[doc. web n.  10250265]

Provvedimento del 17 aprile 2026

Registro dei provvedimenti
n.  278 del 17 aprile 2026 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX, ai sensi dell’art. 77 del Regolamento nei confronti di Framos Italia s.r.l. in liquidazione;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’avvio dell’istruttoria preliminare a seguito della presentazione del reclamo.

Con reclamo presentato a questa Autorità in data 28/05/2023 e regolarizzato il 13/10/2023 ai sensi dell’art. 77 del Regolamento, il sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di Framos Italia s.r.l. (di seguito “la Società”), di cui era stato dipendente fino al 30/06/2023.

In particolare, il reclamante rappresentava che, a seguito della cessazione del rapporto di lavoro, gli veniva interdetto l’accesso agli account di posta elettronica aziendale di tipo individualizzato, assegnati in costanza del rapporto di lavoro (XX e XX) pur rilevando che gli stessi continuavano ad essere attivi e abilitati a ricevere e-mail. Pertanto, formulava un’istanza di esercizio dei diritti, ai sensi dell’art. 17 del Regolamento, con cui chiedeva la cancellazione dei predetti indirizzi e-mail e di ogni altra documentazione conservata in backup. L’istanza, regolarmente notificata all’indirizzo pec della società in data 17/05/2023, non riceveva alcun riscontro nei termini indicati dall’art. 12, par. 3, del Regolamento.

L’Ufficio, pertanto, formulava una richiesta di informazioni ai sensi dell’art. 157 del Codice, invitando la Società ad aderire alle richieste del reclamante e a fornire utili elementi di valutazione in ordine alla persistente attivazione dei predetti account di posta elettronica (nota del 29/11/2023). 

Con comunicazione del 22/12/2023, la Società forniva riscontro alla predetta richiesta di informazioni, dichiarando che:

- “Fino a poco tempo fa gli account di posta elettronica assegnati al denunciante erano ancora attivi. Tuttavia, sono state disattivate il 21 dicembre 2023 (si vedano gli allegati: copia dell’e-mail: Test_mavis non recapitabile e coppia dell’e-mail: Test_framos non recapitabile) e sono ora irrimediabilmente inaccessibili. Dopo che il dipendente ha segnalato la sua assenza per malattia, abbiamo dovuto mettere in atto una risposta fuori ufficio, dando i riferimenti di un altro dipendente. Le caselle di posta elettronica assegnate al denunciante non sono state consultate e non vi è stato alcun accesso”; 

- “Gli indirizzi sono stati mantenuti attivi per consentire una transizione agevole dall’uscita del dipendente dall’azienda, in particolare per informare i clienti, nonché per consentire il recupero di informazioni rilevanti ai fini aziendali. Come base legale, Framos indica l’art. 6 (1) f) del GDPR, il legittimo interesse a mantenere l’attività quando un dipendente lascia l’azienda e il nostro interesse a recuperare le informazioni relative all’attività”;

- “L’unica terza parte che ha potuto accedere alle caselle di posta elettronica è un dipendente del reparto IT, responsabile dell’attivazione e della disattivazione degli account aziendali all’interno della società. Questo dipendente non ha esaminato il contenuto delle e-mail. L’unico scopo dell’accesso era l’inserimento di una risposta fuori ufficio e l’eventuale recupero di informazioni rilevanti in futuro”;

- “Abbiamo redatto un documento informativo sul tema dell’utilizzo delle caselle di posta elettronica aziendali. Tuttavia, non è ancora stato distribuito ai dipendenti in Italia e quindi non è stato consegnato al denunciante. (…). Il documento informativo sarà distribuito a tutti i dipendenti italiani e ai nuovi assunti come parte del loro ,,onboarding” (…). Oltra al documento, abbiamo adottato ulteriori misure di miglioramento per prevenire questo tipo di situazioni e gestire gli account di posta elettronica aziendale in modo da rispettare i diritti dei nostri dipendenti”;

- “Abbiamo definito procedure per gli indirizzi e-mail degli ex dipendenti. Li manterremo attivi per tre mesi dopo la cessazione del rapporto di lavoro con risposte automatiche e includendo informazioni sulla cessazione del rapporto di lavoro e recapiti alternativi. Successivamente li disattiveremo. A tal fine abbiamo documentato un test di proporzionalità”;

- “A seguito della richiesta di cancellazione da parte dell’ex dipendente, Framos, … ha disattivato i suoi account e cancellato tutte le e-mail in essi contenute”.

Alla luce di quanto emerso, l’Ufficio formulava una ulteriore richiesta di informazioni, ai sensi dell’art. 157 del Codice chiedendo in particolare alla Società di chiarire il ruolo e i compiti assegnati al “dipendente del reparto IT, responsabile dell’attivazione e della disattivazione degli account aziendali”, con la documentazione attestante le specifiche istruzioni impartite in merito al trattamento dei dati personali ai sensi dell’art. 29 del Regolamento (nota del 12/04/2024). 

La Società forniva riscontro con la nota del 09/05/2024, rappresentando che: 

- “Il dipendente del reparto IT è responsabile dell’attivazione e della disattivazione degli account aziendali all'interno dell’azienda. Questo dipendente non ha guardato il contenuto delle e-mail. L’unico scopo dell’accesso era il posizionamento di una risposta „fuori ufficio“ e l’eventuale recupero di informazioni pertinenti l’attività lavorativa in futuro”;

- “Ogni dipendente, compreso il dipendente del reparto IT, in azienda è tenuto a firmare la dichiarazione di riservatezza (…). Le istruzioni su come procedere con l’e-mail del denunciante sono state fornite per iscritto via e-mail da un dipendente delle Risorse Umane”;

- “Secondo le istruzioni scritte, i dipendenti del reparto IT hanno impostato risposte automatiche. Da un punto di vista tecnico, una volta che un dipendente del reparto IT riceve una richiesta di disattivare un account, successivamente disattiva lo stesso e reimposta la password. Una volta disattivato l’account secondo le istruzioni del supervisore, il dipendente del reparto IT imposta la risposta automatica informando che il dipendente non lavora più per FRAMOS e a chi inviare le email. Dopo tre mesi dalla disattivazione dell’account, l’e-mail verrà cancellata, in alcuni casi viene cancellata immediatamente dopo la cessazione del rapporto di lavoro”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (nota del 04/09/2024), per la violazione degli artt. 12, par. 3 in relazione all’art. 17 del Regolamento, degli artt. 5, par. 1, lett. a), c), e), 6, 13 e 29 del Regolamento.

La Società, in data 03/10/2024, inviava le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con cui osservava che:

- “Al momento della presentazione della richiesta [di cancellazione], [il reclamante] era ancora in congedo per malattia. (…) durante l’assenza per malattia del signor (…), e poi durante e dopo la cessazione, c’era un rischio significativo per l’attività di FRAMOS, a causa del comportamento del [reclamante] dal cui era chiaro che intendeva utilizzare le e-mail aziendali per abusare dell’attività di FRAMOS rispetto ai terzi esterni e che avrebbe avviato un procedimento legale contro FRAMOS, cosa che è avvenuta nell’ottobre 2023. Il [reclamante] e FRAMOS hanno raggiunto un accordo legale in via extragiudiziale e FRAMOS ha disattivato le e-mail del [reclamante] nel dicembre 2023”;

- “Secondo noi, il diritto alla protezione dei dati personali non è un diritto assoluto e deve essere considerato nel contesto della sua funzione in ogni singolo caso e deve essere bilanciato con altri diritti fondamentali conformemente al principio di proporzionalità. (…). Pertanto, il Regolamento prevede espressamente l’esclusione del diritto alla cancellazione quando il trattamento è necessario per l’esercizio di un particolare diritto, compreso il diritto di accertare, esercitare o difendere un diritto in sede giudiziaria ai sensi del paragrafo 17 articolo 3 (e) del Regolamento, che abbiamo voluto utilizzare in caso di necessità (…)”;

- in via generale, la Società per consentire agli interessati l’esercizio dei diritti, “ha istituito una procedura che si chiama Procedura di Richiesta di Accesso all’Interessato. (…) Per gli altri diritti definiti nei paragrafi 17-18, tutti i dipendenti sono ben informati che per qualsiasi diritto che desiderano esercitare devono inviare una richiesta al rispettivo indirizzo e-mail. Tali informazioni vengono fornite a tutti i nuovi dipendenti attraverso il processo di onboarding e attraverso l’”Avviso sul trattamento dei dati per i nuovi dipendenti” (di seguito: “Avvisi sul trattamento dei dati”) al momento della firma del contratto di lavoro (…)”;

- “Come abbiamo già accennato più volte, abbiamo una chiara procedura interna per il dipartimento IT e questa procedura è ben nota a tutti i dipendenti su come FRAMOS gestirà le e-mail degli ex dipendenti. Quando un dipendente lascia l’azienda, il dipartimento IT, su indicazione del dipartimento HR o del supervisore, reimposta la password e imposta risposte automatiche per l’account di posta elettronica con un chiaro messaggio che il dipendente non lavora più per FRAMOS e fornisce un contatto alternativo. In conformità con il test di proporzionalità, l’e-mail viene disattivata entro e non oltre tre (3) mesi dalla cessazione del rapporto di lavoro; in alcuni casi, l’e-mail è disattivata immediatamente dopo la cessazione del rapporto di lavoro”;

- “Siamo consapevoli che, al momento dell’assunzione del [reclamante], non esistevano tutte le misure necessarie. Ma ci siamo resi conto della nostra omissione e negli ultimi due anni abbiamo fatto molti progressi nel campo dell’attuazione dei requisiti del Regolamento”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita, risulta accertato che la Società, individuata quale titolare del trattamento ai sensi dell’art. 4, n. 7, del Regolamento, ha effettuato operazioni di trattamento non conformi alla disciplina in materia di protezione dei dati personali. 

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1. Violazione degli artt. 12 e 17 del Regolamento.

Con riferimento alla violazione degli artt. 12 e 17 del Regolamento, si rileva come il reclamante abbia chiesto alla Società, con pec datata 27/05/2023 (e con sollecito del 09/06/2023), di ottenere la cancellazione degli account di posta elettronica, di tipo individualizzato, utilizzati nel corso del rapporto di lavoro. Tale richiesta era motivata dal timore che, trovandosi nell’impossibilità di accedere ai suddetti account a causa della cessazione del rapporto di lavoro, la Società potesse continuare invece a mantenere attivi gli account e ad accedere alla corrispondenza presente.

Risulta, quindi, che, nonostante l’istanza e il successivo sollecito fossero stati regolarmente notificati all’indirizzo pec della Società, il riscontro non perveniva nei termini indicati dall’art. 12, par. 3, del Regolamento. 

Ciò perché la Società ha ritenuto che al caso di specie trovasse applicazione la fattispecie prevista dall’art. 17, par. 3, lett. e), del Regolamento in base al quale “I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario (…) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.

In via generale, occorre richiamare preliminarmente la disposizione di cui all’art. 17 del Regolamento in base al quale “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” qualora ricorrano determinati motivi, tra cui la circostanza che “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”, oppure quando “l’interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2”.

Quanto alle modalità con cui il titolare è tenuto a fornire riscontro alle richieste di esercizio dei diritti, l’art. 12 del Regolamento stabilisce che questi “fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”; l’art. 12, par. 4, specifica che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. 

Posto, quindi, che la Società avrebbe dovuto, in ogni caso, fornire riscontro alla richiesta di cancellazione dell’interessato, nel termine di 30 giorni dalla presentazione dell’istanza, informandolo anche delle motivazioni alla base della propria scelta, si deve considerare che, nel caso di specie, non risulta che tra le parti fosse in corso (né che sia stato successivamente avviato) un contenzioso in ambito giudiziario, tale da legittimare il rifiuto all’istanza di cancellazione. 

Infatti, la Società, nelle memorie difensive, ha fatto riferimento a un rischio potenziale per la propria attività, “a causa del comportamento” tenuto dal reclamante, che avrebbe potuto utilizzare le e-mail aziendali per avviare un procedimento nei suoi confronti. 

Di fatto, nessun contenzioso risulta essere stato avviato tra le parti, con ciò escludendosi la possibilità di individuare, in capo al titolare, la sussistenza di un rischio concreto o di un pregiudizio effettivo all’esercizio del diritto di difesa, che è elemento imprescindibile perché possano escludersi e/o limitarsi i diritti degli interessati di cui agli artt. 15 e ss. del Regolamento. 

Considerato, tra l’altro, che la Società, solo a seguito dell’istruttoria avviata dall’Autorità ha comunicato di aver proceduto alla definitiva disattivazione degli account di posta elettronica assegnati al dipendente, ovvero circa 6 mesi dopo la presentazione dell’istanza, deve confermarsi in capo alla stessa la violazione delle disposizioni di cui agli artt. 12 e 17 del Regolamento. 

3.2. Violazione degli artt. 5, par. 1, lett. a), c), e), 6 e 13 del Regolamento.

Nell’ambito dell’istruttoria svolta, è emerso che la Società ha mantenuto attivi entrambi gli account aziendali assegnati al reclamante in costanza del rapporto di lavoro, per un periodo pari a 6 mesi (ovvero dalla cessazione del rapporto di lavoro avvenuta il 30/06/2023 fino alla disattivazione disposta il 21/12/2023, come risultante dalla documentazione prodotta in atti).

In base alle dichiarazioni rese nel corso dell’istruttoria (si veda il riscontro del 22/12/2023), gli account aziendali del reclamante “sono stati mantenuti attivi per consentire una transizione agevole dall’uscita del dipendente dall’azienda, per informare i clienti nonché per consentire il recupero di informazioni rilevanti ai fini aziendali”, sulla base del legittimo interesse della Società ai sensi dell’art. 6, par. 1, lett. f), del Regolamento. 

Rispetto a tale condotta, occorre innanzitutto rilevare che il reclamante non è stato adeguatamente informato (al pari degli altri dipendenti) delle specifiche procedure adottate dalla Società rispetto alle modalità di utilizzo degli strumenti informatici, anche per quel che riguarda le modalità della disattivazione degli account aziendali a seguito dell’interruzione del rapporto di lavoro.

Infatti, l’unico documento che la Società ha prodotto nel corso dell’istruttoria (quindi precedente all’avvio del procedimento sanzionatorio) è il “GP-016 IT Procedure”, adottato dalla capogruppo tedesca in data 30/01/2024 (in ogni caso dopo l’interruzione del rapporto di lavoro con il reclamante), che “in Italia non è stato completamente implementato”, confermando in tal modo che nessun documento “è stato distribuito ai dipendenti in Italia e quindi non è stato consegnato al reclamante” (nota del 22/12/2023).

Pur prendendo atto delle azioni intraprese dalla Società per rendere disponibili agli interessati le informazioni sulle caratteristiche essenziali dei trattamenti effettuati nell’ambito del rapporto di lavoro, mediante la predisposizione dei documenti ad oggetto “Procedura informatica” e “Procedura di richiesta di accesso ai dati sull’interessato” datate rispettivamente 22/05/2024 e 30/01/2024 e messe a disposizione degli interessati mediante una bacheca digitale, si rileva in ogni caso l’illiceità della condotta posta in essere dalla Società nel periodo precedente alla loro adozione, che è risultata contraria ai principi di correttezza e trasparenza nei confronti dei propri dipendenti (art. 5, par. 1, lett. a) del Regolamento), proprio in considerazione della mancata predisposizione di idonei documenti informativi. 

Tra l’altro, occorre considerare che nell’ambito dei rapporti di lavoro il principio di correttezza si esplica anche mediante la predisposizione di un’idonea informativa (art. 13 del Regolamento).

Si rileva che, in ogni caso, l’informativa che è stata allegata alle memorie difensive non è comunque idonea a rappresentare in maniera chiara ed esaustiva le molteplici operazioni di trattamento che sono effettuate nei confronti dei dipendenti, quale appunto la gestione degli account aziendali e in generale degli strumenti informatici in uso nell’ambito del rapporto di lavoro. 

Con riguardo alla gestione degli account di posta elettronica in uso al reclamante, deve altresì rilevarsi come la Società abbia dichiarato, nell’ambito dell’istruttoria, di non aver effettuato alcun accesso al contenuto delle e-mail presenti su tali account, ma di aver autorizzato unicamente il Responsabile IT ad impostare un messaggio di risposta automatico per informare i terzi del nuovo indirizzo da contattare (v. nota del 03/10/2024), in linea con le indicazioni da sempre fornite dall’Autorità nei propri provvedimenti. 

Tuttavia, sulla base di quanto dichiarato, nel caso specifico che ha riguardato il reclamante, la persistente attivazione degli account per un periodo di 6 mesi è stata determinata anche dalla necessità di conservare elementi da produrre nel corso di un eventuale procedimento giudiziale che, poi, come sopra detto non si è concretizzato.

Quanto ai presupposti di liceità alla base di tale trattamento, la Società ha indicato il legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento.

Tuttavia, affinché il legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento possa essere validamente posto a condizione di legittimità dei trattamenti di dati personali, è necessario che il titolare del trattamento (nel caso in esame il datore di lavoro) effettui, prima dell’inizio dei trattamenti, un “test di bilanciamento” per verificare che rispetto al trattamento “non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato” (art. 6, par. 1, lett. f) del Regolamento).

Nel caso in esame, al tempo in cui i fatti si sono verificati, la Società non aveva implementato alcun “test di bilanciamento” che, infatti, è stato prodotto in atti solo con le memorie difensive del 03/10/2024; tale documento, tra l’altro, individua un tempo di conservazione degli account aziendali di tre mesi, successivi alla cessazione di un rapporto di lavoro. 

Per tale motivo, deve confermarsi la violazione dell’art. 6 del Regolamento, in relazione all’assenza di un idoneo presupposto di liceità alla base del trattamento effettuato sugli account di posta elettronica assegnati al reclamante.

Deve ritenersi, inoltre, che il prolungato funzionamento delle caselle e-mail assegnate al reclamante per un periodo di 6 mesi (anche oltre il periodo che la Società ha dichiarato di aver impostato, che è di 3 mesi), al dichiarato fine di informare i terzi della fuoriuscita del dipendente, ma anche per l’eventuale recupero di informazioni pertinenti l’attività lavorativa in futuro” oltre che per mere esigenze di difesa in giudizio, costituisce un’operazione di trattamento che è contraria ai principi di minimizzazione e di limitazione della conservazione, di cui all’art. 5, par. 1, lett. c) ed e), del Regolamento, in base ai quali i dati raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolte” e “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In particolare, per ciò che concerne la necessità di recuperare informazioni rilevanti per l’attività aziendale, deve richiamarsi il costante orientamento espresso dall’Autorità in numerosi provvedimenti in cui è stato chiarito che “la legittima necessità di assicurare la conservazione di documentazione necessaria per l´ordinario svolgimento e la continuità dell´attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell´ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l´adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche” (v. provv. n. 732 del 27 novembre 2024, doc web n. 10101221, n. 263 del 22/06/2023, doc. web n. 9920814, provv. n. 63 del 13/02/2025, doc web n. 10113552; provv. n.  364 del 23/06/2025, doc web n. 10161563).

Pertanto, il datore di lavoro deve provvedere alla rimozione dell’account di posta elettronica aziendale di tipo individualizzato, in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure, previa disattivazione e contestuale adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi (v. anche il provv. n. 53 del 01/02/2018, doc. web n. 8159221).

Rispetto alla condotta sopra descritta, sebbene non risulti provato in atti che la Società abbia effettuato o autorizzato ad effettuare degli accessi ai citati account aziendali per mere esigenze di difesa in giudizio o per garantire la continuità dell’attività aziendale attraverso la consultazione di messaggi rilevanti per il prosieguo dell’attività, occorre comunque fare alcune precisazioni alla luce delle dichiarazioni rese e della documentazione che è stata prodotta nel corso del procedimento, mediante le memorie difensive.

Si legge, infatti, nel “Test di proporzionalità” che la Società “tratterà la posta elettronica dell’ex dipendente per un periodo di tre mesi, calcolato a partire dal primo giorno successivo alla cessazione del rapporto di lavoro”, “per garantire una transizione graduale delle attività aziendali”. Nel documento ad oggetto “Linee guida GDPR …”, inoltre, la Società informa i dipendenti che “ha accesso a tutti gli account Microsoft 365; tutti i dispositivi di proprietà dell’azienda; attività e cronologia di Internet”. 

Fermo restando che la documentazione fornita non contiene informazioni dettagliate sulle modalità della conservazione e della eventuale consultazione della corrispondenza in transito sugli account aziendali di tipo individualizzato, deve essere ricordato che l’attività di conservazione della posta elettronica aziendale costituisce un’operazione di trattamento dei dati personali, sulla base della definizione di “trattamento” che si ricava dall’art. 4, n. 2 del Regolamento (“qualsiasi operazione o insieme di operazioni, quale la raccolta, la registrazione, l’organizzazione, …, la conservazione, …la consultazione, …”) che può determinare un controllo sull’attività dei dipendenti, contraria alle disposizioni in materia di protezione dei dati personali e della disciplina di settore in materia di controlli a distanza di cui alla legge n. 300/1970.

Pertanto, si raccomanda ai sensi dell’art. 57, par. 1, lett. d) del Regolamento, di tener conto, nella predisposizione delle policy, dei principi in materia di protezione dei dati personali e delle disposizioni in materia di controlli a distanza di cui alla legge n. 300/1970.

3.3. Violazione dell’art. 29 del Regolamento.

In ultimo, si rileva come la Società abbia dichiarato che l’accesso agli account assegnati al reclamante siano stati effettuati da un dipendente del reparto IT, “responsabile dell’attivazione e della disattivazione degli account aziendali all’interno della società” (v. nota del 22/12/2023), il quale “non ha guardato il contenuto delle e-mail” avendo come specifica funzione quella di impostare una risposta automatica ed eventualmente recuperare informazioni pertinenti l’attività lavorativa (nota del 09/05/2024). 

La Società ha, quindi, dichiarato che le istruzioni sono state impartite mediante e-mail da parte di un responsabile del settore Risorse Umane, producendo a tal proposito lo screenshot  di una comunicazione priva di data con la richiesta di procedere alla disattivazione degli account associati all’ex dipendente e alla rimozione dell’indirizzo e-mail dalle liste interne (allegato alla nota del 09/05/2024).

Tale documento non è comunque supportato da specifiche istruzioni sulle modalità di gestione degli account aziendali, dal momento che la società ha dichiarato che, al momento in cui i fatti si sono verificati, le policy predisposte dalla capogruppo non erano state implementate in Italia. 

In ogni caso, i documenti che sono stati prodotti con le memorie difensive non contengono idonee istruzioni riguardo alle modalità con cui il Responsabile IT deve procedere alla gestione degli strumenti informatici assegnati ai dipendenti. 

L’art. 29 del Regolamento indica, chiaramente, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.

Risulta, quindi, accertato che la Società, in qualità di titolare del trattamento, non abbia adeguatamente istruito le persone preposte alla funzione IT, mediante un atto giuridico o un contratto, delle specifiche operazioni di trattamento da effettuare, delle categorie di dati su cui effettuare operazioni, delle modalità e delle finalità dei trattamenti stessi (art. 28 del Regolamento e cons. 81). 

Per tale motivo, deve confermarsi in capo alla Società la violazione dell’art. 29 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Framos Italia s.r.l. in liquidazione risulta illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), c), e), 6, 13, 12, 17 e 29 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni in materia di esercizio dei diritti.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, alla luce delle circostanze del caso concreto, si dispone di:

- predisporre un’informativa sul trattamento dei dati personali, ai sensi dell’art. 13 del Regolamento, idonea a rappresentare agli interessati tutte le operazioni di trattamento disposte sui dati, le finalità, le modalità, i tempi di conservazione e i relativi presupposti di legittimità;

- fornire istruzioni specifiche nei confronti dei soggetti addetti alle funzioni aziendali del reparto IT, che devono intervenire sugli strumenti informatici assegnati ai dipendenti, tenendo conto delle raccomandazioni indicate al par. 3.2 sull’osservanza della disciplina specifica dei controlli a distanza di cui alla legge n. 300/1970 oltre che dei principi in materia di protezione dei dati personali. 
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie.

All’esito del procedimento risulta accertato che la società ha violato gli artt. 5, par. 1, lett. a), c), e), 6, 13, 12, 17 e 29 del Regolamento.

La violazione delle disposizioni richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante l’adozione di un’ordinanza ingiunzione (art. 18 della legge n. 689/1981). 

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- con riferimento alla natura, gravità e durata della violazione relativa al mancato riscontro all’istanza di esercizio dei diritti, deve considerarsi di media gravità, tenuto conto che, seppure ha riguardato un solo interessato, il riscontro è stato reso a distanza di 6 mesi dalla presentazione dell’istanza; per quanto riguarda le altre violazioni accertate, deve ritenersi rilevante la circostanza che i trattamenti dei dati dei dipendenti siano avvenuti in assenza di adeguate misure, a protezione dei loro dati personali, e che tuttora tali violazioni persistono;

- con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società che non risulta tuttora conforme alla disciplina in materia di protezione dei dati personali;

- si è tenuto conto dell’assenza di precedenti violazioni in materia di protezione dei dati personali.

Si ritiene inoltre che assuma particolare rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), la circostanza che, nei confronti della Società, è stata avviata la procedura di liquidazione.

Alla luce di tale ultima circostanza, unitamente alla valutazione degli elementi sopra indicati, si ritiene, nel caso di specie, di applicare nei confronti di Framos Italia s.r.l. in liquidazione, la sanzione amministrativa del pagamento di una somma pari ad euro 5.000,00 (cinquemila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da Framos Italia s.r.l. in liquidazione in persona del legale rappresentante pro tempore, con sede legale in Appiano sulla strada del vino (BZ), via Johann Georg Plazer n. 31, P.I. 02571270210, per la violazione degli artt. 5, par. 1, lett. a), c), e), 6, 13, 12, 17 e 29 del Regolamento;  

ORDINA

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, alla Società di conformarsi, entro 60 giorni dalla data di notifica del presente provvedimento, alle prescrizioni formulate al par. 4 della presente decisione, richiedendo al contempo di fornire, entro il predetto termine, un riscontro adeguatamente motivato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento; 

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. 

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/20129, la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori