Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy

Sommario dell’articolo

1. Il caso

• Reclamo presentato da un ex agente commerciale contro Selectra S.p.A.
• Contestazione dell’accesso alle email aziendali dopo la cessazione del rapporto
• Utilizzo del software MailStore per backup e conservazione delle email
• Uso delle email (34) in un procedimento giudiziario presso il Tribunale di Venezia

2. Le violazioni riscontrate dal Garante

2.1 Violazioni relative all’informativa (artt. 5 e 13 GDPR)

• Informativa incompleta sui tempi di conservazione dei dati
• Mancata specificazione del backup delle email per 3 anni post-rapporto
• Assenza di informazioni sulle modalità di controllo e indagine
• Inadeguata descrizione delle finalità del trattamento

2.2 Violazioni relative al trattamento (art. 5, 88 GDPR e art. 114 Codice Privacy)

• Conservazione eccessiva delle email (3 anni post-rapporto)
• Conservazione ingiustificata dei log per 6 mesi
• Utilizzo del software MailStore per finalità diverse dalla sicurezza informatica
• Violazione dei principi di: Liceitò, minimizzazione dei dati, limitazione della conservazione

3. Le decisioni del Garante

3.1 Provvedimenti immediati

• Divieto di ulteriore trattamento dei dati estratti tramite MailStore
• Sanzione amministrativa di 80.000 euro

3.2 Motivazioni della sanzione

• Gravità della violazione dei principi generali
• Numero significativo di interessati coinvolti (151 dipendenti)
• Considerazione della cooperazione dell’azienda
• Assenza di precedenti specifici

4. Principi stabiliti dal Garante

4.1 Gestione documentale

• Necessità di sistemi specifici per l’archiviazione
• Inadeguatezza dei sistemi di posta elettronica per la conservazione
• Obbligo di garantire autenticità, integrità e affidabilità dei documenti

4.2 Tutela in giudizio

• Il trattamento deve riferirsi a contenziosi in atto o situazioni precontenziose
• Non sono ammesse conservazioni per astratte ipotesi di tutela futura

5. Implicazioni pratiche

• Necessità di revisione delle policy aziendali sulla gestione email
• Importanza di informative complete e dettagliate
• Obbligo di sistemi di gestione documentale appropriati
• Limitazione dei tempi di conservazione dei dati

Il caso: la controversia tra l’ex agente commerciale e Selectra S.p.A.

La vicenda prende avvio il 28 dicembre 2021, quando un ex agente commerciale presenta un reclamo al Garante per la Protezione dei Dati Personali contro Selectra S.p.A., società con cui aveva intrattenuto un rapporto di collaborazione commerciale. Al centro della controversia si colloca l’accesso e l’utilizzo della casella di posta elettronica aziendale dopo la cessazione del rapporto di collaborazione, avvenuta il 24 febbraio 2021.

Il reclamante contesta specificamente che la società, dopo l’interruzione del rapporto professionale, aveva mantenuto attivo l’account di posta elettronica aziendale di tipo individualizzato a lui precedentemente assegnato, accedendo al contenuto della corrispondenza. La criticità della situazione è emersa quando tali comunicazioni, per un totale di 34 email, sono state successivamente utilizzate come elementi probatori nell’ambito di un procedimento giudiziario avviato dalla società nei confronti dell’ex agente presso il Tribunale di Venezia.

La società, in risposta alle contestazioni, ha sostenuto di non aver mai acceduto direttamente alla casella di posta elettronica durante la vigenza del rapporto di lavoro, ma di aver effettuato regolari backup attraverso il software MailStore, un sistema automatizzato che conservava i dati per un periodo massimo di tre anni dopo la cessazione di ogni rapporto lavorativo o di collaborazione. Selectra ha giustificato l’accesso successivo alle email sostenendo di aver agito per tutelare i propri segreti aziendali, avendo fondati sospetti sulla sottrazione di dati riservati da parte dell’ex collaboratore.

Per condurre le verifiche, la società ha incaricato uno studio di ingegneria forense di svolgere una perizia tecnica, finalizzata ad accertare eventuali fenomeni di esfiltrazione di dati aziendali segreti. Lo studio ha acquisito una copia forense del backup della casella di posta elettronica direttamente dall’applicativo MailStore. La società ha inoltre sottolineato di aver disattivato l’account entro tre giorni dal 5 marzo 2021, data in cui era stata inviata una specifica direttiva al reparto IT, e di aver fornito al collaboratore, sin dal 15 marzo 2019, sia l’informativa privacy che il regolamento aziendale contenente le policy di utilizzo degli strumenti informatici.

La particolarità del caso risiede nella natura del rapporto tra le parti: non un rapporto di lavoro subordinato, ma una collaborazione autonoma regolata da un contratto di agenzia. Questo aspetto ha sollevato interessanti questioni giuridiche circa l’applicabilità delle tutele previste per i lavoratori dipendenti anche ai collaboratori esterni, specialmente in materia di controlli sugli strumenti di lavoro e protezione dei dati personali.​​​​​​​​​​​​​​​​

Contestazione dell’accesso alle email aziendali dopo la cessazione del rapporto

Il Garante per la Protezione dei Dati Personali, nell’esaminare la controversia, ha posto particolare attenzione alle modalità e alle giustificazioni addotte da Selectra S.p.A. per l’accesso alle email del collaboratore dopo la cessazione del rapporto. La questione si è rivelata particolarmente delicata poiché tocca il delicato equilibrio tra le esigenze di tutela aziendale e i diritti alla riservatezza del collaboratore.

L’Autorità ha rilevato diverse criticità nell’operato della società.

In primo luogo, l’informativa fornita al collaboratore risultava inadeguata e incompleta nel rappresentare le caratteristiche e le modalità dei trattamenti svolti. Mentre il documento prevedeva genericamente la conservazione dei dati personali per 10 anni per adempimenti amministrativi e la registrazione dei log di accesso per 6 mesi, nessuna menzione specifica era fatta riguardo al backup sistematico delle email e alla loro conservazione per tre anni dopo la fine del rapporto.

Particolarmente problematica è apparsa la giustificazione della società secondo cui l’accesso era legittimato da “fondati sospetti di sottrazione di segreti aziendali”. Il Garante ha infatti precisato che il trattamento dei dati personali per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi già in atto o a situazioni precontenziose concrete, e non può basarsi su astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.

La società aveva anche sostenuto che il backup tramite MailStore rappresentasse una misura tecnica di sicurezza necessaria per garantire l’integrità dei dati. Tuttavia, il Garante ha rilevato come l’utilizzo effettivo del software sia andato ben oltre le finalità di sicurezza informatica, trasformandosi in uno strumento di controllo e verifica dell’attività del collaboratore. Questa modalità di utilizzo è stata ritenuta in contrasto con i principi fondamentali del GDPR, in particolare quelli di liceità, minimizzazione dei dati e limitazione della conservazione.

Un ulteriore elemento di criticità è emerso nella gestione temporale dell’accesso: mentre la società sosteneva di aver disattivato tempestivamente l’account, l’accesso ai contenuti delle email attraverso i backup è proseguito ben oltre la cessazione del rapporto, senza che fossero state fornite adeguate giustificazioni per un periodo di conservazione così esteso. Il Garante ha sottolineato come questa pratica non fosse proporzionata né necessaria rispetto alle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale.

La contestazione ha messo in luce la necessità per le aziende di dotarsi di sistemi di gestione documentale specifici e di procedure chiare per la conservazione e l’accesso ai dati dopo la cessazione dei rapporti di lavoro o collaborazione, evitando prassi che possano configurarsi come forme di controllo non autorizzato o di trattamento illecito dei dati personali.​​​​​​​​​​​​​​​​

Utilizzo del software MailStore per backup e conservazione delle email

L’analisi del Garante Privacy si è concentrata in modo particolare sull’utilizzo del software MailStore da parte di Selectra S.p.A., evidenziando come questo strumento, apparentemente implementato per finalità di sicurezza informatica, si sia trasformato in un mezzo di controllo e conservazione sistematica delle comunicazioni aziendali, sollevando significative problematiche in materia di protezione dei dati personali.

Secondo quanto dichiarato dalla società nelle sue memorie difensive, MailStore veniva utilizzato per eseguire automaticamente il backup delle caselle di posta elettronica aziendali, senza necessità di intervento diretto del personale. La procedura prevedeva la conservazione sistematica di tutte le email per l’intera durata del rapporto di lavoro/collaborazione e per i successivi tre anni dalla sua cessazione. Selectra ha giustificato questa pratica sostenendo che si trattasse di una misura tecnica di sicurezza disposta in ottemperanza all’art. 5, par. 1, lett. f) del GDPR, finalizzata a proteggere l’integrità dei dati da possibili attacchi informatici.

Tuttavia, il Garante ha individuato diverse criticità nell’utilizzo di questo software. In primo luogo, la società non è stata in grado di giustificare adeguatamente la necessità di un periodo di conservazione così esteso (tre anni post-rapporto) per finalità di sicurezza informatica. L’Autorità ha evidenziato come la conservazione massiva e indiscriminata di tutte le comunicazioni per un periodo così lungo non risponda ai principi di minimizzazione dei dati e limitazione della conservazione previsti dal GDPR.

Particolarmente problematico è risultato l’utilizzo effettivo del software nel caso specifico. Infatti, MailStore è stato impiegato non solo come strumento di backup, ma anche come fonte per recuperare e analizzare le comunicazioni dell’ex collaboratore nell’ambito di un’indagine interna. La società ha infatti incaricato uno studio di ingegneria forense di acquisire una copia forense del backup per verificare presunte attività illecite, trasformando così uno strumento di sicurezza in un mezzo di controllo a posteriori.

Il Garante ha inoltre rilevato come l’utilizzo di MailStore non fosse adeguatamente descritto nell’informativa fornita ai dipendenti e collaboratori. Mentre il documento aziendale menzionava genericamente la possibilità di accedere alle caselle email per esigenze di continuità operativa, non conteneva alcuna informazione specifica sul backup sistematico e sulla lunga conservazione dei dati attraverso questo software.

Uso delle email (34) in un procedimento giudiziario presso il Tribunale di Venezia

La controversia ha assunto particolare rilevanza quando è emerso che Selectra S.p.A. aveva utilizzato 34 email estratte attraverso il software MailStore come elementi probatori in un procedimento giudiziario avviato presso il Tribunale di Venezia contro l’ex agente commerciale. Questo aspetto del caso ha sollevato importanti questioni circa la legittimità dell’acquisizione e dell’utilizzo di comunicazioni elettroniche in sede processuale.

Il Garante Privacy, nell’esaminare questa specifica questione, ha richiamato un principio fondamentale stabilito dall’art. 160-bis del Codice Privacy, secondo cui “la validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”. Questo significa che, nonostante l’illiceità del trattamento dal punto di vista della protezione dei dati personali, spetta al giudice del procedimento valutare l’ammissibilità e l’utilizzabilità delle email come prove.

La società aveva giustificato l’accesso e l’utilizzo delle email sostenendo di agire per una “finalità determinata e legittima di tutela in ambito giudiziario”. Tuttavia, il Garante ha precisato un principio fondamentale: il trattamento dei dati personali per finalità di tutela dei propri diritti in giudizio deve necessariamente riferirsi a contenziosi già in atto o a situazioni precontenziose concrete e non può basarsi su astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.

La criticità dell’utilizzo delle 34 email è stata amplificata dal fatto che queste erano state acquisite attraverso un sistema di backup la cui finalità dichiarata era la sicurezza informatica. Il Garante ha evidenziato come ci sia stato uno sviamento della finalità originaria del trattamento: da strumento di protezione dei sistemi informatici, MailStore è stato utilizzato come mezzo per raccogliere prove in un contenzioso, senza che questa possibilità fosse stata adeguatamente comunicata nell’informativa privacy fornita al collaboratore.

Un ulteriore elemento di complessità è emerso dal fatto che le email utilizzate nel procedimento giudiziario erano state acquisite attraverso una perizia tecnica affidata a uno studio di ingegneria forense. Secondo il Garante, questa modalità di acquisizione, seppur tecnicamente sofisticata, non ha sanato l’illiceità del trattamento originario, in quanto basata su dati conservati in violazione dei principi fondamentali del GDPR.

La vicenda ha evidenziato la necessità per le aziende di dotarsi di procedure chiare e legittime per l’acquisizione di prove digitali in caso di contenzioso, rispettando sia i principi della protezione dei dati personali sia le garanzie processuali. In particolare, emerge l’importanza di:

• Predisporre informative complete che specifichino la possibilità di utilizzo dei dati in sede giudiziaria
• Implementare sistemi di conservazione delle prove digitali conformi alla normativa privacy
• Garantire la correttezza procedurale nell’acquisizione delle prove elettroniche
• Documentare adeguatamente le ragioni specifiche che giustificano l’accesso ai dati personali dei dipendenti o collaboratori

Questa pronuncia del Garante costituisce un importante riferimento per la gestione del delicato equilibrio tra le esigenze di tutela giudiziaria delle aziende e il rispetto dei diritti fondamentali alla privacy dei lavoratori e collaboratori.​​​​​​​​​​​​​​​​

Informativa incompleta sui tempi di conservazione dei dati

Il Garante Privacy ha individuato nella carenza informativa sui tempi di conservazione dei dati una delle principali violazioni commesse da Selectra S.p.A., evidenziando come questa mancanza non rappresenti una mera irregolarità formale, ma una sostanziale violazione dei principi di correttezza e trasparenza nel trattamento dei dati personali.

L’analisi dell’Autorità ha rilevato che l’informativa fornita dalla società presentava diverse lacune e incongruenze nella definizione dei periodi di conservazione. In particolare, il documento prevedeva:

• Un periodo generale di conservazione di 10 anni per gli adempimenti connessi alla conclusione del rapporto di lavoro, in conformità agli artt. 19 e 22 del d.P.R. 600/1973
• Un periodo di almeno 6 mesi per la conservazione dei log di accesso alla posta elettronica e al gestionale
• Nessuna indicazione specifica sul periodo di conservazione di 3 anni previsto per i backup delle email attraverso il software MailStore

Questa frammentazione e incompletezza delle informazioni sui tempi di conservazione è stata ritenuta particolarmente grave dal Garante per diverse ragioni:

Violazione del principio di trasparenza:

• L’interessato non era messo nelle condizioni di comprendere per quanto tempo i suoi dati sarebbero stati effettivamente conservati
• La presenza di diversi periodi di conservazione non adeguatamente giustificati creava confusione sulla reale durata del trattamento
• Mancava una chiara correlazione tra le finalità del trattamento e i relativi periodi di conservazione

Impossibilità di esercitare i diritti:

• La mancanza di informazioni precise sui tempi di conservazione impediva all’interessato di esercitare consapevolmente i propri diritti
• Non era possibile valutare la legittimità della conservazione in relazione alle diverse finalità dichiarate
• L’interessato non poteva pianificare eventuali richieste di cancellazione o limitazione del trattamento

Criticità nella proporzionalità:

• L’assenza di una giustificazione per i diversi periodi di conservazione rendeva impossibile valutare la proporzionalità del trattamento
• Non emergeva il nesso tra le esigenze aziendali e la durata della conservazione
• Mancava una valutazione sulla necessità di mantenere i dati per periodi così estesi

Il Garante ha sottolineato come un’informativa completa sui tempi di conservazione debba:

• Indicare con precisione i periodi di conservazione per ogni categoria di dati
• Specificare le ragioni che giustificano la durata del trattamento
• Correlare i tempi di conservazione alle specifiche finalità perseguite
• Prevedere meccanismi di revisione periodica della necessità di conservazione
• Garantire la cancellazione o l’anonimizzazione dei dati al termine del periodo di conservazione

L’Autorità ha quindi stabilito che l’informativa fornita da Selectra non soddisfaceva i requisiti dell’art. 13 del GDPR, in quanto non permetteva agli interessati di comprendere l’effettiva durata del trattamento dei loro dati personali. Questa carenza informativa ha contribuito alla determinazione della sanzione amministrativa, evidenziando come la corretta informazione sui tempi di conservazione sia un elemento essenziale per garantire la liceità del trattamento dei dati personali.

Mancata specificazione del backup delle email per 3 anni post-rapporto

Il Garante Privacy ha posto particolare enfasi sulla mancata informazione circa la conservazione triennale dei backup delle email dopo la cessazione del rapporto, identificandola come una grave violazione degli obblighi di trasparenza e correttezza nel trattamento dei dati personali.

La criticità della situazione si articola su diversi livelli:

Assenza totale di informazione sulla pratica di backup

1. L’informativa non menzionava in alcun modo l’esistenza del sistema MailStore
2. Non veniva specificata la natura automatica e sistematica dei backup
3. Mancava qualsiasi riferimento alla conservazione post-rapporto delle comunicazioni
4. Gli interessati non erano informati dell’esistenza di un archivio storico delle loro email

Problematiche relative alla durata della conservazione

• Il periodo di tre anni post-rapporto non era né comunicato né giustificato
• Non venivano specificate le ragioni tecniche o giuridiche di tale periodo
• Mancava una valutazione sulla proporzionalità della durata della conservazione
• Non erano indicati i criteri per determinare la necessità di un periodo così esteso

Carenze nelle finalità dichiarate

• L’informativa non chiariva le finalità specifiche della conservazione prolungata
• La giustificazione basata sulla sicurezza informatica è stata ritenuta inadeguata
• Non emergeva il collegamento tra le finalità dichiarate e la durata del backup
• Mancava una spiegazione sulla necessità di mantenere i dati dopo la cessazione del rapporto

Implicazioni pratiche della mancata informazione:

• Gli interessati non potevano esercitare consapevolmente i propri diritti
• Non era possibile contestare la legittimità della conservazione
• Risultava compromessa la possibilità di richiedere la cancellazione dei dati
• Gli ex collaboratori non erano consapevoli della persistenza delle loro comunicazioni

Il Garante ha evidenziato come questa omissione informativa abbia comportato:

• Una violazione del principio di trasparenza
• Un pregiudizio al diritto di autodeterminazione informativa
• Un impedimento all’esercizio consapevole dei diritti degli interessati
• Una compromissione della fiducia nel rapporto tra azienda e collaboratori

L’Autorità ha sottolineato che una corretta informativa avrebbe dovuto specificare:

• L’esistenza e le modalità di funzionamento del sistema di backup
• Le ragioni specifiche della conservazione post-rapporto
• I criteri per determinare la durata della conservazione
• Le garanzie previste per proteggere i dati conservati
• Le modalità di esercizio dei diritti durante il periodo di conservazione

La decisione del Garante evidenzia la necessità per le aziende di:

• Rivedere le proprie policy di backup e conservazione dei dati
• Aggiornare le informative includendo tutti i dettagli rilevanti
• Implementare sistemi di gestione documentale trasparenti
• Garantire la proporzionalità dei periodi di conservazione
• Documentare adeguatamente le ragioni delle scelte tecniche e organizzative

Questa pronuncia costituisce un importante precedente che impone alle organizzazioni di ripensare le proprie pratiche di conservazione dei dati, assicurando che ogni aspetto del trattamento sia adeguatamente comunicato agli interessati e sia supportato da valide ragioni tecniche o giuridiche.​​​​​​​​​​​​​​​​

Assenza di informazioni sulle modalità di controllo e indagine

Il Garante Privacy ha riservato particolare attenzione a una delle criticità più significative riscontrate nell’informativa fornita da Selectra S.p.A.: la totale assenza di indicazioni sulle modalità di controllo e indagine che l’azienda si riservava di effettuare sui contenuti delle comunicazioni elettroniche dei propri dipendenti e collaboratori.

Nell’esaminare la documentazione fornita, l’Autorità ha rilevato come l’informativa si limitasse a contenere formulazioni generiche sulla possibilità di accedere alle caselle di posta elettronica, senza fornire alcun dettaglio sulle concrete modalità di tale accesso e sulle eventuali attività di verifica che l’azienda avrebbe potuto intraprendere. Questa mancanza è apparsa particolarmente grave considerando che la società aveva effettivamente condotto indagini approfondite sul contenuto delle comunicazioni attraverso uno studio di ingegneria forense, un’attività di cui gli interessati non erano stati minimamente informati.

Il Garante ha sottolineato come questa carenza informativa non rappresenti una mera omissione formale, ma una sostanziale violazione del principio di trasparenza nel trattamento dei dati personali. Gli interessati, infatti, avevano il diritto di essere informati preventivamente sulla possibilità che le loro comunicazioni potessero essere oggetto di verifiche e controlli, sulle circostanze che avrebbero potuto giustificare tali controlli e sulle modalità concrete con cui questi sarebbero stati effettuati.

La gravità dell’omissione è stata amplificata dal fatto che l’azienda aveva implementato un sistema sofisticato di backup e archiviazione delle comunicazioni attraverso il software MailStore, che consentiva non solo la conservazione ma anche l’analisi dettagliata dei contenuti delle email. Questa capacità tecnica di controllo, non dichiarata nell’informativa, ha rappresentato secondo il Garante una violazione particolarmente significativa del diritto degli interessati a essere informati sulle modalità del trattamento dei loro dati personali.

L’Autorità ha evidenziato come un’informativa completa avrebbe dovuto specificare non solo l’esistenza di possibili controlli, ma anche le circostanze legittime che li avrebbero potuti giustificare, le procedure di autorizzazione interna necessarie per effettuarli e le garanzie previste per evitare accessi indiscriminati o non giustificati alle comunicazioni personali. La mancanza di queste informazioni ha di fatto impedito agli interessati di valutare la liceità dei controlli e di esercitare consapevolmente i propri diritti.

La decisione del Garante sottolinea come la trasparenza nelle attività di controllo sia un elemento essenziale per garantire un corretto equilibrio tra le legittime esigenze di tutela aziendale e il diritto alla riservatezza dei lavoratori e dei collaboratori. Le aziende sono quindi chiamate a rivedere le proprie informative per assicurare che ogni possibile attività di controllo sia adeguatamente comunicata e giustificata, nel rispetto dei principi fondamentali della protezione dei dati personali.​​​​​​​​​​​​​​​​

Inadeguata descrizione delle finalità del trattamento

Nell’analisi approfondita del caso Selectra, il Garante Privacy ha riservato particolare attenzione alla questione dell’inadeguata descrizione delle finalità del trattamento dei dati personali, evidenziando come questa carenza abbia rappresentato una violazione sostanziale dei principi fondamentali del GDPR.

L’informativa fornita dalla società presentava una descrizione delle finalità del trattamento estremamente generica e ambigua. Mentre da un lato dichiarava che il trattamento dei dati delle email aziendali era finalizzato alla gestione del rapporto di lavoro e alla sicurezza informatica, dall’altro ometteva di specificare gli ulteriori utilizzi che l’azienda si riservava di fare di tali informazioni. In particolare, non veniva menzionata la possibilità di utilizzare i dati per verifiche sulla condotta dei collaboratori o per la tutela dei diritti aziendali in sede giudiziaria, utilizzi che poi si sono effettivamente verificati nel caso dell’ex agente commerciale.

Il Garante ha evidenziato come questa genericità nella descrizione delle finalità abbia compromesso la capacità degli interessati di comprendere effettivamente come i loro dati sarebbero stati utilizzati. La società aveva infatti giustificato l’accesso alle email dell’ex collaboratore citando la “tutela dei segreti aziendali” e la necessità di verificare presunte condotte illecite, finalità che non erano state in alcun modo anticipate nell’informativa originaria. Questa discrepanza tra le finalità dichiarate e quelle effettivamente perseguite ha rappresentato, secondo l’Autorità, una violazione del principio di correttezza nel trattamento dei dati personali.

Particolarmente critica è apparsa la sovrapposizione tra diverse finalità non adeguatamente distinte nell’informativa. Mentre il software MailStore veniva presentato come uno strumento di backup per la sicurezza informatica, nella pratica è stato utilizzato come mezzo di controllo e di raccolta prove, creando una commistione di finalità che avrebbe dovuto essere chiaramente esplicitata e giustificata nell’informativa iniziale.

L’Autorità ha sottolineato come una corretta descrizione delle finalità del trattamento non si esaurisca nella mera elencazione di scopi generici, ma richieda una spiegazione dettagliata che permetta all’interessato di comprendere esattamente come i suoi dati verranno utilizzati. Nel caso specifico, l’informativa avrebbe dovuto chiarire non solo le finalità primarie legate alla gestione del rapporto di lavoro, ma anche quelle secondarie relative al controllo, alla verifica e all’eventuale tutela giudiziaria, specificando le circostanze che avrebbero potuto giustificare tali utilizzi.

La decisione del Garante evidenzia come la trasparenza sulle finalità del trattamento sia un elemento essenziale per garantire la liceità del trattamento stesso.

Non è sufficiente che le finalità esistano e siano legittime: devono essere comunicate in modo chiaro e completo agli interessati, permettendo loro di comprendere appieno le modalità e gli scopi per cui i loro dati personali vengono raccolti e utilizzati. Questa chiarezza nella comunicazione delle finalità rappresenta non solo un obbligo normativo, ma anche un elemento fondamentale per costruire un rapporto di fiducia tra l’azienda e i suoi collaboratori, basato sulla trasparenza e sul rispetto dei diritti fondamentali alla privacy e alla protezione dei dati personali.​​​​​​​​​​​​​​​​

Conservazione eccessiva delle email (3 anni post-rapporto)

La decisione del Garante Privacy ha posto particolare enfasi sulla criticità rappresentata dalla conservazione delle email per un periodo di tre anni successivo alla cessazione del rapporto di lavoro, considerandola una violazione del principio di limitazione della conservazione sancito dal GDPR.

Selectra aveva implementato, attraverso il software MailStore, un sistema di backup automatico che prevedeva la conservazione integrale delle comunicazioni email per l’intera durata del rapporto e per i successivi tre anni. La società aveva giustificato questa pratica sostenendo che si trattasse di una misura necessaria per garantire la sicurezza informatica e la possibilità di recuperare informazioni in caso di contenziosi. Tuttavia, il Garante ha ritenuto questa giustificazione insufficiente e non supportata da valide ragioni tecniche o giuridiche.

Nella sua analisi, l’Autorità ha evidenziato come la conservazione prolungata e indiscriminata di tutte le comunicazioni elettroniche costituisca una violazione del principio di proporzionalità. La necessità di garantire la sicurezza informatica, infatti, non può giustificare la conservazione integrale delle email per un periodo così esteso dopo la cessazione del rapporto. Il Garante ha sottolineato come le esigenze di sicurezza possano essere soddisfatte con periodi di conservazione significativamente più brevi e con modalità più selettive.

Particolarmente critica è apparsa la mancanza di un sistema di selezione e cancellazione progressiva delle comunicazioni non più necessarie. Il software MailStore, infatti, conservava indistintamente tutte le email, senza alcuna valutazione sulla loro effettiva rilevanza o necessità di conservazione. Questa pratica è stata considerata in contrasto con il principio di minimizzazione dei dati, che richiede che i dati personali siano conservati solo per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti.

Il Garante ha inoltre rilevato come la conservazione triennale post-rapporto non fosse giustificata nemmeno dall’esigenza di tutela giudiziaria dei diritti aziendali. Se da un lato è legittimo conservare documentazione rilevante per eventuali contenziosi, dall’altro questa conservazione deve essere selettiva e proporzionata, non potendo estendersi indiscriminatamente a tutte le comunicazioni scambiate durante il rapporto di lavoro.

La decisione sottolinea come le aziende debbano adottare politiche di conservazione dei dati più granulari e differenziate, prevedendo periodi di conservazione diversi in base alla tipologia di informazioni e alle finalità perseguite. In particolare, è necessario implementare procedure di revisione periodica che permettano di identificare e cancellare i dati non più necessari, evitando accumuli informativi non giustificati che possono rappresentare non solo una violazione della privacy ma anche un rischio per la sicurezza delle informazioni aziendali.

Conservazione ingiustificata dei log per 6 mesi

Il Garante Privacy ha riservato una particolare attenzione alla questione della conservazione dei log di accesso alla posta elettronica e al gestionale aziendale per un periodo di sei mesi, rilevando come tale pratica rappresentasse un’ulteriore criticità nel trattamento dei dati personali operato da Selectra.

La società aveva predisposto un sistema di registrazione automatica degli accessi che tracciava in modo sistematico tutte le interazioni con il sistema di posta elettronica e con il gestionale aziendale. Questi log venivano conservati per un periodo minimo di sei mesi, come specificato nell’informativa fornita ai dipendenti e collaboratori. Tuttavia, il Garante ha evidenziato come la società non avesse fornito alcuna giustificazione tecnica o organizzativa che supportasse la necessità di un periodo di conservazione così esteso.

Nella sua analisi, l’Autorità ha richiamato il recente “Documento di indirizzo sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo” del 6 giugno 2024, nel quale vengono fornite indicazioni precise sui tempi di conservazione dei log. Secondo queste linee guida, la conservazione dei dati di log dovrebbe essere limitata al tempo strettamente necessario per finalità tecniche e di sicurezza, generalmente quantificabile in poche settimane.

La conservazione semestrale dei log è apparsa particolarmente problematica considerando la natura dettagliata delle informazioni raccolte. I log, infatti, permettevano di ricostruire in modo minuzioso l’attività degli utenti, tracciando orari di accesso, durata delle sessioni e altre informazioni che, analizzate nel loro complesso, potevano fornire un quadro estremamente dettagliato delle abitudini lavorative dei dipendenti e collaboratori.

Il Garante ha sottolineato come la conservazione prolungata di questi dati costituisca una forma di potenziale controllo a distanza dell’attività lavorativa, particolarmente invasiva considerando la granularità delle informazioni raccolte. La società non aveva dimostrato come tale periodo di conservazione fosse necessario per le dichiarate finalità di sicurezza informatica, né aveva fornito evidenze di specifiche esigenze tecniche o organizzative che giustificassero la necessità di mantenere i log per così tanto tempo.

La decisione evidenzia come le aziende debbano adottare un approccio più rigoroso nella definizione dei tempi di conservazione dei dati di log, basandosi su un’attenta valutazione delle effettive necessità tecniche e organizzative. Non è sufficiente stabilire un periodo di conservazione in modo arbitrario: è necessario che questo sia adeguatamente giustificato e proporzionato alle finalità perseguite, nel rispetto dei principi di minimizzazione dei dati e limitazione della conservazione.

Utilizzo del software MailStore per finalità diverse dalla sicurezza informatica

MailStore è un software progettato per l’archiviazione centralizzata delle e-mail aziendali, consentendo la conservazione sicura e l’accesso rapido alle comunicazioni elettroniche. Questo strumento supporta vari sistemi di posta elettronica e offre funzionalità come la deduplicazione e la compressione dei dati, riducendo lo spazio di archiviazione necessario.

Selectra S.p.A., azienda leader nel commercio di materiale elettrico all’ingrosso e al dettaglio, ha implementato MailStore per eseguire backup periodici delle caselle di posta elettronica aziendali. Secondo le dichiarazioni della società, tali backup vengono effettuati automaticamente dal software, senza richiedere accessi manuali da parte del personale. I dati archiviati vengono conservati per un periodo massimo di tre anni, anche dopo la cessazione del rapporto lavorativo o di collaborazione.

La questione dell’utilizzo improprio del software MailStore è emersa come uno degli aspetti più critici nell’analisi condotta dal Garante Privacy sul caso Selectra. L’Autorità ha evidenziato come la società abbia di fatto snaturato la funzione originaria del software, trasformandolo da strumento di sicurezza informatica a mezzo di controllo e raccolta di prove a carico dei dipendenti e collaboratori.

Nelle sue memorie difensive, Selectra aveva sostenuto che MailStore fosse stato implementato principalmente come misura tecnica di sicurezza, finalizzata a proteggere l’integrità dei dati aziendali da possibili attacchi informatici o perdite accidentali. Tuttavia, l’analisi del Garante ha rivelato come l’utilizzo effettivo del software si sia sostanzialmente discostato da questa dichiarata finalità primaria.

Il caso specifico dell’ex agente commerciale ha messo in luce questa deviazione: il software è stato utilizzato non per ripristinare dati compromessi o prevenire attacchi informatici, ma per condurre un’indagine retrospettiva sul comportamento del collaboratore. La società ha infatti incaricato uno studio di ingegneria forense di analizzare i backup delle email conservati tramite MailStore, alla ricerca di prove di presunte condotte illecite. Questa modalità di utilizzo, secondo il Garante, rappresenta una chiara deviazione dalla finalità originaria dichiarata nell’informativa.

La criticità della situazione è stata amplificata dal fatto che questa possibilità di utilizzo “investigativo” del software non era stata in alcun modo comunicata agli interessati. L’informativa si limitava a menzionare genericamente finalità di sicurezza informatica, senza fare alcun riferimento alla possibilità che i backup potessero essere utilizzati per verifiche sulla condotta dei dipendenti o per raccogliere prove in vista di eventuali contenziosi.

Il Garante ha sottolineato come questo cambio di finalità costituisca una violazione del principio di limitazione della finalità sancito dal GDPR. Secondo questo principio, i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e non possono essere trattati in modo incompatibile con tali finalità. Nel caso specifico, l’utilizzo di MailStore per indagini sui dipendenti rappresenta una finalità completamente diversa e non compatibile con quella originaria di sicurezza informatica.

Questa pronuncia dell’Autorità costituisce un importante monito per le aziende sull’importanza di mantenere una stretta coerenza tra le finalità dichiarate del trattamento e l’utilizzo effettivo degli strumenti di gestione dei dati. Non è sufficiente implementare un software con una finalità dichiarata: è necessario che l’utilizzo pratico dello strumento rimanga strettamente allineato a tale finalità, evitando derive che possano compromettere i diritti e le libertà fondamentali degli interessati.

La decisione evidenzia anche la necessità per le organizzazioni di essere trasparenti sulle potenziali modalità di utilizzo dei sistemi di backup e archiviazione, specificando chiaramente nell’informativa tutte le possibili finalità del trattamento. Solo attraverso una comunicazione chiara e completa è possibile garantire che gli interessati siano effettivamente consapevoli di come i loro dati potranno essere utilizzati, permettendo loro di esercitare consapevolmente i propri diritti in materia di protezione dei dati personali.​​​​​​​​​​​​​​​​

Violazione dei principi cardine del GDPR nel caso Selectra

L’Autorità ha rilevato come le pratiche aziendali abbiano compromesso contemporaneamente i principi di liceità, minimizzazione dei dati e limitazione della conservazione, creando un quadro di grave inosservanza della normativa sulla protezione dei dati personali.

Per quanto riguarda il principio di liceità, il Garante ha riscontrato che Selectra ha operato al di fuori delle basi giuridiche previste dal GDPR. La società ha infatti effettuato trattamenti non previsti nell’informativa iniziale e non supportati da un valido fondamento giuridico. In particolare, l’accesso alle email dell’ex collaboratore attraverso il sistema MailStore è stato effettuato sulla base di un generico sospetto di condotte illecite, senza che sussistessero le condizioni di liceità previste dalla normativa. Il Garante ha sottolineato come la tutela dei legittimi interessi aziendali debba essere bilanciata con i diritti fondamentali degli interessati e non possa giustificare trattamenti indiscriminati e non proporzionati.

Sul fronte della minimizzazione dei dati, l’Autorità ha rilevato come il sistema implementato da Selectra raccogliesse e conservasse una quantità eccessiva di dati rispetto alle finalità dichiarate. Il backup integrale di tutte le comunicazioni email, unito alla registrazione sistematica dei log di accesso, ha creato un archivio di informazioni sproporzionato rispetto alle necessità effettive di sicurezza informatica e gestione aziendale. Il Garante ha evidenziato come un approccio conforme al principio di minimizzazione avrebbe richiesto una selezione più accurata dei dati da conservare, limitandosi a quelli strettamente necessari per le finalità perseguite.

La violazione del principio di limitazione della conservazione è emersa con particolare evidenza nell’analisi dei tempi di retention stabiliti dalla società. La conservazione indiscriminata delle email per tre anni dopo la cessazione del rapporto e dei log di accesso per sei mesi è stata giudicata eccessiva e non giustificata da reali necessità operative o di sicurezza. Il Garante ha sottolineato come la determinazione dei periodi di conservazione non possa essere arbitraria ma debba essere basata su una valutazione concreta delle esigenze aziendali, garantendo che i dati siano mantenuti solo per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti.

L’interconnessione tra queste violazioni ha creato, secondo l’Autorità, un sistema di trattamento dei dati personali strutturalmente non conforme ai principi del GDPR. La mancanza di una base giuridica adeguata, combinata con la raccolta eccessiva di dati e la loro conservazione prolungata, ha generato una situazione di grave compromissione dei diritti degli interessati alla protezione dei loro dati personali.

Divieto di ulteriore trattamento dei dati estratti tramite MailStore

Nell’ambito delle misure correttive adottate nel caso Selectra, il Garante Privacy ha disposto il divieto assoluto di ulteriore trattamento dei dati estratti attraverso il software MailStore, una decisione particolarmente incisiva che riflette la gravità delle violazioni riscontrate nel trattamento dei dati personali da parte della società.

Questa misura, adottata ai sensi dell’art. 58, paragrafo 2, lettera f) del GDPR, rappresenta uno degli interventi più severi tra i poteri correttivi a disposizione dell’Autorità. La decisione non si è limitata a sanzionare le violazioni passate, ma ha imposto un blocco immediato e totale dell’utilizzo dei dati già raccolti, evidenziando come l’illiceità del trattamento originario si rifletta necessariamente sulla possibilità di utilizzare successivamente le informazioni acquisite.

Il divieto imposto dal Garante è particolarmente significativo considerando le implicazioni pratiche per la società. I dati estratti tramite MailStore, infatti, erano stati utilizzati da Selectra come elementi probatori in un procedimento giudiziario in corso. In questo contesto, il Garante ha richiamato l’articolo 160-bis del Codice Privacy, specificando che la valutazione sull’utilizzabilità processuale di tali dati resta di competenza dell’autorità giudiziaria, pur nell’ambito dell’accertata illiceità del loro trattamento dal punto di vista della protezione dei dati personali.

La misura adottata dall’Autorità si estende a qualsiasi forma di ulteriore trattamento dei dati estratti, includendo non solo l’utilizzo diretto delle informazioni, ma anche la loro conservazione, analisi o trasferimento. Questo approccio radicale sottolinea come l’illiceità originaria del trattamento non possa essere sanata da successive modalità di utilizzo, anche se potenzialmente legittime in altri contesti.

Il Garante ha inoltre evidenziato come questa misura sia necessaria per prevenire ulteriori pregiudizi ai diritti degli interessati. La conservazione e il potenziale utilizzo di dati raccolti in violazione dei principi fondamentali del GDPR rappresenterebbero infatti una perpetuazione dell’illecito originario, con possibili ripercussioni sulla riservatezza e sui diritti fondamentali delle persone coinvolte.

Il messaggio è chiaro: l’implementazione di strumenti tecnologici per la gestione dei dati deve essere accompagnata da una rigorosa valutazione della liceità del trattamento e del rispetto dei diritti degli interessati. In caso contrario, il rischio non è solo quello di incorrere in sanzioni amministrative, ma anche di vedersi preclusa la possibilità di utilizzare i dati raccolti, con potenziali ripercussioni significative sulla tutela degli interessi aziendali.

Il divieto imposto rappresenta anche un monito sull’importanza di una corretta progettazione dei sistemi di gestione dei dati fin dall’inizio. La decisione evidenzia come sia fondamentale integrare i principi di protezione dei dati personali nella fase di progettazione dei sistemi informativi, evitando di trovarsi nella situazione di dover rinunciare a dati potenzialmente rilevanti a causa di vizi nel loro processo di acquisizione e conservazione.​​​​​​​​​​​​​​​​

Sanzione amministrativa di 80.000 euro

Il Garante Privacy ha concluso il procedimento sanzionatorio nei confronti di Selectra con l’imposizione di una sanzione amministrativa pecuniaria di 80.000 euro, una cifra significativa che riflette la gravità e la sistematicità delle violazioni riscontrate nel trattamento dei dati personali da parte della società.

Nella determinazione dell’importo della sanzione, l’Autorità ha applicato i criteri previsti dall’articolo 83 del GDPR, valutando diversi elementi che hanno contribuito a definire la proporzionalità e l’effetto dissuasivo della misura. In particolare, il Garante ha considerato la natura plurioffensiva delle violazioni, che hanno riguardato contemporaneamente diversi principi fondamentali del trattamento dei dati personali, dall’inadeguatezza dell’informativa alla conservazione eccessiva dei dati, fino all’utilizzo improprio degli strumenti di backup.

Un elemento determinante nella quantificazione della sanzione è stato il numero significativo di interessati coinvolti. L’Autorità ha evidenziato come le pratiche illecite non si limitassero al caso specifico dell’ex agente commerciale che aveva presentato il reclamo, ma si estendessero potenzialmente a tutti i 151 dipendenti in forza presso la società al 31 dicembre 2023, configurando quindi una violazione di carattere sistemico.

Il Garante ha tuttavia riconosciuto alcuni elementi attenuanti nella condotta della società. In particolare, è stata valorizzata la cooperazione dimostrata da Selectra durante il procedimento, specialmente attraverso la decisione di sospendere volontariamente l’utilizzo del software MailStore in attesa delle indicazioni dell’Autorità. Inoltre, è stata considerata l’assenza di precedenti specifici a carico della società, elemento che ha contribuito a mitigare l’entità della sanzione.

La determinazione finale dell’importo ha tenuto conto anche delle condizioni economiche del trasgressore, valutate sulla base dei ricavi conseguiti nell’esercizio 2022. Questo approccio riflette il principio secondo cui le sanzioni devono essere effettive e dissuasive, ma al contempo proporzionate alla capacità economica del soggetto sanzionato.

È significativo notare come il Garante abbia applicato il principio del concorso di violazioni previsto dall’articolo 83, paragrafo 3 del GDPR. Nonostante fossero state accertate multiple violazioni, l’importo totale della sanzione è stato calcolato in modo da non superare quello previsto per la violazione più grave, evitando così un effetto moltiplicativo che avrebbe potuto portare a una sanzione eccessivamente onerosa.

La sanzione è stata accompagnata da obblighi accessori, tra cui la pubblicazione del provvedimento sul sito web del Garante, una misura che amplifica l’effetto deterrente della decisione e contribuisce a sensibilizzare altre organizzazioni sull’importanza del rispetto della normativa sulla protezione dei dati personali.

La società ha la possibilità di definire la controversia mediante il pagamento di un importo ridotto alla metà, se effettuato entro il termine previsto per la proposizione del ricorso. Questa opzione, prevista dall’articolo 166 del Codice Privacy, rappresenta un incentivo alla rapida definizione della controversia e all’immediata conformazione alle prescrizioni dell’Autorità.

La decisione del Garante, con l’imposizione di una sanzione di tale entità, costituisce un chiaro monito per tutte le organizzazioni sull’importanza di implementare sistemi di gestione dei dati personali pienamente conformi alla normativa vigente, evidenziando come le violazioni in questo ambito possano comportare conseguenze economiche significative oltre che limitazioni operative rilevanti.​​​​​​​​​​​​​​​​

Gravità della violazione dei principi generali

Nel provvedimento sanzionatorio contro Selectra, il Garante Privacy ha posto particolare enfasi sulla gravità delle violazioni riscontrate, evidenziando come queste non rappresentassero mere irregolarità formali, ma costituissero una compromissione sostanziale dei principi fondamentali posti a tutela dei diritti e delle libertà degli interessati.

La violazione dei principi generali del GDPR è stata considerata particolarmente grave proprio per la natura fondante di questi principi, che rappresentano le colonne portanti dell’intero sistema di protezione dei dati personali. Nel caso specifico, il Garante ha rilevato come Selectra abbia sistematicamente disatteso questi principi attraverso una serie di pratiche che hanno creato un sistema strutturalmente non conforme alla normativa.

L’Autorità ha evidenziato con particolare preoccupazione la violazione del principio di trasparenza. L’informativa fornita dalla società è risultata non solo incompleta, ma sostanzialmente fuorviante, in quanto non rifletteva la reale natura e portata dei trattamenti effettuati. Questa opacità nelle comunicazioni ha privato gli interessati della possibilità di esercitare un controllo effettivo sui propri dati personali, compromettendo il loro diritto all’autodeterminazione informativa.

Altrettanto grave è stata giudicata la violazione del principio di finalità. Il Garante ha sottolineato come l’utilizzo del software MailStore per scopi investigativi e di controllo, ben diversi dalla dichiarata finalità di sicurezza informatica, rappresentasse una deviazione sostanziale dalle finalità originarie del trattamento. Questa pratica non solo violava il principio di finalità, ma minava anche la fiducia degli interessati nel sistema di protezione dei loro dati personali.

La sistematicità delle violazioni ha rappresentato un ulteriore elemento di gravità. Non si è trattato infatti di singoli episodi isolati, ma di un sistema organizzato di pratiche che ha coinvolto l’intera struttura aziendale e tutti i collaboratori, creando un modello di gestione dei dati personali intrinsecamente non conforme ai principi del GDPR. Il Garante ha evidenziato come questa sistematicità rendesse le violazioni particolarmente pericolose, in quanto potenzialmente capaci di ledere i diritti di un numero significativo di interessati.

La gravità delle violazioni è stata amplificata anche dalla durata prolungata dei trattamenti illeciti. Il sistema di conservazione delle email per tre anni dopo la cessazione del rapporto e la registrazione sistematica dei log di accesso hanno creato una situazione di persistente violazione dei diritti degli interessati, con potenziali effetti pregiudizievoli che si estendevano ben oltre la durata del rapporto di lavoro o collaborazione.

Nel valutare la gravità complessiva delle violazioni, il Garante ha considerato anche il contesto specifico in cui queste sono avvenute. Il fatto che i trattamenti illeciti riguardassero comunicazioni elettroniche in ambito lavorativo, un ambito in cui esiste un inevitabile squilibrio di potere tra le parti, ha reso le violazioni ancora più significative, in quanto potenzialmente lesive non solo del diritto alla protezione dei dati personali, ma anche della dignità e della riservatezza dei lavoratori.

Questa valutazione sulla gravità delle violazioni ha avuto un peso determinante non solo nella quantificazione della sanzione amministrativa, ma anche nella scelta delle misure correttive imposte, culminate nel divieto assoluto di ulteriore trattamento dei dati estratti attraverso MailStore.

La decisione del Garante costituisce quindi un importante precedente che sottolinea come la violazione dei principi fondamentali del GDPR non possa essere considerata una questione meramente formale, ma rappresenti una seria compromissione dei diritti fondamentali degli interessati, meritevole delle più severe misure correttive.​​​​​​​​​​​​​​​​

Numero significativo di interessati coinvolti (151 dipendenti)

Nel valutare la portata delle violazioni commesse da Selectra, il Garante Privacy ha posto particolare attenzione alla dimensione collettiva del trattamento illecito, che ha potenzialmente coinvolto tutti i 151 dipendenti in forza presso la società. Questo elemento ha rappresentato un fattore aggravante nella determinazione della sanzione e nella valutazione complessiva della gravità delle violazioni.

La rilevanza del numero degli interessati coinvolti emerge con particolare evidenza considerando che le pratiche illecite non si sono limitate al caso specifico dell’ex agente commerciale che aveva presentato il reclamo, ma facevano parte di un sistema generalizzato di gestione delle comunicazioni aziendali. Il software MailStore, infatti, operava indistintamente su tutte le caselle di posta elettronica aziendali, creando un archivio massivo di comunicazioni che interessava l’intera popolazione aziendale.

L’Autorità ha evidenziato come l’ampiezza del numero degli interessati abbia amplificato l’impatto delle violazioni riscontrate. Ogni dipendente della società era potenzialmente soggetto alle medesime pratiche di conservazione e controllo delle comunicazioni elettroniche, vedendo i propri diritti alla riservatezza e alla protezione dei dati personali sistematicamente compromessi. La conservazione triennale post-rapporto delle email e il monitoraggio dei log di accesso non rappresentavano quindi episodi isolati, ma costituivano una prassi aziendale consolidata che interessava l’intera struttura organizzativa.

Il Garante ha sottolineato come la dimensione collettiva delle violazioni abbia anche accentuato la responsabilità della società nella gestione dei dati personali. Con un numero così significativo di interessati coinvolti, l’adozione di pratiche non conformi al GDPR ha creato un rischio sistemico per i diritti e le libertà fondamentali di una vasta platea di soggetti. Questo aspetto ha influito significativamente sulla quantificazione della sanzione amministrativa, che doveva necessariamente riflettere la portata collettiva delle violazioni.

La presenza di 151 dipendenti ha anche evidenziato una criticità nella gestione organizzativa della protezione dei dati. Una struttura di queste dimensioni avrebbe dovuto disporre di policy e procedure adeguate per garantire una corretta gestione delle informazioni personali, invece di adottare pratiche indiscriminate di conservazione e controllo che non tenevano conto delle specifiche esigenze di protezione dei dati dei singoli interessati.

Questa dimensione collettiva delle violazioni ha influenzato anche la scelta delle misure correttive imposte dal Garante. Il divieto di ulteriore trattamento dei dati estratti tramite MailStore è stato infatti disposto non solo a tutela dell’ex agente commerciale che aveva presentato il reclamo, ma nell’interesse di tutti i dipendenti i cui dati erano stati oggetto di trattamento illecito.

Considerazione della cooperazione dell’azienda

Nella valutazione complessiva del caso Selectra, il Garante Privacy ha riconosciuto e valorizzato l’atteggiamento collaborativo mostrato dall’azienda durante l’intero procedimento, considerandolo come elemento mitigante nella determinazione della sanzione finale. Questo aspetto del provvedimento merita particolare attenzione perché illustra l’importanza che l’Autorità attribuisce alla cooperazione dei soggetti sottoposti a verifica.

La cooperazione di Selectra si è manifestata principalmente attraverso due aspetti significativi. In primo luogo, l’azienda ha dimostrato piena trasparenza nel fornire tutte le informazioni richieste dall’Autorità durante la fase istruttoria, permettendo una ricostruzione dettagliata delle pratiche di trattamento dei dati. In particolare, la società ha fornito documentazione completa sul funzionamento del software MailStore e sulle modalità di conservazione delle comunicazioni elettroniche, non cercando di occultare o minimizzare le proprie responsabilità.

Ancora più significativa è stata la decisione dell’azienda di sospendere volontariamente l’utilizzo del software MailStore in attesa delle indicazioni dell’Autorità. Questa scelta proattiva ha dimostrato una concreta volontà di conformarsi alle prescrizioni del Garante e di correggere le pratiche risultate non conformi alla normativa sulla protezione dei dati personali. La società ha inoltre avviato un processo di revisione delle proprie informative privacy, dimostrando l’intenzione di adeguare complessivamente le proprie procedure alle indicazioni dell’Autorità.

Il Garante ha apprezzato particolarmente questo atteggiamento costruttivo, riconoscendo come la cooperazione dell’azienda abbia facilitato l’accertamento delle violazioni e, soprattutto, l’adozione di misure correttive efficaci. La disponibilità mostrata da Selectra nel riconoscere le criticità e nell’impegnarsi per la loro risoluzione ha rappresentato un elemento positivo nella valutazione complessiva del caso.

Tuttavia, l’Autorità ha chiarito che la cooperazione, pur rappresentando un fattore mitigante, non può da sola sanare la gravità delle violazioni riscontrate. Il comportamento collaborativo dell’azienda ha influito sulla quantificazione della sanzione, ma non ha impedito l’adozione di misure correttive severe, come il divieto di ulteriore trattamento dei dati estratti tramite MailStore.

Questa valutazione bilanciata della cooperazione aziendale riflette l’approccio del Garante, volto a incentivare comportamenti virtuosi da parte delle organizzazioni sottoposte a verifica, pur mantenendo ferma la necessità di sanzionare adeguatamente le violazioni riscontrate. La decisione sottolinea come la collaborazione con l’Autorità di controllo non sia solo un obbligo normativo, ma rappresenti anche un’opportunità per le aziende di dimostrare la propria serietà nell’affrontare le questioni relative alla protezione dei dati personali.

Assenza di precedenti specifici

Nella valutazione complessiva che ha portato alla determinazione della sanzione nei confronti di Selectra, il Garante Privacy ha considerato come elemento attenuante l‘assenza di precedenti specifici a carico della società. Questo aspetto del provvedimento merita un’analisi approfondita perché illustra come l’Autorità valuti il comportamento storico delle organizzazioni nel determinare l’entità delle sanzioni per violazioni della normativa sulla protezione dei dati personali.

Il fatto che Selectra non avesse precedenti violazioni accertate in materia di privacy ha rappresentato un elemento significativo nella calibrazione della sanzione amministrativa. L’Autorità ha infatti riconosciuto come le violazioni riscontrate, pur gravi, non si inserissero in un quadro di reiterata inosservanza della normativa, ma rappresentassero piuttosto una prima infrazione accertata nel percorso dell’azienda.

La mancanza di precedenti ha certamente influito sulla quantificazione della sanzione, ma non ha impedito l’irrogazione di una multa significativa di 80.000 euro, proprio in considerazione della natura sistemica e della gravità delle violazioni accertate.

Particolarmente rilevante è stata la considerazione che, sebbene non ci fossero precedenti specifici, le pratiche illecite riscontrate non rappresentavano violazioni occasionali o isolate, ma facevano parte di un sistema strutturato di gestione dei dati personali non conforme alla normativa. Il software MailStore era infatti utilizzato sistematicamente per tutti i dipendenti e collaboratori, creando una situazione di violazione continuata dei principi di protezione dei dati.

L’Autorità ha anche valutato come l’assenza di precedenti specifici dovesse essere considerata nel contesto delle dimensioni e della struttura organizzativa della società. Con 151 dipendenti, Selectra rappresentava una realtà aziendale di dimensioni significative, da cui ci si sarebbe potuta attendere una maggiore consapevolezza e attenzione nella gestione dei dati personali, indipendentemente dall’assenza di precedenti violazioni accertate.

L’assenza di precedenti violazioni può rappresentare un elemento favorevole nella valutazione di eventuali infrazioni, ma non può essere considerata una circostanza sufficiente a giustificare o attenuare significativamente la gravità di violazioni sostanziali dei principi fondamentali del GDPR.

La decisione sottolinea quindi l’importanza per le aziende di implementare fin dall’inizio sistemi di gestione dei dati personali pienamente conformi alla normativa, senza attendere eventuali interventi dell’Autorità di controllo. La prevenzione delle violazioni, attraverso l’adozione di misure tecniche e organizzative adeguate, resta lo strumento principale per mantenere una storia aziendale priva di precedenti in materia di privacy.​​​​​​​​​​​​​​​​

Necessità di sistemi specifici per l’archiviazione

Uno degli aspetti più rilevanti emersi dal provvedimento del Garante Privacy nel caso Selectra riguarda la necessità per le aziende di dotarsi di sistemi specifici e adeguati per l’archiviazione delle comunicazioni elettroniche. L’Autorità ha infatti evidenziato come l’utilizzo di un semplice sistema di backup delle email, come MailStore, non sia sufficiente a garantire una gestione corretta e conforme alla normativa dei dati personali contenuti nelle comunicazioni aziendali.

Il Garante ha sottolineato come i sistemi di archiviazione debbano essere progettati e implementati specificamente per garantire le caratteristiche fondamentali di autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti, caratteristiche che non possono essere assicurate da un semplice sistema di backup delle email. L’Autorità ha infatti rilevato come i sistemi di posta elettronica rispondano a finalità diverse dall’archiviazione documentale e non possano quindi sostituire strumenti specificamente progettati per questa funzione.

Nella sua analisi, il Garante ha delineato le caratteristiche che un sistema di archiviazione deve possedere per essere considerato adeguato. In primo luogo, deve permettere una selezione accurata dei documenti da archiviare, evitando la conservazione indiscriminata di tutte le comunicazioni. Il sistema deve inoltre garantire la possibilità di classificare i documenti in base alla loro rilevanza e alle finalità di conservazione, permettendo una gestione differenziata dei tempi di retention in base alla natura delle informazioni contenute.

Particolarmente significativa è l’indicazione dell’Autorità sulla necessità di implementare procedure che permettano di distinguere chiaramente tra l’archiviazione per finalità operative e quella per finalità legali o di conformità normativa. Questa distinzione deve riflettersi non solo nelle modalità di conservazione, ma anche nei tempi di retention e nelle procedure di accesso ai documenti archiviati.

Il Garante ha anche evidenziato l’importanza di dotarsi di sistemi che garantiscano la tracciabilità degli accessi e delle operazioni effettuate sui documenti archiviati. Questa funzionalità è essenziale non solo per ragioni di sicurezza, ma anche per assicurare la trasparenza del trattamento e la possibilità di dimostrare la conformità alle normative sulla protezione dei dati personali.

La decisione sottolinea inoltre come i sistemi di archiviazione debbano essere supportati da policy chiare e dettagliate che definiscano:

• I criteri per la selezione dei documenti da archiviare
• Le modalità di classificazione delle informazioni
• I tempi di conservazione per le diverse tipologie di documenti
• Le procedure per l’accesso ai documenti archiviati
• I meccanismi di cancellazione o anonimizzazione al termine del periodo di conservazione

Questa pronuncia del Garante costituisce un importante riferimento per le organizzazioni nella scelta e implementazione dei sistemi di archiviazione documentale. L’Autorità ha chiarito come non sia sufficiente affidarsi a soluzioni generiche di backup, ma sia necessario dotarsi di strumenti specifici che garantiscano una gestione conforme dei documenti aziendali, nel rispetto dei principi fondamentali della protezione dei dati personali.

La decisione evidenzia anche come la scelta dei sistemi di archiviazione non sia una questione meramente tecnica, ma richieda una valutazione attenta delle esigenze aziendali e delle implicazioni in termini di protezione dei dati personali. Le organizzazioni sono quindi chiamate a ripensare le proprie strategie di gestione documentale, implementando soluzioni che garantiscano non solo l’efficienza operativa, ma anche il pieno rispetto dei diritti degli interessati.​​​​​​​​​​​​​​​​

Inadeguatezza dei sistemi di posta elettronica per la conservazione

La criticità principale rilevata dal Garante riguarda la natura stessa dei sistemi di posta elettronica, che sono progettati per la comunicazione e non per la conservazione documentale. Questi sistemi, infatti, non possono garantire quelle caratteristiche fondamentali che l’Autorità considera essenziali per una corretta gestione archivistica: l’autenticità, l’integrità, l’affidabilità e la reperibilità dei documenti nel tempo. Il semplice backup delle email, per quanto tecnicamente sofisticato, non può assicurare questi requisiti fondamentali.

Un altro aspetto problematico evidenziato dall’Autorità riguarda l’impossibilità di gestire in modo granulare e selettivo i contenuti attraverso i sistemi di posta elettronica. Il backup indiscriminato di tutte le comunicazioni, infatti, contrasta con il principio di minimizzazione dei dati, poiché conserva anche informazioni non rilevanti o non necessarie per le finalità aziendali. Questa mancanza di selettività rende i sistemi di posta elettronica inadeguati per una gestione documentale conforme ai principi del GDPR.

Il Garante ha anche sottolineato come i sistemi di posta elettronica non permettano una corretta gestione dei tempi di conservazione differenziati. Nel caso Selectra, la conservazione indiscriminata per tre anni di tutte le email dopo la cessazione del rapporto evidenzia proprio questo limite: l’impossibilità di applicare politiche di retention diverse in base alla tipologia di documento o alla finalità della conservazione.

L’Autorità ha inoltre rilevato come l’utilizzo dei sistemi di posta elettronica per la conservazione documentale possa creare problemi di sicurezza e di accesso alle informazioni. La mancanza di adeguati sistemi di classificazione e indicizzazione rende difficile la gestione degli accessi e il controllo sulle operazioni effettuate sui documenti conservati, esponendo le informazioni a rischi di accessi non autorizzati o utilizzi impropri.

Particolarmente critica è stata giudicata l’impossibilità di garantire l’immodificabilità dei documenti conservati attraverso i sistemi di posta elettronica. Questa caratteristica, fondamentale per l’archiviazione documentale, non può essere assicurata da sistemi pensati principalmente per la comunicazione, compromettendo così l’affidabilità legale dei documenti conservati.

Il Garante ha quindi concluso che le aziende devono necessariamente dotarsi di sistemi di gestione documentale specifici, distinti dai sistemi di posta elettronica, che possano garantire una conservazione conforme alla normativa sulla protezione dei dati personali. Questi sistemi devono essere progettati considerando fin dall’inizio (privacy by design) le esigenze di protezione dei dati personali e devono includere funzionalità specifiche per la gestione documentale, come la classificazione, l’indicizzazione e la gestione dei tempi di conservazione.

La decisione costituisce un importante monito per le organizzazioni sulla necessità di superare l’approccio semplicistico che vede nei sistemi di backup delle email una soluzione sufficiente per la conservazione documentale.

Le aziende sono chiamate a implementare soluzioni più strutturate e conformi, che possano garantire una gestione documentale rispettosa sia delle esigenze operative che dei diritti degli interessati alla protezione dei loro dati personali.​​​​​​​​​​​​​​​​

Obbligo di garantire autenticità, integrità e affidabilità dei documenti

Nel provvedimento relativo al caso Selectra, il Garante Privacy ha posto particolare enfasi sull’obbligo delle aziende di garantire l’autenticità, l’integrità e l’affidabilità dei documenti conservati. Questa tripartizione di requisiti rappresenta un elemento fondamentale per una corretta gestione documentale che rispetti la normativa sulla protezione dei dati personali.

L’autenticità dei documenti costituisce il primo pilastro di questo sistema di garanzie. Secondo il Garante, un documento può essere considerato autentico quando è possibile dimostrare che è effettivamente quello che dichiara di essere, che è stato effettivamente creato o inviato dal soggetto che si presume lo abbia creato o inviato e che è stato creato o inviato nel momento in cui si presume sia stato creato o inviato. Nel caso Selectra, il sistema di backup delle email non poteva garantire questi requisiti di autenticità, poiché non prevedeva meccanismi di validazione della provenienza e della data certa dei documenti.

L’integrità rappresenta il secondo elemento essenziale individuato dall’Autorità. Un documento deve mantenersi completo e inalterato durante tutto il suo ciclo di vita, dalla creazione fino alla conservazione. Ogni modifica deve essere tracciabile e documentabile. Il Garante ha evidenziato come i sistemi di posta elettronica non possano garantire questa caratteristica, in quanto non dispongono di meccanismi intrinseci per prevenire o rilevare alterazioni dei contenuti conservati.

L’affidabilità dei documenti, terzo requisito fondamentale, si riferisce alla capacità di rappresentare in modo accurato e completo le attività o i fatti che attestano. Secondo il Garante, un sistema di gestione documentale deve poter garantire che i documenti conservati siano affidabili nel tempo e possano essere utilizzati come evidenza delle attività aziendali. Questo requisito implica la necessità di implementare sistemi che mantengano il contesto delle informazioni e permettano di ricostruire le relazioni tra i diversi documenti.

Il Garante ha sottolineato come questi tre requisiti non possano essere considerati separatamente, ma debbano essere garantiti in modo integrato attraverso l’adozione di sistemi di gestione documentale appropriati. Questi sistemi devono includere meccanismi tecnici e organizzativi specifici, come:

– La marcatura temporale dei documenti

– La firma digitale o altri sistemi di validazione dell’autenticità

– Sistemi di logging per tracciare ogni accesso o modifica

– Procedure di backup e disaster recovery

– Meccanismi di verifica periodica dell’integrità dei documenti

L’Autorità ha inoltre evidenziato come la garanzia di questi requisiti non sia solo una questione tecnica, ma richieda anche l’implementazione di procedure organizzative adeguate e la formazione del personale coinvolto nella gestione documentale. È necessario che le aziende sviluppino una cultura della gestione documentale che consideri la protezione dei dati personali come un elemento centrale e non accessorio.

Nel caso specifico, il Garante ha rilevato come l’utilizzo di MailStore non potesse soddisfare questi requisiti fondamentali, essendo un sistema progettato principalmente per il backup e non per la gestione documentale. La decisione sottolinea l’importanza di scegliere strumenti specificamente progettati per garantire l’autenticità, l’integrità e l’affidabilità dei documenti, evitando soluzioni improvvisate o inadeguate.

Il trattamento deve riferirsi a contenziosi in atto o situazioni precontenziose

Nel provvedimento Selectra, il Garante Privacy ha affrontato con particolare attenzione la questione del trattamento dei dati personali finalizzato alla tutela dei diritti in sede giudiziaria, stabilendo un principio fondamentale:

tale trattamento deve necessariamente riferirsi a contenziosi già in atto o a situazioni precontenziose concrete e non può basarsi su astratte e ipotetiche esigenze di tutela futura.

Nel caso specifico, Selectra aveva giustificato l’accesso e l’analisi delle email dell’ex collaboratore sostenendo di agire per una “finalità determinata e legittima di tutela in ambito giudiziario”. Tuttavia, il Garante ha rilevato come questa giustificazione fosse intervenuta solo successivamente, quando già l’azienda aveva raccolto e conservato sistematicamente le comunicazioni attraverso il software MailStore, senza che vi fosse al momento della raccolta una situazione di contenzioso in corso o una concreta prospettiva di controversia.

L’Autorità ha chiarito che la possibilità di trattare dati personali per finalità di tutela giudiziaria rappresenta certamente una base giuridica legittima, ma deve essere ancorata a elementi concreti e non può trasformarsi in una giustificazione generica per la conservazione indiscriminata di dati personali. La mera possibilità di futuri contenziosi non può legittimare pratiche di conservazione massiva delle comunicazioni elettroniche.

Il Garante ha evidenziato come sia necessario distinguere tra diverse situazioni. Nel caso di un contenzioso già in atto, il trattamento dei dati personali finalizzato alla difesa in giudizio trova una chiara legittimazione, purché sia proporzionato e limitato ai dati effettivamente rilevanti per la controversia. Analogamente, in presenza di una situazione precontenziosa concreta, caratterizzata da elementi oggettivi che facciano ragionevolmente prevedere l’insorgere di una controversia, il trattamento può essere giustificato, ma sempre nel rispetto dei principi di proporzionalità e minimizzazione.

Diverso è il caso di un trattamento sistematico e preventivo, come quello effettuato da Selectra, basato sulla mera possibilità di futuri contenziosi. L’Autorità ha chiarito che tale approccio non può essere considerato legittimo, in quanto trasformerebbe la finalità di tutela giudiziaria in una sorta di “salvacondotto” per pratiche di sorveglianza e controllo non conformi ai principi del GDPR.

Particolarmente significativa è stata la valutazione del Garante sulla tempistica del trattamento. Nel caso Selectra, l’accesso alle email era avvenuto dopo la cessazione del rapporto di collaborazione, quando erano emersi sospetti di condotte illecite. Tuttavia, la conservazione sistematica delle comunicazioni era stata effettuata preventivamente, senza che vi fossero al momento della raccolta elementi concreti che giustificassero tale trattamento.

Il provvedimento stabilisce quindi un importante principio di temporalità: la legittimità del trattamento per finalità di tutela giudiziaria deve essere valutata al momento in cui il trattamento viene effettuato, non può essere “sanata” da successive esigenze di tutela. La conservazione preventiva di dati personali nella prospettiva di possibili futuri contenziosi non può essere considerata conforme ai principi di necessità e proporzionalità del trattamento.

Questa pronuncia costituisce un importante riferimento per le aziende nella gestione delle informazioni potenzialmente rilevanti per contenziosi futuri. Le organizzazioni sono chiamate a implementare politiche di conservazione dei dati più selettive e mirate, basate su esigenze concrete di tutela giudiziaria e non su generiche prospettive di possibili controversie future. Solo un approccio basato sulla concretezza delle situazioni può garantire un equilibrio tra le legittime esigenze di tutela aziendale e il rispetto dei diritti fondamentali alla protezione dei dati personali.​​​​​​​​​​​​​​​​

Non sono ammesse conservazioni per astratte ipotesi di tutela futura

Il Garante Privacy ha dedicato particolare attenzione nel provvedimento Selectra al divieto di conservazione dei dati personali basata su astratte ipotesi di tutela futura, stabilendo un principio fondamentale che impatta significativamente sulle pratiche aziendali di gestione documentale.

Nel caso esaminato, l’Autorità ha rilevato come la conservazione sistematica delle email attraverso il software MailStore fosse stata giustificata da Selectra con la generica possibilità di dover tutelare in futuro i propri diritti. Questa motivazione è stata ritenuta insufficiente e in contrasto con i principi fondamentali del GDPR, in particolare con il principio di minimizzazione dei dati e di limitazione della conservazione.

Il Garante ha evidenziato come la mera possibilità di futuri contenziosi non possa legittimare una conservazione indiscriminata di dati personali. Tale approccio, infatti, si tradurrebbe nella pratica in una forma di sorveglianza preventiva, incompatibile con i diritti fondamentali alla riservatezza e alla protezione dei dati personali. La decisione sottolinea come ogni conservazione debba essere giustificata da esigenze concrete e attuali, non da scenari ipotetici di possibili necessità future.

Particolarmente significativa è la distinzione operata dall’Autorità tra conservazione legittima e illegittima. Una conservazione può essere considerata legittima quando è supportata da elementi concreti che facciano ragionevolmente prevedere l’insorgere di una controversia, o quando sia necessaria per adempiere a specifici obblighi di legge. Al contrario, la conservazione basata su mere ipotesi di possibili necessità future non trova giustificazione nel quadro normativo della protezione dei dati.

Il provvedimento evidenzia come questa pratica di conservazione “preventiva” sia particolarmente rischiosa nel contesto delle comunicazioni elettroniche aziendali. La conservazione indiscriminata delle email, infatti, porta inevitabilmente alla raccolta e al mantenimento di una grande quantità di informazioni personali, molte delle quali non necessarie per le finalità dichiarate di tutela legale. Questo accumulo di dati non solo viola il principio di minimizzazione, ma crea anche rischi significativi per la privacy degli interessati.

Il Garante ha sottolineato come le aziende debbano invece adottare un approccio basato sulla selettività e sulla proporzionalità. Quando emergono situazioni concrete che possono far prevedere l’insorgere di controversie, è legittimo conservare la documentazione rilevante, ma questa conservazione deve essere:

• Mirata ai documenti effettivamente pertinenti
• Limitata nel tempo
• Proporzionata alla finalità perseguita
• Adeguatamente documentata nelle sue motivazioni

La decisione dell’Autorità impone quindi alle organizzazioni di ripensare le proprie politiche di conservazione dei dati, abbandonando l’approccio “conservativo” basato sulla mera possibilità di futuri contenziosi. Le aziende sono chiamate a implementare sistemi di gestione documentale più sofisticati, che permettano una selezione accurata dei documenti da conservare e una chiara giustificazione dei periodi di conservazione.

Questa pronuncia ha importanti implicazioni pratiche per le organizzazioni, che dovranno:

• Rivedere le proprie policy di conservazione dei dati
• Implementare procedure di valutazione periodica della necessità di conservazione
• Documentare adeguatamente le ragioni che giustificano la conservazione
• Prevedere meccanismi di cancellazione automatica dei dati non più necessari

Necessità di revisione delle policy aziendali sulla gestione email

Il provvedimento del Garante Privacy nel caso Selectra ha evidenziato in modo chiaro la necessità per le aziende di procedere a una profonda revisione delle proprie policy sulla gestione delle email aziendali. L’Autorità ha delineato un quadro normativo che impone un ripensamento complessivo delle prassi consolidate in questo ambito.

La decisione ha messo in luce come molte delle pratiche comuni nella gestione delle email aziendali siano in realtà incompatibili con i principi fondamentali del GDPR. Non è più sufficiente basarsi su policy generiche che prevedono la conservazione indiscriminata delle comunicazioni elettroniche o che si limitano a informare gli utenti della possibilità di controlli futuri. Le organizzazioni devono invece implementare sistemi di gestione delle email che rispettino pienamente i diritti degli interessati alla protezione dei loro dati personali.

Le nuove policy sulla gestione delle email devono innanzitutto definire con chiarezza le finalità del trattamento. Non è ammissibile una formulazione generica che faccia riferimento a possibili esigenze future di tutela aziendale o a non meglio precisate necessità organizzative. Ogni finalità deve essere specificata in modo dettagliato, permettendo agli interessati di comprendere esattamente come verranno utilizzate le loro comunicazioni.

Un aspetto fondamentale evidenziato dal Garante riguarda la necessità di differenziare i tempi di conservazione in base alla tipologia di comunicazioni. Non tutte le email hanno la stessa rilevanza o necessitano degli stessi periodi di conservazione. Le policy aziendali devono quindi prevedere criteri chiari per la classificazione delle comunicazioni e definire tempi di conservazione differenziati in base alla loro natura e importanza.

Particolare attenzione deve essere dedicata alla gestione delle comunicazioni dopo la cessazione del rapporto di lavoro o collaborazione. Le policy devono definire procedure chiare per la disattivazione degli account e per l’eventuale conservazione di specifiche comunicazioni, evitando approcci generalizzati che portino alla conservazione indiscriminata di tutte le email.

Il Garante ha anche sottolineato l’importanza di implementare procedure trasparenti per l’accesso alle comunicazioni archiviate. Le policy devono specificare chi può accedere alle email conservate, per quali finalità e secondo quali procedure autorizzative. Ogni accesso deve essere documentato e giustificato da esigenze concrete, non da generiche necessità di controllo.

Un elemento cruciale delle nuove policy deve riguardare la distinzione tra comunicazioni personali e professionali. Anche se l’account è aziendale, non si può escludere la presenza di comunicazioni di natura personale. Le policy devono quindi prevedere meccanismi che tutelino la riservatezza di queste comunicazioni, evitando accessi indiscriminati che potrebbero violare la privacy dei dipendenti.

Le aziende devono inoltre implementare sistemi di notifica e consenso per eventuali accessi alle caselle email. Gli interessati devono essere informati preventivamente di ogni accesso alle loro comunicazioni, salvo casi eccezionali adeguatamente giustificati e documentati. Questo aspetto è particolarmente rilevante nel caso di verifiche legate a sospetti di condotte illecite.

La revisione delle policy deve anche considerare gli aspetti tecnici della gestione delle email. Non è più sufficiente affidarsi a semplici sistemi di backup: è necessario implementare soluzioni che garantiscano l’autenticità, l’integrità e la reperibilità delle comunicazioni conservate, nel rispetto dei principi di protezione dei dati personali.

Infine, le nuove policy devono prevedere meccanismi di verifica periodica della loro efficacia e conformità alla normativa. Le aziende devono pianificare revisioni regolari delle procedure di gestione delle email, aggiornandole in base all’evoluzione normativa e alle indicazioni delle autorità di controllo.

Questa necessità di revisione rappresenta una sfida significativa per le organizzazioni, ma anche un’opportunità per implementare sistemi di gestione delle comunicazioni più efficienti e rispettosi dei diritti degli interessati. Solo attraverso policy chiare, dettagliate e conformi alla normativa è possibile garantire un equilibrio tra le esigenze aziendali e la tutela della privacy.​​​​​​​​​​​​​​​​

Importanza di informative complete e dettagliate

Il Garante Privacy ha sottolineato con forza come sia essenziale per ogni datore di lavoro fornire informative trasparenti, complete e comprensibili agli interessati riguardo al trattamento dei loro dati personali.

Nel caso Selectra, una delle principali carenze evidenziate riguardava proprio l’inadeguatezza dell’informativa fornita ai collaboratori. L’informativa, infatti, non descriveva chiaramente le modalità di conservazione dei dati, la durata della loro conservazione e le circostanze specifiche che avrebbero potuto giustificare l’accesso alle email aziendali.

Ad esempio, l’utilizzo del software MailStore per il backup automatico delle email non era adeguatamente comunicato, né era specificata la possibilità di conservazione delle email per un periodo di tre anni dopo la cessazione del rapporto di lavoro. Questo ha privato i collaboratori della possibilità di comprendere appieno come i loro dati venissero gestiti e utilizzati, compromettendo il principio di trasparenza sancito dal GDPR.

Un’informativa efficace dovrebbe includere dettagli specifici sul funzionamento dei sistemi di backup, le modalità di accesso ai dati, le finalità del trattamento e i diritti degli interessati, come il diritto di accesso, rettifica e cancellazione.

Questo approccio contribuisce a costruire un rapporto di fiducia tra azienda e dipendenti, fondato sulla trasparenza e sul rispetto della riservatezza, riducendo il rischio di contestazioni legali e garantendo la conformità normativa. In aggiunta, il Garante ha evidenziato l’importanza di aggiornare regolarmente le informative per riflettere eventuali cambiamenti nelle procedure aziendali, assicurando che i collaboratori siano sempre adeguatamente informati sulle modalità di trattamento dei loro dati personali .

Necessità di sistemi di gestione documentale appropriati

Uno dei temi centrali sollevati dal provvedimento del Garante riguarda l’adeguatezza dei sistemi di gestione documentale adottati dalle aziende per conservare le comunicazioni elettroniche.

Il caso Selectra ha messo in evidenza come l’utilizzo di sistemi di backup come MailStore, pur essendo presentato dall’azienda come misura di sicurezza informatica, si sia rivelato inadeguato per garantire la conformità normativa richiesta dal GDPR.

I sistemi di posta elettronica e i backup automatici non possono essere considerati sufficienti per l’archiviazione a lungo termine, poiché mancano delle caratteristiche fondamentali per una corretta gestione documentale, come autenticità, integrità, affidabilità, leggibilità e reperibilità.

L’utilizzo di MailStore per conservare le email in modo indiscriminato, senza una classificazione accurata dei documenti e senza una chiara distinzione tra archiviazione operativa e archiviazione legale, ha portato a violazioni dei principi di minimizzazione e proporzionalità. Le aziende devono adottare sistemi di gestione documentale progettati appositamente per rispettare i requisiti di protezione dei dati, dotati di funzionalità avanzate come la tracciabilità degli accessi, la classificazione automatica dei documenti, la marcatura temporale e l’uso della firma digitale.

Questi strumenti permettono di garantire una maggiore sicurezza e affidabilità delle informazioni, facilitando allo stesso tempo la dimostrazione di conformità durante le verifiche da parte delle autorità di controllo. Inoltre, l’adozione di policy chiare e procedure di gestione documentale specifiche, supportate da una formazione adeguata del personale, può contribuire a mitigare i rischi legali e a migliorare la protezione dei dati personali, rafforzando al contempo la governance aziendale .

Limitazione dei tempi di conservazione dei dati

Il principio di limitazione della conservazione, stabilito dall’art. 5 del GDPR, impone alle aziende di conservare i dati personali solo per il periodo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti. Nel caso Selectra, il Garante ha riscontrato una grave violazione di questo principio, poiché le email venivano conservate per un periodo di tre anni dopo la cessazione del rapporto di lavoro, senza una giustificazione adeguata. La pratica di mantenere indiscriminatamente tutte le comunicazioni per un periodo così lungo è stata ritenuta non conforme ai requisiti di proporzionalità e minimizzazione previsti dal regolamento europeo.

La conservazione prolungata di dati personali, specie se non giustificata da specifiche esigenze operative o legali, comporta non solo un aumento dei rischi di accesso non autorizzato e di violazione della privacy, ma anche un sovraccarico informativo che rende complessa la gestione e l’analisi dei dati stessi.

Per rispettare il principio di limitazione della conservazione, le aziende devono stabilire tempi di conservazione specifici per ciascuna categoria di dati, basandosi su una valutazione delle finalità effettive del trattamento.

È fondamentale implementare procedure di revisione periodica per valutare la necessità di mantenere determinati dati, provvedendo alla cancellazione o anonimizzazione quando non più necessari. Inoltre, il Garante ha chiarito che la conservazione dei dati non può essere giustificata da ipotetiche esigenze di difesa in futuri contenziosi, ma deve essere limitata ai casi di contenziosi in corso o di situazioni precontenziose concrete.

Adottare un approccio rigoroso alla limitazione dei tempi di conservazione contribuisce a proteggere i diritti degli interessati, a migliorare la sicurezza dei dati e a facilitare la gestione delle informazioni all’interno dell’organizzazione, riducendo al contempo il rischio di sanzioni amministrative per violazioni della normativa sulla protezione dei dati .

Conclusione

In sintesi, il caso Selectra ha dimostrato l’importanza di adottare un approccio integrato alla gestione delle comunicazioni elettroniche, che includa informative complete, sistemi di gestione documentale appropriati e una rigorosa applicazione del principio di limitazione della conservazione. Questi elementi non solo garantiscono la conformità al GDPR, ma promuovono anche la trasparenza e la fiducia tra l’azienda e i suoi collaboratori, proteggendo al contempo i diritti degli interessati e ottimizzando la sicurezza e l’efficienza operativa.