Garante: l’accesso alla email del lavoratore licenziato vìola la privacy

Tratto da www.garanteprivacy.it – News del 29/01/2026

Il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza. Tale garanzia, riconosciuta anche dalla Costituzione, salvaguarda la dignità della persona e il suo pieno sviluppo nelle relazioni sociali.

Lo ha ribadito il Garante per la protezione dei dati personali, che ha inflitto una sanzione di 40mila euro a una società per violazione della segretezza dell’account email di un amministratore delegato dopo la cessazione del rapporto di lavoro.

Nel reclamo presentato al Garante l’amministratore lamentava che, dopo aver ricevuto una lettera di contestazione disciplinare cui è seguito il licenziamento, l’azienda gli aveva negato l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva. Esercitando i propri diritti, aveva chiesto alla società di disabilitare l’account di posta elettronica, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo email personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo email. Richiesta tuttavia rimasta inevasa sebbene formulata correttamente ai sensi del GDPR.

Nel corso dell’istruttoria, il Garante ha accertato che l’azienda non solo continuava a ricevere le email indirizzate al lavoratore, ma addirittura le inoltrava ad un altro account di posta elettronica aziendale. Una pratica scorretta che si era protratta per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.

Tale modalità prolungata nel tempo ha determinato l’accesso e la conservazione di email personali, in violazione della normativa privacy. L’Autorità ha pertanto ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.

Nel definire l’ammontare della sanzione, il Garante ha considerato la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.

Garante privacy: no al controllo dello stile di guida dei lavoratori. Sanzione di 120mila euro a società che monitorava 5 dipendenti con auto aziendale

Tratto da www.garanteprivacy.it – News del 29/01/2026

Il Garante privacy ha inflitto una sanzione di 120mila euro ad una società del settore della selezione e produzione di sementi agricole per aver trattato in modo illecito i dati personali di cinque dipendenti.

La società, parte di un gruppo multinazionale, su disposizione della capogruppo svizzera, aveva fatto installare sui propri veicoli aziendali un dispositivo – associato al nominativo del conducente – che raccoglieva, in modo illecito, i dati sui viaggi di lavoro e privati (tempi, km, consumi e stile di guida) dei lavoratori, per l’assegnazione di un punteggio mensile. I dati così raccolti, venivano conservati per un periodo di 13 mesi e utilizzati ai fini delle valutazioni del comportamento alla guida dei dipendenti, nonché per l’adozione di eventuali interventi correttivi.

L’iniziativa, avviata in via sperimentale, era destinata a essere estesa a tutte le società europee del gruppo. Nel corso dell’attività ispettiva e delle successive verifiche, l’Autorità – intervenuta a seguito della ricezione di un reclamo – ha rilevato numerose violazioni della normativa privacy.

In particolare, è emerso che il dispositivo installato sui veicoli aziendali raccoglieva informazioni molto dettagliate sui viaggi effettuati, tali da consentire un controllo sull’attività dei lavoratori, svolto in assenza delle garanzie previste dallo Statuto dei lavoratori. Inoltre, l’informativa resa ai lavoratori era rivolta a tutte le società affiliate del gruppo, incluse quelle con sede extra-Ue, senza indicare in modo chiaro le finalità, le basi giuridiche né i soggetti qualificabili come titolari, responsabili e destinatari del trattamento dei dati.

Gli accertamenti condotti dal Garante hanno inoltre evidenziato che l’accesso alle informazioni raccolte tramite i dispositivi installati sulle auto aziendali era consentito anche al personale di altre società del gruppo, in assenza di un’idonea autorizzazione.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto sia del numero limitato di dipendenti coinvolti sia della sospensione immediata del trattamento dei dati ritenuto illecito, disposta dalla società subito dopo la contestazione. Il Garante ha inoltre ordinato la cancellazione dei dati relativi ai viaggi dei lavoratori, raccolti e utilizzati per l’attribuzione dei punteggi di comportamento alla guida.

Il percorso dell’Europa verso la sovranità digitale

Tratto da www.endian.com

Anche l’Unione Europea ha riconosciuto l’importanza strategica della sovranità digitale e si è posta obiettivi ambiziosi. Con il programma European Digital Decade, l’UE mira a promuovere la trasformazione digitale in Europa. L’obiettivo è creare una società digitale basata su valori europei, in grado di rafforzare cittadini e imprese.

Per raggiungere questo obiettivo, un numero significativamente maggiore di organizzazioni dovrebbe adottare soluzioni tecnologiche europee. Per questo motivo, la European DIGITAL SME Alliance ha annunciato la pubblicazione di un “Tech Sovereignty Catalogue”, che elencherà e valuterà le soluzioni europee disponibili nei settori della connettività, del cloud, della cybersecurity, delle infrastrutture dati e dell’intelligenza artificiale (IA).

Questo catalogo si basa sul concetto EuroStack presentato nel settembre 2024, un quadro concettuale pensato per aiutare l’Europa a costruire un’infrastruttura digitale interoperabile e sovrana.

Un altro traguardo importante è il Data Act dell’UE, approvato l’11 gennaio 2024. Il suo obiettivo è ottimizzare l’accesso e lo scambio di dati a livello europeo, nel rispetto delle normative UE sulla protezione dei dati. La legge è entrata in vigore nel settembre dello scorso anno.

Con l’European Chips Act, l’Europa punta inoltre a soddisfare il proprio fabbisogno di semiconduttori, elemento fondamentale per la digitalizzazione.

Il progetto Gaia-X ha posto le basi per tutte queste iniziative. L’iniziativa franco-tedesca avviata nel 2020 si è posta l’obiettivo di promuovere servizi cloud e dati sicuri e interoperabili, offrendo agli utenti un maggiore controllo sui propri dati.

La Endian Secure Digital Platform supporta le aziende nel loro percorso verso la sovranità digitale. Basata su tecnologie open source, consente la connessione e la protezione di sistemi IT e OT. Fin dall’inizio è stata sviluppata con l’obiettivo di offrire il massimo controllo e la massima flessibilità.

Oggi, la Endian Secure Digital Platform combina i principali elementi della sovranità digitale:

Cybersecurity IT & OT

Il sistema operativo open source EndianOS costituisce la base della piattaforma. Sviluppato secondo il principio del security by design, integra diversi strumenti di sicurezza coordinati per proteggere tutti i sistemi connessi.

Accesso e protezione dei dati secondo il modello zero trust

Ogni singolo accesso viene verificato. La micro-segmentazione della rete consente di definire livelli di protezione specifici.

Flessibilità grazie all’open source

Gli utenti possono scegliere tra diverse opzioni di hosting, poiché la piattaforma è disponibile anche come soluzione on-premises. La migrazione è semplice e tutti i gateway di sicurezza sono disponibili come varianti software, trasformando hardware esistente (x86_64) in potenti soluzioni UTM.

Integrazione di soluzioni di terze parti tramite Docker

Grazie ai container Docker, è possibile eseguire software aggiuntivo direttamente sui dispositivi edge.

Supporto alla conformità normativa

Alcuni requisiti tecnici di GDPR, IEC 62443, ISO 27001 e NIS2 sono già integrati nella piattaforma, aiutando le aziende a raggiungere la conformità.

Accesso remoto sicuro

La gestione granulare di ruoli e permessi consente di configurare facilmente diritti di accesso dettagliati. Tutte le connessioni sono crittografate e possono essere monitorate, se necessario.

Per ulteriori informazioni sulla Endian Secure Digital Platform: dircom@argonavis.it

Buon Natale e Felice 2026

I nostri uffici rimarranno chiusi dal 24 dicembre 2025 al 6 gennaio 2026.

Per problemi tecnici urgenti, non rimandabili, https://helpdesk.argonavis.it/

Lo Staff Argonavis vi augura Buone Feste.

Whistleblowing: nuovo parere del Garante privacy sulle Linee guida di ANAC

Tratto da www.garanteprivacy.it – News del 27/11/2025

Il Garante privacy ha espresso parere su due proposte di delibera dell’Anac relative al whistleblowing. La prima riguarda l’approvazione delle Linee guida per le segnalazioni interne, la seconda l’aggiornamento delle Linee guida per le segnalazioni esterne. L’obiettivo è rendere la gestione delle segnalazioni, sia interne che esterne, più uniforme ed efficace.

Le Linee guida tengono conto delle interlocuzioni intercorse con l’Ufficio del Garante, nella prospettiva di assicurare, in particolare, la piena tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, nonché la tutela dei dati delle persone a vario titolo coinvolte.

Molti i punti di attenzione, tra i quali, in particolare, i possibili rischi derivanti dall’utilizzo della posta elettronica come canale di segnalazione; la necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia; i tempi di conservazione della segnalazione e della relativa documentazione; la possibilità, in talune circostanze, di condividere il canale di segnalazione, ferma restando la necessità di adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza.

In continuità con gli orientamenti del Garante in materia, le Linee guida sui canali interni di segnalazione forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di acquisizione e gestione della segnalazione.

Ciò anche con riguardo alle misure tecniche e organizzative che, nel rispetto del principio di accountability, i datori di lavoro pubblici e privati, e gli altri soggetti obbligati, potranno adottare per proteggere i dati delle persone nel corso del processo di acquisizione e gestione della segnalazione, come, ad esempio, accorgimenti per impedire la tracciabilità della persona segnalante che acceda ai canali interni di segnalazione dalla rete dati interna all’organizzazione del datore di lavoro.