Passa al contenuto principale

Baldi & Partners – Privacy e Cyber Sicurezza

  • 19 Maggio 2026

BACKUP DELLA CASELLA DI POSTA ELETTRONICA INDIVIDUALE AZIENDALE: COSA SANCISCE (E RIBADISCE) IL PROVVEDIMENTO DEL GARANTE NEL CASO CONTRO ITAS MUTUA DEL 12 MARZO 2026

Il provvedimento del Garante contro ITAS MUTUA, ha messo in luce diverse pratiche non conformi in esito all’istruttoria avviata a seguito di una istanza di accesso ai dati ex art. 15 Gdpr presentata da un ex dipendente per ottenere integralmente il contenuto della propria casella di posta elettronica aziendale individualizzata.

In particolare, le pratiche consistono in:

  1. Accesso filtrato alla mailbox: ITAS ha fornito solo una selezione dei messaggi ritenuti “personali”, anziché consentire l’accesso completo alla posta dell’ex dipendente, contravvenendo al diritto di accesso ex art. 15 GDPR.
  2. Conservazione prolungata nel backup: contenuti di posta elettronica non più disponibili online venivano mantenuti nei backup per 5 anni, comportamento che il Garante ha giudicato non proporzionato e contrario ai principi di limitazione della conservazione.
  3. Conservazione log di navigazione per 12 mesi: anche questa pratica è stata ritenuta non proporzionata e collegata ad un trattamento di dati personali potenzialmente invasivo.

In coerenza con lo Statuto dei lavoratori, che prevede all’art. 4 una specifica procedura di garanzia in caso di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, il Garante ha anche sottolineato che backup e log non possono essere usati per ricostruire nel tempo l’attività del personale senza garanzie adeguate: essi possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” o, in mancanza di accordo, “previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”. 

L’Autorità ha quindi disposto specifici provvedimenti correttivi: 1) consentire l’accesso integrale alla posta elettronica richiesta; 2) adeguare le policy aziendali e i trattamenti alla normativa privacy entro un determinato termine; 3) applicazione di una sanzione amministrativa pecuniaria, commisurata alla gravità e durata delle violazioni.

Per approfondimenti: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10233328

resta aggiornato
in tempo reale

C.F. e P.I. 00734370356

© Baldi Prati & Partners. All rights reserved.
Powered by AgM Srl.