doc web n. 8159221 e il provv. n. 255 del 21/07/2022, doc web n. 9809466).

Pertanto, fermo restando quanto previsto dall’art. 160-bis del Codice (“La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”), deve ritenersi che le operazioni di trattamento effettuate dalla Società sull’account di posta elettronica del reclamante sono state effettuate in violazione dei suddetti principi di minimizzazione, di limitazione delle finalità e di limitazione della conservazione.

3.3 Violazione degli artt. 5, par. 1, lett. a), 88 del Regolamento e 114 del Codice.

Con riferimento al caso di specie, è stato accertato che la Società, accedendo alla posta elettronica inviata e ricevuta, negli ultimi cinque anni, attraverso l’account di posta elettronica aziendale assegnato al reclamante, ha effettuato un controllo sull’attività da questi svolta in costanza del rapporto di lavoro mediante il recupero delle e-mail inviate dal suo account aziendale a quello privato.

Inoltre, in termini generali riferiti a tutti i dipendenti della Società, occorre evidenziare che il Disciplinare sulle comunicazioni e sull’uso di dispositivi IT, aggiornato a marzo 2024 (allegata alla nota del 28/03/2024), espressamente prevede che “L’uso della posta elettronica comporta il trattamento di alcuni dati riferiti al lavoratore, quali l’ora di invio/ricezione della mail, il destinatario, il mittente, la data, l’oggetto, il contenuto della comunicazione, l’archiviazione/conservazione delle mails e dei files allegati” (cap. 1 del documento cit.).

Tra l’altro, si evidenzia che il testo aggiornato dell’Informativa sul trattamento dei dati personali (anch’esso allegato alla nota del 28/03/2024) contiene un riferimento al trattamento dei metadati (“segnaliamo che la normativa italiana stabilisce debbano essere associati ad ogni documento informatico i seguenti metadati minimi (…)”, par. 3 del documento) senza aggiungere altra specificazione.

Su questo punto, occorre richiamare il documento predisposto dall’Autorità sui tempi di conservazione dei log della posta elettronica (provvedimento del 06/06/2024, “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, doc web. n. 10026277) in cui, tra l’altro, si ribadisce la necessità che il datore di lavoro, in quanto titolare del trattamento, verifichi sempre la sussistenza di un idoneo presupposto di liceità (artt. 5, par. 1, lett. a), e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso programmi e servizi informatici, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento), tra cui la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della legge n. 300/1970.

Dalla lettura congiunta dei due testi, si evince che la Società effettua un trattamento di dati (tra cui metadati) relativi all’uso della posta elettronica attraverso la loro conservazione che, come dimostrato nel caso specifico, consente al datore di lavoro di accedere per finalità proprie ai contenuti presenti nella casella di posta e nei dispositivi, anche a distanza di molto tempo. Oltre a ribadire che tale trattamento è contrario ai principi generali in materia di protezione dei dati (di cui già detto nel precedente paragrafo 3.2), si rileva anche la violazione della specifica disciplina di settore di cui alla legge n. 300/1970.

Tale disciplina, che costituisce una delle norme più specifiche e di maggior tutela previste in materia lavoristica dall’ordinamento nazionale ai sensi dell’art. 88 del Regolamento, che è richiamata dall’art. 114 del Codice (“Garanzie in materia di controllo a distanza”) come condizione di liceità dei trattamenti di dati personali effettuati nel contesto del rapporto di lavoro (in proposito si vedano alcuni provvedimenti adottati in relazione a casi concreti: provv. 21/07/2022, n. 255, doc. web n. 9809466; provv. 13/05/2021, n. 190, doc. web n. 9669974; provv. n. 53 del 01/02/2018, doc. web n. 8159221; provv. 13/07/2016, n. 303, doc. web n. 5408460).

Il richiamato art. 4 della legge n. 300/1970 prevede una specifica procedura di garanzia in caso di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori”, i quali “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”. La loro installazione può avvenire solo “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” o, in mancanza di accordo, “previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro”.

Fermo restante che tutta la disamina svolta dalla Società in merito all’utilizzo dei palmari e degli smartphone non rileva ai fini della presente contestazione (posto che non sono stati oggetto di valutazione il funzionamento e le caratteristiche tecniche di tali strumenti), si osserva che l’informativa sull’utilizzo dei dati a fini disciplinari, inizialmente predisposta dalla Società, datata 6 febbraio 2016 (allegata alla nota del 31/10/2023), prevedeva la facoltà di effettuare controlli in qualsiasi momento attraverso “la consultazione dei dati presenti all’interno di telefoni, smartphone, palmari e altri dispositivi mobili aziendali, ivi inclusi messaggi scambiati tramite programmi di instant messaging o e-mail”.

Tale documento, poi sostituito con le nuove informative, prevedeva in ogni caso l’attribuzione al titolare/datore di lavoro la facoltà di effettuare operazioni di trattamento che, come sopra rappresentato, non sono conformi alle norme in materia di protezione dei dati personali.

Per tali motivi, i trattamenti descritti nel Disciplinare sulle comunicazioni e sull’uso di strumenti IT e nell’Informativa sul trattamento dei dati personali nonché quelli concretamente effettuati nei confronti dei dati del reclamante, sono contrari al principio di liceità di cui all’art. 5, par. 1, lett. a), del Regolamento, in relazione all’art. 114 del Codice, nonché all’art. 88 del Regolamento.

3.4 Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

In relazione a tutto quanto sopra rappresentato, si evidenzia che la Società non ha peraltro provveduto a informare adeguatamente il reclamante (e gli altri dipendenti) dei trattamenti effettuati sugli account di posta elettronica.

Come si è avuto modo di verificare, l’Informativa sul trattamento dei dati personali, nella revisione del 18/03/2024, si limita a indicare genericamente che “i dati saranno conservati per il solo tempo necessario ai fini per cui sono stati raccolti, rispettando il principio di limitazione della conservazione” (par. 6 del documento cit.). Sono poi indicate le categorie di dati, comuni e particolari, che sono oggetto di trattamento, ma non vengono specificati, rispetto a ciascuna categoria, i relativi tempi di conservazione e i presupposti di legittimità. Nessun riferimento viene fatto rispetto alla conservazione della posta elettronica.

Dall’analisi dei documenti, non si evince nessuna informazione riguardo alle modalità con cui potrebbero essere, al ricorrere di determinate condizioni effettuate verifiche  sui contenuti memorizzati nei dispositivi aziendali, né, come già detto, delle eventuali ragioni legittime, specifiche e non generiche alla base di tali controlli e le relative modalità, che devono essere comunque conformi ai principi di liceità, proporzionalità e gradualità (v. “Linee guida per posta elettronica e internet”, cit.).
Pertanto, premesso che le informazioni rese con l’informativa devono delineare operazioni di trattamento di per sé lecite, si conferma, nel caso di specie, l’inidoneità dell’informativa predisposta ai sensi dell’art. 13 del Regolamento che risulta parziale e incompleta.

La condotta tenuta dalla Società risulta, pertanto, in contrasto con quanto stabilito dagli artt. 5 par. 1, lett. a), e 13 del Regolamento, in base ai quali il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento e che descrivano operazioni di trattamento di per sé lecite.

4. Conclusioni: dichiarazione di illiceità del trattamento.  Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rammenta che, ai sensi dell’art. 160-bis del Codice “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Il trattamento dei dati personali effettuato da Anticimex s.r.l. risulta illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), b), c), e), 13, 15 e 88 del Regolamento, dell’art. 114 del Codice.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché i principi generali del trattamento e disposizioni più specifiche in materia di controlli a distanza, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, alla luce delle circostanze del caso concreto:

- si dispone il divieto di accedere alla posta elettronica dei dipendenti;

- si prescrive di conformare i documenti informativi e i trattamenti ivi indicati alla disciplina in materia di protezione dei dati personali;   

- si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i), del Regolamento).

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Anticimex s.r.l. ha violato gli artt. 5, par. 1, lett. a), b), c) ed e), 12, 13, 15 e 88 del Regolamento e dell’art. 114 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a), d) del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Anticimex s.r.l. di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

in relazione alla natura e alla gravità della violazione, sono state considerate rilevanti le violazioni commesse che hanno riguardato disposizioni poste a tutela dell’esercizio di diritti in materia di protezione dei dati e disposizioni più specifiche a tutela degli interessati nell’ambito dei rapporti di lavoro; quanto alla durata della violazione, deve tenersi conto che i riscontri all’istanza di esercizio dei diritti sono pervenuti solo a seguito dell’avvio dell’istruttoria dell’Autorità e dietro solleciti dell’interessato, mentre permangono le altre violazioni riscontrate;

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta negligente della Società che, soprattutto, nei primi riscontri ha fornito risposte incomplete;

a favore della parte si è tenuto conto dell’assenza di precedenti violazioni in materia di protezione dei dati personali.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio di esercizio per l’anno 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Anticimex s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000,00 (quarantamila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione della condotta particolarmente lesiva dei diritti dell’interessato, avvenuta in violazione dei principi generali in materia di protezione dei dati personali e delle disposizioni di settore applicabili ai trattamenti in ambito lavorativo.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da Anticimex s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Milano, Via Ettore Bugatti n. 12, P.I. 08046760966, per la violazione degli artt. 5, par. 1, lett. a), b), c), e), 12, 13, 15 e 88 del Regolamento e dell’art. 114 del Codice;

ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, dispone il divieto di accedere al contenuto della posta elettronica dei dipendenti, fatto salvo quanto necessario con riferimento all’account di posta elettronica del reclamante per l’esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice;

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla Società di conformare, entro 60 giorni dal ricevimento del presente provvedimento, i documenti informativi ai principi in materia di protezione dei dati personali, secondo quanto indicato in motivazione, fornendo entro il predetto termine, un riscontro adeguatamente motivato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/20129, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Montuori