Garante: l’accesso alla email del lavoratore licenziato vìola la privacy

Tratto da www.garanteprivacy.it – News del 29/01/2026

Il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza. Tale garanzia, riconosciuta anche dalla Costituzione, salvaguarda la dignità della persona e il suo pieno sviluppo nelle relazioni sociali.

Lo ha ribadito il Garante per la protezione dei dati personali, che ha inflitto una sanzione di 40mila euro a una società per violazione della segretezza dell’account email di un amministratore delegato dopo la cessazione del rapporto di lavoro.

Nel reclamo presentato al Garante l’amministratore lamentava che, dopo aver ricevuto una lettera di contestazione disciplinare cui è seguito il licenziamento, l’azienda gli aveva negato l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva. Esercitando i propri diritti, aveva chiesto alla società di disabilitare l’account di posta elettronica, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo email personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo email. Richiesta tuttavia rimasta inevasa sebbene formulata correttamente ai sensi del GDPR.

Nel corso dell’istruttoria, il Garante ha accertato che l’azienda non solo continuava a ricevere le email indirizzate al lavoratore, ma addirittura le inoltrava ad un altro account di posta elettronica aziendale. Una pratica scorretta che si era protratta per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.

Tale modalità prolungata nel tempo ha determinato l’accesso e la conservazione di email personali, in violazione della normativa privacy. L’Autorità ha pertanto ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.

Nel definire l’ammontare della sanzione, il Garante ha considerato la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.

Garante privacy: no al controllo dello stile di guida dei lavoratori. Sanzione di 120mila euro a società che monitorava 5 dipendenti con auto aziendale

Tratto da www.garanteprivacy.it – News del 29/01/2026

Il Garante privacy ha inflitto una sanzione di 120mila euro ad una società del settore della selezione e produzione di sementi agricole per aver trattato in modo illecito i dati personali di cinque dipendenti.

La società, parte di un gruppo multinazionale, su disposizione della capogruppo svizzera, aveva fatto installare sui propri veicoli aziendali un dispositivo – associato al nominativo del conducente – che raccoglieva, in modo illecito, i dati sui viaggi di lavoro e privati (tempi, km, consumi e stile di guida) dei lavoratori, per l’assegnazione di un punteggio mensile. I dati così raccolti, venivano conservati per un periodo di 13 mesi e utilizzati ai fini delle valutazioni del comportamento alla guida dei dipendenti, nonché per l’adozione di eventuali interventi correttivi.

L’iniziativa, avviata in via sperimentale, era destinata a essere estesa a tutte le società europee del gruppo. Nel corso dell’attività ispettiva e delle successive verifiche, l’Autorità – intervenuta a seguito della ricezione di un reclamo – ha rilevato numerose violazioni della normativa privacy.

In particolare, è emerso che il dispositivo installato sui veicoli aziendali raccoglieva informazioni molto dettagliate sui viaggi effettuati, tali da consentire un controllo sull’attività dei lavoratori, svolto in assenza delle garanzie previste dallo Statuto dei lavoratori. Inoltre, l’informativa resa ai lavoratori era rivolta a tutte le società affiliate del gruppo, incluse quelle con sede extra-Ue, senza indicare in modo chiaro le finalità, le basi giuridiche né i soggetti qualificabili come titolari, responsabili e destinatari del trattamento dei dati.

Gli accertamenti condotti dal Garante hanno inoltre evidenziato che l’accesso alle informazioni raccolte tramite i dispositivi installati sulle auto aziendali era consentito anche al personale di altre società del gruppo, in assenza di un’idonea autorizzazione.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto sia del numero limitato di dipendenti coinvolti sia della sospensione immediata del trattamento dei dati ritenuto illecito, disposta dalla società subito dopo la contestazione. Il Garante ha inoltre ordinato la cancellazione dei dati relativi ai viaggi dei lavoratori, raccolti e utilizzati per l’attribuzione dei punteggi di comportamento alla guida.

Whistleblowing: nuovo parere del Garante privacy sulle Linee guida di ANAC

Tratto da www.garanteprivacy.it – News del 27/11/2025

Il Garante privacy ha espresso parere su due proposte di delibera dell’Anac relative al whistleblowing. La prima riguarda l’approvazione delle Linee guida per le segnalazioni interne, la seconda l’aggiornamento delle Linee guida per le segnalazioni esterne. L’obiettivo è rendere la gestione delle segnalazioni, sia interne che esterne, più uniforme ed efficace.

Le Linee guida tengono conto delle interlocuzioni intercorse con l’Ufficio del Garante, nella prospettiva di assicurare, in particolare, la piena tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, nonché la tutela dei dati delle persone a vario titolo coinvolte.

Molti i punti di attenzione, tra i quali, in particolare, i possibili rischi derivanti dall’utilizzo della posta elettronica come canale di segnalazione; la necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia; i tempi di conservazione della segnalazione e della relativa documentazione; la possibilità, in talune circostanze, di condividere il canale di segnalazione, ferma restando la necessità di adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza.

In continuità con gli orientamenti del Garante in materia, le Linee guida sui canali interni di segnalazione forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di acquisizione e gestione della segnalazione.

Ciò anche con riguardo alle misure tecniche e organizzative che, nel rispetto del principio di accountability, i datori di lavoro pubblici e privati, e gli altri soggetti obbligati, potranno adottare per proteggere i dati delle persone nel corso del processo di acquisizione e gestione della segnalazione, come, ad esempio, accorgimenti per impedire la tracciabilità della persona segnalante che acceda ai canali interni di segnalazione dalla rete dati interna all’organizzazione del datore di lavoro.

Trasparenza siti, il Garante privacy sanziona un Comune

Tratto da www.garanteprivacy.it – News del 25/09/2025

Il Garante privacy ha inflitto una sanzione di 12mila euro a un Comune per aver pubblicato online, i dati personali di centinaia di cittadini, in modo illecito. Le informazioni erano contenute nei registri delle richieste di accesso civico e documentale, caricati nella sezione Amministrazione trasparente del sito istituzionale e rimasti consultabili almeno fino ad aprile 2024.

Nei documenti – relativi a 1.455 istanze presentate tra il 2017 e settembre 2023 – comparivano nomi e cognomi dei mittenti e dei destinatari, numeri di protocollo, oggetto e descrizione delle istanze. In alcuni casi erano riportati i nominativi di proprietari di immobili o di intestatari di pratiche edilizie; in uno addirittura si potevano dedurre informazioni sullo stato di salute di un cittadino.

Il Comune ha giustificato la pubblicazione parlando di una “interpretazione ampia del principio di trasparenza”. Una tesi respinta dall’Autorità, che nel corso dell’istruttoria ha affermato che per tutelare la riservatezza delle persone coinvolte il Comune avrebbe dovuto oscurare i dati personali.

La diffusione di tali informazioni, sottolinea il Garante nel provvedimento, è inoltre in contrasto con le Linee guida dell’Anac e con la circolare del Ministro per la Pubblica Amministrazione, che richiedono espressamente l’oscuramento dei dati personali presenti nel Registro degli accessi pubblicati online, inclusi i nomi dei richiedenti e delle persone fisiche citate nei documenti.

Nel definire l’ammontare della sanzione, il Garante ha tenuto in considerazione la pronta collaborazione del Comune e la rimozione dei dati dal sito istituzionale.

Data breach: sanzione del Garante all’Ordine degli psicologi della Lombardia

Tratto da www.garanteprivacy.it – News del 30/05/2025

Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.

Il Garante è intervenuto a seguito di alcuni reclami e della notifica di data breach effettuata dall’Ordine, che ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali. La violazione ha comportato l’accesso abusivo alla rete informatica dell’Ordine, la cifratura e l’esfiltrazione di numerosi documenti contenenti, in particolare, dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari e di diversi pazienti, tra cui minori, e altre persone a vario titolo coinvolte.

L’attacco ha riguardato anche dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati. Pertanto, gli interessati sono stati esposti a rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato sul dark web i dati esfiltrati. Non sono state invece compromesse la disponibilità e l’integrità dei dati personali, che sono stati recuperati grazie alle procedure e ai sistemi di backup.

Dall’istruttoria del Garante è emerso che l’Ordine non aveva adottato misure adeguate a rilevare tempestivamente le violazioni dei dati personali e a garantire la sicurezza dei sistemi di trattamento. La sanzione è stata comminata tenuto conto della gravità e della natura particolarmente delicata dei dati coinvolti.

È stata tuttavia riconosciuta la collaborazione dell’Ordine, che ha comunicato di aver adottato ulteriori misure di sicurezza per prevenire futuri attacchi e migliorare la protezione dei dati personali trattati.

Categorie