VEDI ANCHE NEWSLETTER del 29 gennaio 2026

[doc. web n. 10213574]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 754 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX nei confronti di LTL S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo presentato dinanzi al Garante e l’istruttoria avviata dall’Ufficio.

Con reclamo presentato a questa Autorità in data 30/10/2023 regolarizzato il 07/02/2024, il sig. XX, tramite il proprio legale Avv. XX, ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di LTL S.p.A. (di seguito “la Società”), di cui aveva ricoperto l’incarico di Amministratore Delegato.

Il reclamante, in particolare, rappresentava di aver ricevuto, in data 24/07/2023, una lettera di contestazione disciplinare e di contestuale sospensione cautelare dal servizio, a seguito della quale gli veniva inibito l’accesso all’account di posta elettronica di tipo individualizzato utilizzato fino a quel momento. A seguito del licenziamento, irrogato dalla Società con provvedimento del 02/08/2023, il reclamante conferiva al proprio difensore l’incarico di redigere la lettera di impugnazione.

“A questo punto il dott. XX, (…), inviava erroneamente alla vecchia casella di posta elettronica aziendale e personale XX, una mail contenente in allegato una copia in file pdf della predetta bozza di impugnazione attraverso l’account di posta elettronica della propria compagna (…)”.

“Nel pomeriggio dello stesso giorno, e precisamente alle ore 18.23 di giovedì 21 settembre 2023 (…), perveniva alla casella di posta elettronica … (XX) una mail proveniente dall’Avv. XX dello studio legale XX, contenente in allegato la … missiva “di risposta” alla lettera di impugnazione del recesso”.

Pertanto, il reclamante rappresentava di aver formulato un’istanza di esercizio dei diritti nei confronti della Società, al fine di ottenere la disattivazione dell’account di posta elettronica, l’invio della corrispondenza nel frattempo pervenuta e l’attivazione di un sistema di risposta automatica a terzi contenente l’indicazione dell’indirizzo di posta elettronica personale a cui inviare eventuali comunicazioni.

Tale istanza, regolarmente notificata all’indirizzo pec della Società in data 22/09/2023, non riceveva alcun riscontro nei termini indicati dall’art. 12, par. 3, del Regolamento.

Nello stesso reclamo, veniva anche lamentato l’accesso illecito al profilo personale Instagram associato alla sua utenza sim.

Il reclamante, quindi, chiedeva all’Autorità di “accertare l’illegittimità del trattamento dei dati personali e lavorativi”, di “ingiungere la cessazione dei suddetti trattamenti (…), eventualmente disponendo anche la cancellazione o la limitazione nel trattamento” e di adottare i provvedimenti di propria competenza nei confronti del titolare del trattamento.

L’Ufficio formulava una richiesta di informazioni, ai sensi dell’art. 157 del Codice (nota del 01/03/2024), alla quale la Società forniva riscontro con nota del 29/03/2024, rappresentando che:

- “La richiesta del [reclamante] del 22 settembre 2023 si inserisce nella più ampia vicenda che ha comportato il licenziamento del[lo stesso] dalla Società per giusta causa: il reclamante ha posto in essere una serie di condotte gravemente pregiudizievoli per LTL; e il medesimo reclamante ha, successivamente, impugnato il licenziamento in sede giudiziale. (…). Alla data del 22 settembre 2023 era, di fatto, già aperto un pre-contenzioso (…) e LTL ha, in buona fede, ritenuto la comunicazione del 22 settembre 2023 riferita integralmente all’ambito giuslavoristico e, di conseguenza, di poter rispondere a tale comunicazione in sede giudiziale e, nello specifico, con la propria memoria difensiva del 4 marzo 2024”;

- “occorre sottolineare che quella avanzata dal reclamante è stata la prima e fin qui unica richiesta di esercizio dei diritti privacy che la Società (anche in quanto business B2B) ha mai ricevuto; e, per le modalità di redazione e per il contesto eccezionale descritto sopra, solo un occhio estremamente esperto avrebbe potuto riconoscere che la richiesta (…) era direttamente riconducibile all’esercizio dei diritto previsto dal GDPR e non alla contestazione giuslavoristica”;

- “L’account di posta elettronica aziendale assegnato, nel corso del rapporto di lavoro con LTL, (…) non è più attivo a far data dallo scorso 9 ottobre 2023. Riteniamo importante sottolineare che, per tutta la vigenza del rapporto di lavoro con il [reclamante], LTL non ha mai eseguito alcun accesso né altro tipo di controllo o monitoraggio dell’account”;

- “Dal termine del rapporto di lavoro con il [reclamante] e sino al 9 ottobre 2023, LTL ha gestito l’account di posta elettronica aziendale precedentemente assegnato al reclamante in linea con quanto previsto dall’art. 16 del “Regolamento IT per l’utilizzo della strumentazione informatica aziendale e della rete internet”, (…), con riferimento alle tempistiche di disattivazione. La posta elettronica è stata inoltrata all’indirizzo XX e alle funzioni rilevanti per assicurare la continuità del business”;

- “Dal giorno 9 ottobre (…), la casella di posta … avrebbe dovuto essere integralmente cancellata, con conseguente compromissione delle esigenze di difesa della Società sia nel contenzioso giuslavoristico instaurato dal dott. …, sia in eventuali altri contenziosi instaurandi in considerazione dell’operato del reclamante. La conservazione della posta elettronica seguirà tali riferite esigenze di difesa”;

- Il reclamante “è stato messo nella condizione di gestire eventuali pendenze sugli strumenti aziendali di lavoro già il 24 luglio 2023, quando LTL (…) ha riconsegnato il cellulare aziendale al reclamante per consentirgli di cancellare eventuali dati personali ancora presenti sul medesimo e/o di scollegare eventuali account personali ancora attivi. (…) non ha fatto analoga richiesta per il computer aziendale e/o in relazione all’account di posta elettronica”;

-    “LTL è disponibile, laddove l’Autorità lo ritenga dovuto in considerazione di tutte le circostanze del caso (incluse le conclusioni del reclamo), a consentire al reclamante l’accesso ai dati e alle informazioni presenti sull’account di posta elettronica … conformemente a quanto previsto dall’art. 15 GDPR”;

- “La sim utilizzata dal reclamante è intestata alla scrivente Società. Le modalità dell’utilizzo delle sim aziendali sono descritte all’art. 14 – “Strumenti di fonia mobile e/o di connettività in mobilità” del “Regolamento IT per l’utilizzo della strumentazione informatica aziendale e della rete internet”.

Alla nota veniva allegato il “Regolamento IT per l’utilizzo della strumentazione informatica aziendale e della rete internet” datato 02/01/2020, da cui è emerso che:

- “In caso di interruzione del rapporto di lavoro con l'Utente, le credenziali di autenticazione verranno immediatamente cambiate e disabilitate (sospese) entro un periodo massimo di 30 giorni da quella data, periodo in cui si prevedrà un inoltro automatico delle mail ricevute al Responsabile dell’Utente uscente o ad un soggetto da esso designato. Entro ulteriori 90 giorni si disporrà la definitiva e totale cancellazione dell'account e del contenuto, estendibili per ulteriori 90 giorni nel caso in cui il rapporto di lavoro riguardi soggetti apicali. In ogni caso, la Società si riserva il diritto di conservare i messaggi di posta elettronica che riterrà rilevanti ai fini dell’attività lavorativa” (art. 16 del Regolamento cit.).

Il reclamante faceva pervenire, con nota del 07/06/2024, le proprie osservazioni rispetto a quanto dedotto dalla Società, reiterando le richieste formulate nel reclamo iniziale.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

L’Ufficio, alla luce di quanto sopra, individuava le violazioni relativamente al mancato riscontro all’istanza di esercizio dei diritti e alla gestione della casella di posta elettronica dopo l’interruzione del rapporto di lavoro.

Rispetto all’utilizzo dell’applicativo Instagram installato sulla sim utilizzata dal reclamante, non sono stati ravvisati profili di violazione della disciplina in materia di protezione dei dati personali, posto che, nel caso di specie, la regolamentazione dell’intestazione della sim e del relativo numero di telefono è rimessa al contratto stipulato dall’intestatario con il gestore telefonico, da cui si evince l’attribuzione della titolarità in capo alla Società.

Inoltre, risulta, dalle dichiarazioni rese nell’ambito dell’istruttoria, che la Società abbia consegnato il cellulare aziendale al reclamante in data 24 luglio 2023, per consentirgli di cancellare i dati personali ivi presenti e di scollegare eventuali account collegati alla suddetta sim. Tale condotta sarebbe stata posta in essere in conformità al citato Regolamento aziendale che, all’art. 14, ricorda “agli assegnatari di cancellare tutti i dati eventualmente presenti prima di consegnare il cellulare agli uffici competenti per la restituzione o la riparazione”.

L’Ufficio provvedeva, quindi, a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (nota del 07/10/2024), per la violazione degli artt. 5, par. 1, lett. a), c) ed e), 12, par. 3, e 15 del Regolamento.

La Società, in data 05/11/2024, inviava le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con cui rappresentava che:

- “In merito al mancato riscontro alla DSAR (Data Subject Access Right) entro il termine di cui all’art. 12, par. 3, GDPR, LTL ha già spiegato all’Autorità che il fraintendimento in cui è incorsa la società è dovuto in parte a inesperienza (…); in parte alle modalità di stesura della richiesta di esercizio dei diritti privacy redatta dal legale del [reclamante]. Per come formulata (…) solo un occhio estremamente esperto avrebbe potuto riconoscere che tale richiesta doveva essere ricondotta all’art. 15 GDPR e non all’esercizio di altri diritti, e nemmeno alla contestazione giuslavoristica che era già in corso; in parte al contesto nel quale la richiesta si inserisce. (…); in parte alla confusione generata dal reclamo (…). LTL ha potuto apprendere dell’esistenza del reclamo … ancor prima di ricevere la comunicazione del Garante del 1° marzo 2024, in quanto il reclamo in questione è stato prodotto a corredo dell’impugnazione del licenziamento intimato da LTL. Dal tenore del reclamo è evidente che l’interessato può non avere più interesse a un riscontro alle richieste avanzate il 22 settembre 2023 (…) ”;

- “In merito alla conoscibilità da parte della Società del contenuto dei messaggi inviati all’account (…) per il periodo di circa due mesi successivamente all’interruzione del rapporto di lavoro, tale condotta si spiega alla luce delle innegabili e attuali esigenze di difesa di LTL nei confronti del soggetto interessato che hanno determinato la necessità di conservazione del contenuto della casella di posta”;

- “dal termine del rapporto di lavoro con il [reclamante] e sino al 9 ottobre 2023, LTL ha gestito l’account di posta elettronica aziendale precedentemente assegnato al reclamante in linea con quanto previsto dall’art. 16 del “Regolamento IT per l’utilizzo della strumentazione informatica aziendale e della rete internet (…) con riferimento alle tempistiche di disattivazione”;

- “la posta elettronica è stata inoltrata all’indiritto XX e alle funzioni rilevanti per assicurare la continuità del business(…)”;

- “Per tutta la vigenza del rapporto di lavoro con il [reclamante], LTL non ha mai eseguito alcun accesso né altro tipo di controllo o monitoraggio dell’account …”

- “Il [reclamante] è stato messo nelle condizioni di gestire eventuali pendenze sugli strumenti aziendali di lavoro già il 24 luglio 2023, quando LTL – su richiesta del [reclamante] ha restituito il cellulare aziendale al reclamante per consentirgli di cancellare eventuali dati personali ancora presenti sul medesimo e/o di scollegare eventuali account personali ancora attivi. Il [reclamante] non ha fatto analoga richiesta per il computer aziendale e/o in relazione all’account di posta elettronica”;

- “[la Società] era (ed è tutt’ora) disponibile, laddove l’Autorità lo ritenga dovuto in considerazione di tutte le circostanze del caso (…) a consentire al [reclamante] l’accesso ai dati e alle informazioni presenti sull’account di posta elettronica … conformemente a quanto previsto dall’art. 15 GDPR, e ciò sia mediante invio di copia dei dati personali che riguardano il reclamante sia mediante accesso diretto dell’interessato all’account di posta per verifica (assieme alla Società) del relativo contenuto e conseguente individuazione dei soli dati personali che riguardano il reclamante”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita, risulta accertato che la Società, individuata quale titolare del trattamento ai sensi dell’art. 4, n. 7, del Regolamento, ha effettuato operazioni di trattamento non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.    

3.1. Violazione degli artt. 12, par. 3, e 15 del Regolamento.

In primo luogo, risulta accertato che la Società, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante ai sensi dell’art. 15 del Regolamento, non ha fornito alcun riscontro nei termini previsti dalla normativa.

L’istanza, datata 22/09/2023, è stata formulata dall’interessato dopo aver constatato che l’account di posta elettronica di tipo individualizzato, utilizzato nel corso del rapporto di lavoro, continuava ad essere attivo e a ricevere comunicazioni, nonostante fosse intervenuta la cessazione del rapporto di lavoro; pertanto, la suddetta istanza era volta proprio ad ottenere la disattivazione dell’account, con la conseguente cessazione di ogni trattamento, e l’accesso alla corrispondenza nel frattempo intervenuta mediante invio alla casella di posta elettronica personale dell’interessato.

Ciò nondimeno, la Società ha argomentato che il mancato riscontro a tale istanza sarebbe stato causato soprattutto dalle modalità con cui la stessa veniva formulata che “solo un occhio estremamente esperto avrebbe potuto [ricondurre] all’art. 15 GDPR”, oltre che dalla particolare ed eccezionale situazione in cui la stessa si inseriva, ovvero nell’ambito di un contenzioso giuslavoristico già avviato.

Posto che “il GDPR non impone requisiti agli interessati per quanto riguarda la forma della richiesta di accesso ai dati personali” (si vedano a tal proposito le Linee guida 1/2022 sui diritti degli interessati adottate dall’EDPB il 28/03/2023, par. 3.1.2), deve comunque rilevarsi che nel caso di specie la richiesta è stata formulata richiamando espressamente i principi in materia di protezione dei dati personali, il costante orientamento espresso dall’Autorità rispetto ad analoghe situazioni, nonché i diritti di cui agli artt. 15 e ss. del Regolamento riferiti, in particolare, all’accesso ai dati presenti sul proprio account aziendale e alla loro successiva cancellazione (“Sono con la presente a esercitare i diritti di cui al Reg. UE 679/2016…”).

Per questo motivo, difficilmente tale istanza può essere ricondotta nell’ambito della controversia giuslavoristica che, oltre ad avere oggetto e contenuti differenti da quelli posti con il reclamo dinanzi all’Autorità, risulta che sia stata avviata successivamente alla presentazione dell’istanza, ovvero in data 22/12/2023, con il deposito del ricorso introduttivo dinanzi al Tribunale di Pordenone, sez. lavoro.

Pertanto, considerato che, in base alla disposizione di cui all’art. 12, par. 3, del Regolamento, “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”, ciò anche nelle ipotesi in cui non sia possibile fornire riscontro (art. 12, par. 4, “Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardi e, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza”), non può accogliersi l’argomentazione della parte secondo cui avrebbe agito in buona fede ritenendo di poter rispondere all’istanza in sede giudiziale “e nello specifico con la propria memoria difensiva del 4 marzo 2024”.

Secondo tale ricostruzione, dunque, il riscontro sarebbe potuto arrivare all’interessato oltre il termine di 30 giorni previsto dalla normativa, senza che gli fosse stata data informazione dei motivi del ritardo. Risulta, in ogni caso, che la Società non abbia comunque dato seguito all’istanza dell’interessato che, dunque, ad oggi, risulta ancora inevasa.

Deve, inoltre, osservarsi che il diritto di accesso è soggetto unicamente ai limiti derivanti dall'art. 15, par. 4 (ovvero la sussistenza di diritti e libertà altrui) e dall'art. 12, par. 5, del Regolamento (ovvero a fronte di richieste manifestamente infondate o eccessive); il diritto dell'Unione o dello Stato membro inoltre può limitare il diritto di accesso ai sensi dell’art. 23 del Regolamento. Rispetto, quindi, alla configurabilità al caso di specie della fattispecie prevista dall’art. 2-undecies del Codice (“I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto a (…) allo svolgimento di investigazioni difensive o all’esercizio di un diritto in sede giudiziaria (…)”), deve osservarsi che non risulta adeguatamente dimostrato il pregiudizio concreto e attuale che possa derivare alla Società dall’accesso alla propria corrispondenza da parte dell’interessato. Inoltre, in ogni caso, in base al comma 3 del medesimo articolo, il datore di lavoro è tenuto a inviare all’interessato, una “comunicazione motivata e resa senza ritardo” in caso in cui ritenga di ritardare o escludere l’esercizio dei diritti.

Va, altresì, rigettata l’argomentazione addotta dalla Società in base alla quale l’eventuale accesso alla posta elettronica del reclamante sarebbe limitato alle sole e-mail di carattere personale, in quanto la corrispondenza di contenuto lavorativo/professionale sarebbe di proprietà aziendale.

Su questo aspetto, è utile richiamare il costante orientamento della Corte europea dei diritti dell’uomo, richiamato anche dall’Autorità nei propri provvedimenti, in base al quale la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost.). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ha ritenuto applicabile anche all’ambito lavorativo l’art. 8 della CEDU posto a tutela della vita privata, senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16/12/1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03/04/2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 05/09/2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28/11/2017 (ric. n. 70838/13), spec. par. 41-42).

Infatti, nel provvedimento generale recante “Linee guida per posta elettronica e internet” del 01/03/2007, n. 13 (doc. web n. 1387522), l’Autorità ha osservato che “lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, su un account aziendale di tipo individualizzato, configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato” (v. punto 5.2., lett. b).

Inoltre, “Il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali” (punto 5.2, lett. b), Linee guida cit., ma anche in numerosi provvedimenti adottati a seguito di istruttorie su specifici casi, tra tutti provv. n. 732 del 27/11/2024, doc web n. 10101221).

Pertanto, alla luce di quanto sopra, rilevato che la corrispondenza oggetto dell’istanza di accesso riguarda comunicazioni elettroniche ricevute su un account di tipo individualizzato successivamente all’interruzione del rapporto di lavoro, si ritiene che il limite imposto dalla Società (limite che non è contemplato da alcuna disposizione del Regolamento) non sia lecito, piuttosto configurandosi come una violazione dell’art. 15 del Regolamento che, infatti, riconosce all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali (…)” (art. 15, par. 1). Resta confermata, alla luce di quanto sopra ricostruito, anche la violazione della disposizione di cui all’art. 12, par. 3, del Regolamento.

3.2. Violazione degli artt. 5, par. 1, lett. a), c), ed e), del Regolamento.

Con riferimento al trattamento effettuato sull’account di posta elettronica del reclamante, risulta accertato che la Società, a seguito dell’interruzione del rapporto di lavoro con lo stesso, avvenuta il 02/08/2023, ha mantenuto attivo l’account individualizzato per i successivi due mesi provvedendo, in questo frangente, all’inoltro su un altro account aziendale della corrispondenza nel frattempo pervenuta.

Tale operazione, secondo quanto dichiarato, sarebbe avvenuta in conformità alla procedura aziendale descritta nel disciplinare interno, in base al quale “In caso di interruzione del rapporto di lavoro con l'Utente, le credenziali di autenticazione di cui sopra verranno immediatamente cambiate e disabilitate (sospese) entro un periodo massimo di 30 giorni da quella data, periodo in cui si prevedrà un inoltro automatico delle mail ricevute al Responsabile dell’Utente uscente o ad un soggetto da esso designato. (…)” (art. 16 del Regolamento IT).

Quanto alle finalità dell’operazione relativa all’inoltro ad account aziendale della corrispondenza in entrata dopo la cessazione del rapporto di lavoro, posto che nel Regolamento interno non risultano indicate, la Società, nel corso dell’istruttoria, ha dichiarato che trattasi di operazioni dettate dall’esigenza di garantire la continuità del business aziendale. Con riguardo al caso specifico, invece, l’inoltro della corrispondenza su un altro account è stato determinato anche da esigenze di difesa in giudizio.

Ciò posto, occorre considerare che da un punto di vista generale l’Autorità ha ritenuto conforme ai principi in materia di protezione dei dati personali che, a tutela di possibili e legittime esigenze di continuità dell’attività aziendale, dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi mittenti e a fornire, a questi ultimi, indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo, durante il periodo in cui tale sistema automatico è in funzione.
Ciò in quanto, “la legittima necessità di assicurare la conservazione di documentazione necessaria per l´ordinario svolgimento e la continuità dell´attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell´ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l´adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche” (v., tra i più recenti, provv. n. 140 del 07/03/2024, doc. web n. 10009004; provv. n. 732 del 27/11/2024, doc web n. 10101221; provv. n. 263 del 22/06/2023, doc. web n. 9920814, provv. n. 255 del 21/07/2022, doc. web n. 9809466).

In ogni caso, in relazione al caso specifico, l’operazione di inoltro della corrispondenza su un altro account aziendale, per circa due mesi, della casella di posta elettronica del reclamante (quindi per un periodo di tempo diverso da quello indicato nel disciplinare interno, pari a 30 giorni), per mere esigenze organizzative, ha di fatto realizzato un trattamento di dati personali, consistente nell’accesso diretto alle e-mail nel frattempo pervenute e nella loro successiva conservazione, che risulta contrario ai principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e), del Regolamento), in base ai quali i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Considerato che la Società ha dichiarato nel corso dell’istruttoria di aver apportato modifiche al Regolamento IT, senza tuttavia fornire la documentazione ai fini di una corretta valutazione, si raccomanda ai sensi dell’art. 57, par. 1, lett. d) del Regolamento di tener conto, nella predisposizione dei nuovi regolamenti interni, dei principi in materia di protezione dei dati personali e delle disposizioni in materia di controlli a distanza di cui alla legge n. 300/1970.

Alla luce di quanto sopra, deve quindi confermarsi la violazione dei principi di liceità, di minimizzazione e di limitazione della conservazione in relazione ai trattamenti effettuati dalla Società sull’account di posta elettronica del reclamante successivamente alla cessazione del rapporto di lavoro.

4. Conclusioni: dichiarazione di illiceità del trattamento.  Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rammenta che, ai sensi dell’art. 160-bis del Codice “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Il trattamento dei dati personali effettuato da LTL S.p.A.  risulta illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), c), e), 12, par. 3, e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché i principi generali del trattamento, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, alla luce delle circostanze del caso concreto:

- consentire al reclamante l’accesso al contenuto della corrispondenza pervenuta sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di lavoro, così come richiesto con l’istanza del 22/09/2023;

- disporre la cancellazione del contenuto della posta elettronica del reclamante, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo e lett.lettfatto salvo quanto previsto dall’art. 160-bis del Codice;

- disporre l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i), del Regolamento).

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che LTL S.p.A. s.r.l. ha violato gli artt. 5, par. 1, lett. a), c) ed e), 12 e 15. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da LTL S.p.A. di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’ applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

in relazione alla natura e alla gravità della violazione, sono state considerate rilevanti le violazioni commesse che hanno riguardato i principi generali del trattamento, connessi all’utilizzo degli strumenti elettronici nell’ambito del rapporto di lavoro, nonché il mancato riscontro all’istanza di esercizio dei diritti; quanto alla durata della violazione, deve tenersi conto che l’accesso alla corrispondenza pervenuta sull’account del reclamante si è protratta per due mesi successivi alla interruzione del rapporto di lavoro, mentre permane la violazione dell’art. 15 del Regolamento;

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società che non risulta tuttora conforme alla disciplina in materia di protezione dei dati relativamente;

si è tenuto conto dell’assenza di precedenti violazioni in materia di protezione dei dati personali.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio di esercizio per l’anno 2024.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di LTL S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000,00 (quarantamila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione della condotta particolarmente lesiva dei diritti dell’interessato, avvenuta in violazione dei principi generali in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da LTL S.p.A., in persona del legale rappresentante pro tempore, con sede legale in San Vito al Tagliamento (PN), Via Clauzetto n. 1, P.I. 00561810938, per la violazione degli artt. 5, par. 1, lett. a), c), e), 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, a LTL S.p.A., di soddisfare le richieste dell’interessato, provvedendo a comunicare allo stesso le informazioni già oggetto dell’istanza datata 22/09/2023, entro 30 giorni dalla data di notifica del presente provvedimento, fornendo contestualmente comunicazioni all’Autorità;

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/20129, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Si dispone, inoltre, che siano comunicate le iniziative intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 30 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori