Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Accesso alle email aziendali: il Garante estende l’art. 15 GDPR

Accesso ai dati dell’ex dipendente: il Garante ribadisce l’estensione dell’art. 15 gdpr alle email aziendali e sanziona una compagnia assicurativa

Scarica PDF Stampa

Il provvedimento adottato dal Garante per la protezione dei dati personali nei confronti di una compagnia assicurativa – conclusosi con una sanzione amministrativa pecuniaria pari a 50.000 euro – offre l’occasione per tornare su un tema che, nella prassi aziendale, continua a essere gestito con approssimazione: l’estensione del diritto di accesso dell’interessato ai dati personali contenuti negli strumenti di lavoro, in particolare nelle caselle di posta elettronica aziendali.
La decisione si inserisce nel solco di un orientamento ormai consolidato dell’Autorità, ma presenta profili di particolare interesse per la chiarezza con cui vengono censurate alcune prassi diffuse: la selezione unilaterale dei contenuti da parte del datore di lavoro, la distinzione artificiosa tra email “personali” e “professionali” e, più in generale, una gestione non conforme ai principi di trasparenza e proporzionalità. È qui che il caso assume un rilievo giuridico ben più ampio. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”

Indice

1. Il caso: accesso parziale e selettivo ai dati dell’ex dipendente


Il procedimento trae origine dal reclamo di un ex dipendente che, una volta cessato il rapporto di lavoro, aveva esercitato il proprio diritto di accesso ai sensi dell’art. 15 del Regolamento (UE) 2016/679, chiedendo copia:

  • dei messaggi presenti nella propria casella di posta elettronica aziendale;
  • dei documenti salvati sul personal computer assegnatogli durante il rapporto.

La società, dopo aver effettuato un accesso diretto all’account email dell’ex lavoratore, aveva proceduto a una selezione dei contenuti, trasmettendo esclusivamente i messaggi ritenuti “strettamente personali” e trattenendo – o comunque non comunicando – quelli qualificati come inerenti all’attività lavorativa.
Si tratta di una prassi tutt’altro che isolata: molte organizzazioni ritengono, infatti, di poter operare una distinzione tra dati personali “in senso stretto” e dati afferenti alla sfera professionale, ritenendo questi ultimi sottratti al perimetro applicativo dell’art. 15 GDPR.
Il Garante interviene con decisione su questo punto, smontando alla radice tale impostazione. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. Il perimetro del diritto di accesso: dati personali anche nei contesti professionali


L’art. 15 GDPR riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di accedere a tali dati e a una serie di informazioni correlate.
Il punto qualificante della decisione risiede proprio nella nozione di “dato personale”, che – ai sensi dell’art. 4, n. 1, GDPR – include “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
Non rileva, dunque, il contesto (privato o professionale) in cui il dato è generato o trattato, bensì la sua riferibilità a una persona fisica identificata o identificabile.
Ne deriva che:

  • le email inviate e ricevute tramite un account aziendale individualizzato costituiscono, nella misura in cui contengono informazioni riferibili al lavoratore, dati personali dello stesso;
  • analogamente, i documenti salvati sul computer aziendale, ove riconducibili all’attività del dipendente, rientrano nel perimetro del diritto di accesso.

Il Garante chiarisce, in modo esplicito, che non è legittimo operare una distinzione tra comunicazioni “personali” e “professionali” al fine di limitare l’esercizio del diritto di accesso. Tale distinzione, infatti, non trova alcun fondamento nel GDPR e si traduce in una indebita compressione di un diritto fondamentale dell’interessato.

3. Il divieto di selezione preventiva dei contenuti


Particolarmente rilevante è il passaggio in cui l’Autorità censura la condotta della società per aver effettuato una selezione preventiva dei dati da comunicare.
Il diritto di accesso non può essere soddisfatto attraverso una “versione filtrata” dei dati, costruita unilateralmente dal titolare del trattamento. L’art. 15 GDPR attribuisce all’interessato un diritto pieno, che si estende a tutti i dati personali che lo riguardano, fatte salve le limitazioni previste dall’art. 15, par. 4 (diritti e libertà altrui) e, più in generale, dall’art. 23 GDPR.
Ciò comporta che:

  • il titolare non può sostituirsi all’interessato nella valutazione della rilevanza dei dati;
  • non è consentito omettere o oscurare informazioni sulla base di criteri discrezionali non supportati da una specifica base giuridica;
  • eventuali limitazioni devono essere motivate in modo puntuale e documentato.

Nel caso di specie, la società aveva operato una selezione basata su una classificazione interna (“personale” vs “lavorativo”) priva di rilevanza giuridica ai fini del GDPR, incorrendo così in una violazione del diritto di accesso.

4. Le possibili limitazioni: onere della prova e necessità di motivazione


Il Garante non esclude, in linea di principio, che possano sussistere situazioni in cui l’accesso debba essere limitato. Tuttavia, tali limitazioni devono essere:

  • fondate su una specifica previsione normativa o su esigenze riconducibili alla tutela dei diritti e delle libertà altrui (art. 15, par. 4 GDPR);
  • giustificate da ragioni concrete, attuali e documentabili.

Nel provvedimento si richiama, a titolo esemplificativo, la tutela di segreti aziendali o informazioni riservate. Anche in questi casi, tuttavia, il titolare del trattamento è tenuto a:

  • dimostrare l’effettiva sussistenza del rischio;
  • adottare misure proporzionate (ad esempio, oscuramenti mirati) e non generalizzate;
  • fornire comunque all’interessato il maggior numero possibile di informazioni.

Non è quindi sufficiente invocare in modo generico la riservatezza aziendale per giustificare un diniego o una limitazione dell’accesso.

5. Profili di accountability: informative carenti e tempi di conservazione sproporzionati


Oltre alla violazione del diritto di accesso, il Garante ha rilevato ulteriori criticità nella gestione dei dati personali da parte della società.
In primo luogo, sono emerse carenze sotto il profilo della trasparenza, in violazione tra l’altro degli artt. 12 e 13 GDPR. Le informative rese ai lavoratori non risultavano idonee a descrivere in modo chiaro:

  • le modalità di utilizzo degli strumenti aziendali;
  • le finalità del trattamento dei dati;
  • i tempi di conservazione.

Il tema delle informative in ambito lavorativo continua a essere sottovalutato, nonostante rappresenti uno degli snodi principali del principio di accountability (art. 5, par. 2 GDPR).
In secondo luogo, il Garante ha ritenuto non proporzionati i tempi di conservazione:

  • cinque anni per le email;
  • dodici mesi per i dati di navigazione.

La valutazione di sproporzione si fonda sul principio di limitazione della conservazione (art. 5, par. 1, lett. e GDPR), secondo cui i dati devono essere conservati per un arco di tempo non superiore a quello necessario rispetto alle finalità per le quali sono trattati.
In assenza di una giustificazione puntuale – ad esempio, esigenze di difesa in giudizio o obblighi normativi specifici – periodi di conservazione così estesi risultano difficilmente sostenibili.

6. Il dispositivo: sanzione e ordini correttivi


Alla luce delle violazioni accertate, il Garante ha:

  • irrogato una sanzione amministrativa di 50.000 euro;
  • ordinato alla società di consentire l’accesso integrale ai dati richiesti dall’ex dipendente;
  • imposto l’adeguamento delle informative e delle policy interne.

La misura sanzionatoria, pur non particolarmente elevata in termini assoluti, appare coerente con la natura delle violazioni e con il principio di proporzionalità di cui all’art. 83 GDPR.

7. Implicazioni operative per le aziende


Il provvedimento impone alcune riflessioni operative, che meritano di essere esplicitate.
In primo luogo, le aziende devono prendere atto che:

  • le caselle email aziendali individuali non sono “spazi neutri” o esclusivamente funzionali all’organizzazione, ma contengono dati personali del lavoratore;
  • il diritto di accesso si estende integralmente a tali dati, anche dopo la cessazione del rapporto di lavoro.

In secondo luogo, è necessario rivedere le procedure interne di gestione delle richieste ex art. 15 GDPR, evitando:

  • filtri arbitrari;
  • classificazioni interne prive di rilevanza normativa;
  • approcci difensivi non supportati da adeguata documentazione.

Occorre, inoltre:

  • definire policy chiare sull’uso degli strumenti aziendali;
  • aggiornare le informative, rendendole effettivamente comprensibili e complete;
  • riesaminare i tempi di conservazione, alla luce del principio di proporzionalità.

8. Una questione di cultura giuridica, prima ancora che di compliance


Al di là del caso specifico, la decisione del Garante evidenzia un problema più ampio: la difficoltà, da parte di molte organizzazioni, di comprendere la portata effettiva dei diritti riconosciuti agli interessati dal GDPR.
Il diritto di accesso viene ancora percepito come una richiesta “invasiva” o come un adempimento meramente formale, da gestire nel modo più restrittivo possibile. In realtà, esso costituisce uno degli strumenti principali attraverso cui l’interessato può esercitare un controllo effettivo sui propri dati.
Ridurre questo diritto attraverso prassi interne non solo espone a sanzioni, ma mina la fiducia nel sistema di protezione dei dati.

9. Considerazioni conclusive


Il provvedimento in esame ribadisce, con chiarezza, alcuni principi che non dovrebbero più essere oggetto di incertezza interpretativa:

  • il diritto di accesso riguarda tutti i dati personali, indipendentemente dal contesto in cui sono trattati;
  • le email aziendali individuali rientrano pienamente in tale perimetro;
  • non è consentito operare selezioni discrezionali dei dati da comunicare;
  • eventuali limitazioni devono essere specifiche, motivate e proporzionate.

Per le aziende, il messaggio è altrettanto chiaro: la gestione degli strumenti di lavoro non può essere separata dalla disciplina in materia di protezione dei dati personali. Ogni scelta organizzativa – dalla configurazione delle caselle email ai tempi di conservazione – deve essere valutata alla luce dei principi del GDPR.
Continuare a considerare questi aspetti come marginali significa esporsi non solo a sanzioni, ma anche a un contenzioso crescente, alimentato da lavoratori sempre più consapevoli dei propri diritti.
E, a ben vedere, non è nemmeno una questione di particolare complessità tecnica: si tratta, piuttosto, di applicare correttamente principi che il legislatore europeo ha enunciato in modo chiaro ormai dal 2016. Il fatto che nel 2026 sia ancora necessario ribadirli attraverso provvedimenti sanzionatori dovrebbe far riflettere.

Formazione in materia per professionisti


Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
NIS2, le nuove determine ACN cambiano davvero la compliance aziendale

Le nuove determine ACN su NIS2 ridefiniscono governance, responsabilità e compliance: cosa cambia pe…

Redazione 14/04/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Carenza di competenze privacy e accountability: il rischio di una compliance solo formale

Senza competenze privacy adeguate, il GDPR rischia di ridursi a sola compliance formale, con impatti…

Luisa Di Giacomo 13/04/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Cartelle cliniche nel dark web: perché il GDPR non basta più

La diffusione di dati sanitari nel dark web mostra i limiti del GDPR: controllo perso, danno permane…

Luisa Di Giacomo 10/04/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Professione
Privacy e Cybersecurity
Albo avvocati sparito: non è solo un bug, ecco cosa rischia il sistema

Errore o data breach? La sparizione di molti avvocati dall’Albo CNF solleva dubbi su privacy, respon…

Lorena Papini 09/04/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;