Il Garante della Privacy ha sanzionato con una multa di quarantamila euro una società che aveva violato la segretezza della casella e-mail di un lavoratore dopo la cessazione del rapporto di lavoro.
Il lavoratore reclamante aveva appurato che l’ex datrice di lavoro, a seguito del licenziamento disciplinare, aveva mantenuta attiva la sua casella di posta elettronica aziendale; aveva così chiesto alla società di disabilitare l’account, di inoltrare i messaggi pervenuti nel frattempo al suo indirizzo e-mail personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo e-mail. Tuttavia, tale (legittima) richiesta non era stata accolta.
Dall’istruttoria svolta dal Garante, come si legge nel provvedimento, era emerso che l’azienda non solo aveva continuato (per due mesi) ad accedere alla casella e-mail, ma aveva inoltrato le comunicazione nelle more pervenute ad un altro indirizzo di posta elettronica aziendale.
Da un punto di vista generale – si legge nel provvedimento - l’Autorità ha già ritenuto conforme ai principi in materia di protezione dei dati personali “che, a tutela di possibili e legittime esigenze di continuità dell’attività aziendale, dopo la cessazione del rapporto di lavoro, il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi mittenti e a fornire, a questi ultimi, indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo, durante il periodo in cui tale sistema automatico è in funzione”.
In relazione al caso specifico, l’operazione di inoltro della corrispondenza su un altro account aziendale, per circa due mesi, della casella di posta elettronica del reclamante (per un periodo di tempo diverso da quello indicato nel disciplinare interno, pari a 30 giorni), per mere esigenze organizzative - secondo il Garante - ha di fatto realizzato un trattamento di dati personali contrario ai principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e), del Regolamento), in base ai quali i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
In argomento si veda anche Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta nonché Log di navigazione e metadati dei lavoratori.
La Commissione Europea ha presentato un nuovo pacchetto digitale diretto alla semplificazione delle regole digitali dell’UE, al risparmio per le imprese e a stimolare l’innovazione.
Come si legge nel comunicato stampa pubblicato sul sito della Commissione Europea il 19 novembre 2025, il pacchetto comprende un omnibus digitale che mira a razionalizzare le regole in materia di intelligenza artificiale, cybersicurezza e dati, e che propone, in sintesi, di semplificare le regole esistenti in materia.
In apertura delle 153 pagine della proposta (qui il testo), si illustra il contesto della stessa, laddove si sottolinea come l’accumulo di normative abbia talvolta avuto un effetto negativo sulla competitività rendendo così necessari miglioramenti rapidi e visibili, per cittadini e imprese.
La proposta del Digital Omnibus – si legge - rappresenta un primo passo per ottimizzare l’applicazione del quadro normativo digitale ed include “un insieme di emendamenti tecnici ad un ampio corpus di legislazione digitale, selezionati per portare un sollievo immediato alle imprese, alle amministrazioni pubbliche e ai cittadini, stimolando la competitività”. L’obiettivo immediato è infatti quello di garantire che la conformità alle regole comporti costi minori.
A questo fine, le modifiche si concentrano:
Le modifiche sono dunque dirette a semplificare le regole, riducendo il numero di leggi e armonizzando le disposizioni, diminuiscono i costi, e sollevano “le piccole imprese di medie dimensioni da determinati obblighi nell’ambito della legislazione sui dati e sull’intelligenza artificiale”, oltre le piccole e microimprese alle quali si applica già un regime speciale
Le proposte saranno ora presentate al Parlamento Europeo e al Consiglio.
Il pacchetto – settima proposta omnibus - si inserisce nel percorso tracciato dalla Commissione per semplificare le regole e rendere l’economia dell’Unione maggiormente competitiva. L’obiettivo dichiarato è infatti quello di raggiungere una semplificazione in grado di ridurre gli oneri amministrativi di almeno il 25 % e quelli per le PMI di almeno il 35 % entro il 2029.
Il datore di lavoro può trattare i log di navigazione e i metadati delle e-mail dei lavoratori solo a determinate condizioni. Lo ha ricordato il Garante Privacy riferendo di aver sanzionato la Regione Lombardia con una multa di 50 mila euro.
In base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.
In tale quadro – ricorda il Garante - ai trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile (regolato da una disciplina volta a favorire l’adozione di nuove modalità di organizzazione del lavoro basate sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata) trovano applicazione le medesime basi giuridiche che ricorrono tipicamente in ambito lavorativo.
Il datore di lavoro deve poi rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro”.
Il titolare del trattamento è altresì tenuto a rispettare i principi in materia di protezione dei dati ed è responsabile dell’attuazione di misure tecniche e organizzative adeguate in ragione degli specifici rischi derivanti dal trattamento, dovendo essere in grado di dimostrare che lo stesso è effettuato in conformità al Regolamento.
Da una serie di verifiche ispettive era emerso che la Regione raccoglieva i log di navigazione in Internet, consistenti in informazioni relative ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list, senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva, tra l’altro, al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.
Nessun accordo, inoltre, era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori.
Oltre alla sanzione amministrativa, il Garante ha ingiunto una serie di misure correttive, tra le quali l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black list, la cifratura del dato concernente i nomi dei lavoratori assegnatari dei pc portatili, la riduzione del termine di conservazione di tali dati.
In argomento si veda anche Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta, nonché Garante Privacy: un altro no al controllo dei lavoratori a distanza e Il datore di lavoro può geolocalizzare il lavoratore in smart working?