{"id":7395,"date":"2024-11-17T21:18:37","date_gmt":"2024-11-17T21:18:37","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=7395"},"modified":"2024-11-17T21:24:27","modified_gmt":"2024-11-17T21:24:27","slug":"7395","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/diritto-rovescio\/7395\/","title":{"rendered":"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy"},"content":{"rendered":"\n<h4 class=\"wp-block-heading\">Sommario dell&#8217;articolo<\/h4>\n\n\n\n<h4 class=\"wp-block-heading\">1. Il caso<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Reclamo presentato da un ex agente commerciale contro Selectra S.p.A.<\/li>\n\n\n\n<li>Contestazione dell&#8217;accesso alle email aziendali dopo la cessazione del rapporto<\/li>\n\n\n\n<li>Utilizzo del software MailStore per backup e conservazione delle email<\/li>\n\n\n\n<li>Uso delle email (34) in un procedimento giudiziario presso il Tribunale di Venezia<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">2. Le violazioni riscontrate dal Garante<\/h4>\n\n\n\n<h4 class=\"wp-block-heading\">2.1 Violazioni relative all&#8217;informativa (artt. 5 e 13 GDPR)<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informativa incompleta sui tempi di conservazione dei dati<\/li>\n\n\n\n<li>Mancata specificazione del backup delle email per 3 anni post-rapporto<\/li>\n\n\n\n<li>Assenza di informazioni sulle modalit\u00e0 di controllo e indagine<\/li>\n\n\n\n<li>Inadeguata descrizione delle finalit\u00e0 del trattamento<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">2.2 Violazioni relative al trattamento (art. 5, 88 GDPR e art. 114 Codice Privacy)<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Conservazione eccessiva delle email (3 anni post-rapporto)<\/li>\n\n\n\n<li>Conservazione ingiustificata dei log per 6 mesi<\/li>\n\n\n\n<li>Utilizzo del software MailStore per finalit\u00e0 diverse dalla sicurezza informatica<\/li>\n\n\n\n<li>Violazione dei principi di: Liceit\u00f2, minimizzazione dei dati, limitazione della conservazione<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">3. Le decisioni del Garante<\/h4>\n\n\n\n<h4 class=\"wp-block-heading\">3.1 Provvedimenti immediati<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Divieto di ulteriore trattamento dei dati estratti tramite MailStore<\/li>\n\n\n\n<li>Sanzione amministrativa di 80.000 euro<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">3.2 Motivazioni della sanzione<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Gravit\u00e0 della violazione dei principi generali<\/li>\n\n\n\n<li>Numero significativo di interessati coinvolti (151 dipendenti)<\/li>\n\n\n\n<li>Considerazione della cooperazione dell&#8217;azienda<\/li>\n\n\n\n<li>Assenza di precedenti specifici<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">4. Principi stabiliti dal Garante<\/h4>\n\n\n\n<h4 class=\"wp-block-heading\">4.1 Gestione documentale<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Necessit\u00e0 di sistemi specifici per l&#8217;archiviazione<\/li>\n\n\n\n<li>Inadeguatezza dei sistemi di posta elettronica per la conservazione<\/li>\n\n\n\n<li>Obbligo di garantire autenticit\u00e0, integrit\u00e0 e affidabilit\u00e0 dei documenti<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">4.2 Tutela in giudizio<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Il trattamento deve riferirsi a contenziosi in atto o situazioni precontenziose<\/li>\n\n\n\n<li>Non sono ammesse conservazioni per astratte ipotesi di tutela futura<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">5. Implicazioni pratiche<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Necessit\u00e0 di revisione delle policy aziendali sulla gestione email<\/li>\n\n\n\n<li>Importanza di informative complete e dettagliate<\/li>\n\n\n\n<li>Obbligo di sistemi di gestione documentale appropriati<\/li>\n\n\n\n<li>Limitazione dei tempi di conservazione dei dati<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-caso-la-controversia-tra-l-ex-agente-commerciale-e-selectra-s-p-a\">Il caso: la controversia tra l&#8217;ex agente commerciale e Selectra S.p.A.<\/h3>\n\n\n\n<p>La vicenda prende avvio il 28 dicembre 2021, quando un ex agente commerciale presenta un reclamo al Garante per la Protezione dei Dati Personali contro Selectra S.p.A., societ\u00e0 con cui aveva intrattenuto un rapporto di collaborazione commerciale. Al centro della controversia si colloca <strong>l&#8217;accesso e l&#8217;utilizzo della casella di posta elettronica aziendale <\/strong>dopo la cessazione del rapporto di collaborazione, avvenuta il 24 febbraio 2021.<\/p>\n\n\n\n<p>Il reclamante contesta specificamente che la societ\u00e0, dopo l&#8217;interruzione del rapporto professionale, aveva <strong>mantenuto attivo l&#8217;account di posta elettronica aziendale<\/strong> di tipo individualizzato a lui precedentemente assegnato, accedendo al contenuto della corrispondenza. La criticit\u00e0 della situazione \u00e8 emersa quando tali comunicazioni, <strong>per un totale di 34 email<\/strong>, sono state successivamente utilizzate come elementi probatori nell&#8217;ambito di un procedimento giudiziario avviato dalla societ\u00e0 nei confronti dell&#8217;ex agente presso il Tribunale di Venezia.<\/p>\n\n\n\n<p>La societ\u00e0, in risposta alle contestazioni, ha sostenuto di non aver mai acceduto direttamente alla casella di posta elettronica durante la vigenza del rapporto di lavoro,<strong> ma di aver effettuato regolari backup attraverso il software MailStore<\/strong>, un sistema automatizzato che conservava i dati per un periodo massimo di tre anni dopo la cessazione di ogni rapporto lavorativo o di collaborazione. Selectra ha giustificato l&#8217;accesso successivo alle email sostenendo di aver agito per tutelare i propri segreti aziendali, avendo fondati sospetti sulla sottrazione di dati riservati da parte dell&#8217;ex collaboratore.<\/p>\n\n\n\n<p>Per condurre le verifiche, la societ\u00e0 ha incaricato <strong>uno studio di ingegneria forense <\/strong>di svolgere una perizia tecnica, finalizzata ad accertare eventuali fenomeni di esfiltrazione di dati aziendali segreti. Lo studio ha acquisito una copia forense del backup della casella di posta elettronica direttamente dall&#8217;applicativo MailStore. La societ\u00e0 ha inoltre sottolineato di aver disattivato l&#8217;account entro tre giorni dal 5 marzo 2021, data in cui era stata inviata una specifica direttiva al reparto IT, e di aver fornito al collaboratore, sin dal 15 marzo 2019, sia l&#8217;informativa privacy che il regolamento aziendale contenente le policy di utilizzo degli strumenti informatici.<\/p>\n\n\n\n<p><strong>La particolarit\u00e0 del caso risiede nella natura del rapporto tra le parti:<\/strong> non un rapporto di lavoro subordinato, ma una collaborazione autonoma regolata da un contratto di agenzia. Questo aspetto ha sollevato interessanti questioni giuridiche circa l&#8217;applicabilit\u00e0 delle tutele previste per i lavoratori dipendenti anche ai collaboratori esterni, specialmente in materia di controlli sugli strumenti di lavoro e protezione dei dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Contestazione dell&#8217;accesso alle email aziendali dopo la cessazione del rapporto<\/h3>\n\n\n\n<p>Il Garante per la Protezione dei Dati Personali, nell&#8217;esaminare la controversia, ha posto particolare attenzione alle modalit\u00e0 e alle giustificazioni addotte da Selectra S.p.A. per l&#8217;accesso alle email del collaboratore dopo la cessazione del rapporto. La questione si \u00e8 rivelata particolarmente delicata poich\u00e9 tocca il <strong>delicato equilibrio tra le esigenze di tutela aziendale e i diritti alla riservatezza del collaboratore.<\/strong><\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha rilevato diverse criticit\u00e0 nell&#8217;operato della societ\u00e0. <\/p>\n\n\n\n<p>In primo luogo, <strong>l&#8217;informativa<\/strong> fornita al collaboratore risultava inadeguata e incompleta nel rappresentare le caratteristiche e le modalit\u00e0 dei trattamenti svolti. Mentre il documento prevedeva genericamente la conservazione dei dati personali per 10 anni per adempimenti amministrativi e la registrazione dei log di accesso per 6 mesi, nessuna menzione specifica era fatta riguardo al backup sistematico delle email e alla loro conservazione per tre anni dopo la fine del rapporto.<\/p>\n\n\n\n<p>Particolarmente problematica \u00e8 apparsa la <strong>giustificazione della societ\u00e0<\/strong> secondo cui l&#8217;accesso era legittimato da &#8220;fondati sospetti di sottrazione di segreti aziendali&#8221;. Il Garante ha infatti precisato che il trattamento dei dati personali per finalit\u00e0 di tutela dei propri diritti in giudizio deve riferirsi a contenziosi gi\u00e0 in atto o a situazioni precontenziose concrete, e non pu\u00f2 basarsi su astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.<\/p>\n\n\n\n<p>La societ\u00e0 aveva anche sostenuto che il <strong>backup tramite MailStore <\/strong>rappresentasse una misura tecnica di sicurezza necessaria per garantire l&#8217;integrit\u00e0 dei dati. Tuttavia, il Garante ha rilevato come l&#8217;utilizzo effettivo del software sia andato ben oltre le finalit\u00e0 di sicurezza informatica, trasformandosi in uno strumento di controllo e verifica dell&#8217;attivit\u00e0 del collaboratore. Questa modalit\u00e0 di utilizzo \u00e8 stata ritenuta in contrasto con i principi fondamentali del GDPR, in particolare quelli di liceit\u00e0, minimizzazione dei dati e limitazione della conservazione.<\/p>\n\n\n\n<p>Un ulteriore elemento di criticit\u00e0 \u00e8 emerso nella<strong> gestione temporale dell&#8217;accesso<\/strong>: mentre la societ\u00e0 sosteneva di aver disattivato tempestivamente l&#8217;account, l&#8217;accesso ai contenuti delle email attraverso i backup \u00e8 proseguito ben oltre la cessazione del rapporto, senza che fossero state fornite adeguate giustificazioni per un periodo di conservazione cos\u00ec esteso. Il Garante ha sottolineato come questa pratica non fosse proporzionata n\u00e9 necessaria rispetto alle dichiarate finalit\u00e0 di sicurezza della rete informatica e di continuit\u00e0 dell&#8217;attivit\u00e0 aziendale.<\/p>\n\n\n\n<p>La contestazione ha messo in luce la necessit\u00e0 per le aziende di dotarsi di sistemi di gestione documentale specifici e di procedure chiare per la conservazione e l&#8217;accesso ai dati dopo la cessazione dei rapporti di lavoro o collaborazione, evitando prassi che possano configurarsi come forme di controllo non autorizzato o di trattamento illecito dei dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Utilizzo del software MailStore per backup e conservazione delle email<\/h3>\n\n\n\n<p>L&#8217;analisi del Garante Privacy si \u00e8 concentrata in modo particolare sull&#8217;utilizzo del software <strong>MailStore da parte di Selectra S.p.A., <\/strong>evidenziando come questo strumento, apparentemente implementato per finalit\u00e0 di sicurezza informatica, si sia trasformato in un mezzo di controllo e conservazione sistematica delle comunicazioni aziendali, sollevando significative problematiche in materia di protezione dei dati personali.<\/p>\n\n\n\n<p>Secondo quanto dichiarato dalla societ\u00e0 nelle sue memorie difensive, MailStore veniva utilizzato per eseguire automaticamente il backup delle caselle di posta elettronica aziendali, senza necessit\u00e0 di intervento diretto del personale. La procedura prevedeva la conservazione sistematica di tutte le email per l&#8217;intera durata del rapporto di lavoro\/collaborazione e per i successivi tre anni dalla sua cessazione. Selectra ha giustificato questa pratica sostenendo che si trattasse di <strong>una misura tecnica di sicurezza<\/strong> disposta in ottemperanza all&#8217;art. 5, par. 1, lett. f) del GDPR, finalizzata a proteggere l&#8217;integrit\u00e0 dei dati da possibili attacchi informatici.<\/p>\n\n\n\n<p>Tuttavia, il Garante ha individuato<strong> diverse criticit\u00e0 <\/strong>nell&#8217;utilizzo di questo software. In primo luogo, la societ\u00e0 non \u00e8 stata in grado di giustificare adeguatamente la necessit\u00e0 di un periodo di conservazione cos\u00ec esteso (tre anni post-rapporto) per finalit\u00e0 di sicurezza informatica. L&#8217;Autorit\u00e0 ha evidenziato come la conservazione massiva e indiscriminata di tutte le comunicazioni per un periodo cos\u00ec lungo non risponda ai principi di minimizzazione dei dati e limitazione della conservazione previsti dal GDPR.<\/p>\n\n\n\n<p>Particolarmente problematico \u00e8 risultato<strong> l&#8217;utilizzo effettivo del software nel caso specifico<\/strong>. Infatti, MailStore \u00e8 stato impiegato non solo come strumento di backup, ma anche come fonte per recuperare e analizzare le comunicazioni dell&#8217;ex collaboratore nell&#8217;ambito di un&#8217;indagine interna. La societ\u00e0 ha infatti incaricato uno studio di ingegneria forense di acquisire una copia forense del backup per verificare presunte attivit\u00e0 illecite, trasformando cos\u00ec uno strumento di sicurezza in un mezzo di controllo a posteriori.<\/p>\n\n\n\n<p>Il Garante ha inoltre rilevato come l&#8217;utilizzo di MailStore <strong>non fosse adeguatamente descritto nell&#8217;informativa<\/strong> fornita ai dipendenti e collaboratori. Mentre il documento aziendale menzionava genericamente la possibilit\u00e0 di accedere alle caselle email per esigenze di continuit\u00e0 operativa, non conteneva alcuna informazione specifica sul backup sistematico e sulla lunga conservazione dei dati attraverso questo software.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Uso delle email (34) in un procedimento giudiziario presso il Tribunale di Venezia<\/h3>\n\n\n\n<p>La controversia ha assunto particolare rilevanza quando \u00e8 emerso che Selectra S.p.A. <strong>aveva utilizzato 34 email <\/strong>estratte attraverso il software MailStore come elementi probatori in un procedimento giudiziario avviato presso il Tribunale di Venezia contro l&#8217;ex agente commerciale. Questo aspetto del caso ha sollevato importanti questioni circa la legittimit\u00e0 dell&#8217;acquisizione e dell&#8217;utilizzo di comunicazioni elettroniche in sede processuale.<\/p>\n\n\n\n<p>Il Garante Privacy, nell&#8217;esaminare questa specifica questione, ha richiamato un principio fondamentale stabilito <strong>dall&#8217;art. 160-bis del Codice Privacy, <\/strong>secondo cui &#8220;la validit\u00e0, l&#8217;efficacia e l&#8217;utilizzabilit\u00e0 nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali&#8221;. Questo significa che, nonostante l&#8217;illiceit\u00e0 del trattamento dal punto di vista della protezione dei dati personali, spetta al giudice del procedimento valutare l&#8217;ammissibilit\u00e0 e l&#8217;utilizzabilit\u00e0 delle email come prove.<\/p>\n\n\n\n<p>La societ\u00e0 aveva giustificato l&#8217;accesso e l&#8217;utilizzo delle email sostenendo di agire per una &#8220;finalit\u00e0 determinata e legittima di tutela in ambito giudiziario&#8221;. Tuttavia, il Garante ha precisato un principio fondamentale: il trattamento dei dati personali per finalit\u00e0 di tutela dei propri diritti in giudizio deve necessariamente riferirsi a contenziosi gi\u00e0 in atto o a situazioni precontenziose concrete e non pu\u00f2 basarsi su astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.<\/p>\n\n\n\n<p>La criticit\u00e0 dell&#8217;utilizzo delle 34 email \u00e8 stata amplificata dal fatto che queste erano state acquisite attraverso un sistema di backup la cui finalit\u00e0 dichiarata era la sicurezza informatica. Il Garante ha evidenziato come ci sia stato uno sviamento della finalit\u00e0 originaria del trattamento: da strumento di protezione dei sistemi informatici, MailStore \u00e8 stato utilizzato come mezzo per raccogliere prove in un contenzioso, senza che questa possibilit\u00e0 fosse stata adeguatamente comunicata nell&#8217;informativa privacy fornita al collaboratore.<\/p>\n\n\n\n<p>Un ulteriore elemento di complessit\u00e0 \u00e8 emerso dal fatto che le email utilizzate nel procedimento giudiziario erano state acquisite attraverso una perizia tecnica affidata a uno studio di ingegneria forense. Secondo il Garante, questa modalit\u00e0 di acquisizione, seppur tecnicamente sofisticata, non ha sanato l&#8217;illiceit\u00e0 del trattamento originario, in quanto basata su dati conservati in violazione dei principi fondamentali del GDPR.<\/p>\n\n\n\n<p>La vicenda ha evidenziato la necessit\u00e0 per le aziende di dotarsi di procedure chiare e legittime per l&#8217;acquisizione di prove digitali in caso di contenzioso, rispettando sia i principi della protezione dei dati personali sia le garanzie processuali. In particolare, emerge l&#8217;importanza di:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Predisporre informative complete che specifichino la possibilit\u00e0 di utilizzo dei dati in sede giudiziaria<\/li>\n\n\n\n<li>Implementare sistemi di conservazione delle prove digitali conformi alla normativa privacy<\/li>\n\n\n\n<li>Garantire la correttezza procedurale nell&#8217;acquisizione delle prove elettroniche<\/li>\n\n\n\n<li>Documentare adeguatamente le ragioni specifiche che giustificano l&#8217;accesso ai dati personali dei dipendenti o collaboratori<\/li>\n<\/ul>\n\n\n\n<p>Questa pronuncia del Garante costituisce un importante riferimento per la gestione del delicato equilibrio tra le esigenze di tutela giudiziaria delle aziende e il rispetto dei diritti fondamentali alla privacy dei lavoratori e collaboratori.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Informativa incompleta sui tempi di conservazione dei dati<\/h3>\n\n\n\n<p>Il Garante Privacy ha individuato nella carenza informativa sui tempi di conservazione dei dati una delle principali violazioni commesse da Selectra S.p.A., evidenziando come questa mancanza non rappresenti una mera irregolarit\u00e0 formale, ma una sostanziale violazione dei principi di correttezza e trasparenza nel trattamento dei dati personali.<\/p>\n\n\n\n<p>L&#8217;analisi dell&#8217;Autorit\u00e0 ha rilevato che l&#8217;informativa fornita dalla societ\u00e0 presentava diverse lacune e incongruenze nella definizione dei periodi di conservazione. In particolare, il documento prevedeva:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un periodo generale di conservazione di 10 anni per gli adempimenti connessi alla conclusione del rapporto di lavoro, in conformit\u00e0 agli artt. 19 e 22 del d.P.R. 600\/1973<\/li>\n\n\n\n<li>Un periodo di almeno 6 mesi per la conservazione dei log di accesso alla posta elettronica e al gestionale<\/li>\n\n\n\n<li>Nessuna indicazione specifica sul periodo di conservazione di 3 anni previsto per i backup delle email attraverso il software MailStore<\/li>\n<\/ul>\n\n\n\n<p>Questa frammentazione e incompletezza delle informazioni sui tempi di conservazione \u00e8 stata ritenuta particolarmente grave dal Garante per diverse ragioni:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-violazione-del-principio-di-trasparenza\">Violazione del principio di trasparenza:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;interessato non era messo nelle condizioni di comprendere per quanto tempo i suoi dati sarebbero stati effettivamente conservati<\/li>\n\n\n\n<li>La presenza di diversi periodi di conservazione non adeguatamente giustificati creava confusione sulla reale durata del trattamento<\/li>\n\n\n\n<li>Mancava una chiara correlazione tra le finalit\u00e0 del trattamento e i relativi periodi di conservazione<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-impossibilita-di-esercitare-i-diritti\">Impossibilit\u00e0 di esercitare i diritti:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La mancanza di informazioni precise sui tempi di conservazione impediva all&#8217;interessato di esercitare consapevolmente i propri diritti<\/li>\n\n\n\n<li>Non era possibile valutare la legittimit\u00e0 della conservazione in relazione alle diverse finalit\u00e0 dichiarate<\/li>\n\n\n\n<li>L&#8217;interessato non poteva pianificare eventuali richieste di cancellazione o limitazione del trattamento<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-criticita-nella-proporzionalita\">Criticit\u00e0 nella proporzionalit\u00e0:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;assenza di una giustificazione per i diversi periodi di conservazione rendeva impossibile valutare la proporzionalit\u00e0 del trattamento<\/li>\n\n\n\n<li>Non emergeva il nesso tra le esigenze aziendali e la durata della conservazione<\/li>\n\n\n\n<li>Mancava una valutazione sulla necessit\u00e0 di mantenere i dati per periodi cos\u00ec estesi<\/li>\n<\/ul>\n\n\n\n<p>Il Garante ha sottolineato come un&#8217;informativa completa sui tempi di conservazione debba:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Indicare con precisione i periodi di conservazione per ogni categoria di dati<\/li>\n\n\n\n<li>Specificare le ragioni che giustificano la durata del trattamento<\/li>\n\n\n\n<li>Correlare i tempi di conservazione alle specifiche finalit\u00e0 perseguite<\/li>\n\n\n\n<li>Prevedere meccanismi di revisione periodica della necessit\u00e0 di conservazione<\/li>\n\n\n\n<li>Garantire la cancellazione o l&#8217;anonimizzazione dei dati al termine del periodo di conservazione<\/li>\n<\/ul>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha quindi stabilito che l&#8217;informativa fornita da Selectra non soddisfaceva i requisiti dell&#8217;art. 13 del GDPR, in quanto non permetteva agli interessati di comprendere l&#8217;effettiva durata del trattamento dei loro dati personali. Questa carenza informativa ha contribuito alla determinazione della sanzione amministrativa, evidenziando come la corretta informazione sui tempi di conservazione sia un elemento essenziale per garantire la liceit\u00e0 del trattamento dei dati personali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Mancata specificazione del backup delle email per 3 anni post-rapporto<\/h3>\n\n\n\n<p>Il Garante Privacy ha posto particolare enfasi sulla mancata informazione circa la conservazione triennale dei backup delle email dopo la cessazione del rapporto, identificandola come una grave violazione degli obblighi di trasparenza e correttezza nel trattamento dei dati personali.<\/p>\n\n\n\n<p>La criticit\u00e0 della situazione si articola su diversi livelli:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-assenza-totale-di-informazione-sulla-pratica-di-backup\">Assenza totale di informazione sulla pratica di backup<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>L&#8217;informativa non menzionava in alcun modo l&#8217;esistenza del sistema MailStore<\/li>\n\n\n\n<li>Non veniva specificata la natura automatica e sistematica dei backup<\/li>\n\n\n\n<li>Mancava qualsiasi riferimento alla conservazione post-rapporto delle comunicazioni<\/li>\n\n\n\n<li>Gli interessati non erano informati dell&#8217;esistenza di un archivio storico delle loro email<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-problematiche-relative-alla-durata-della-conservazione\">Problematiche relative alla durata della conservazione<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Il periodo di tre anni post-rapporto non era n\u00e9 comunicato n\u00e9 giustificato<\/li>\n\n\n\n<li>Non venivano specificate le ragioni tecniche o giuridiche di tale periodo<\/li>\n\n\n\n<li>Mancava una valutazione sulla proporzionalit\u00e0 della durata della conservazione<\/li>\n\n\n\n<li>Non erano indicati i criteri per determinare la necessit\u00e0 di un periodo cos\u00ec esteso<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-carenze-nelle-finalita-dichiarate\">Carenze nelle finalit\u00e0 dichiarate<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;informativa non chiariva le finalit\u00e0 specifiche della conservazione prolungata<\/li>\n\n\n\n<li>La giustificazione basata sulla sicurezza informatica \u00e8 stata ritenuta inadeguata<\/li>\n\n\n\n<li>Non emergeva il collegamento tra le finalit\u00e0 dichiarate e la durata del backup<\/li>\n\n\n\n<li>Mancava una spiegazione sulla necessit\u00e0 di mantenere i dati dopo la cessazione del rapporto<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-implicazioni-pratiche-della-mancata-informazione\">Implicazioni pratiche della mancata informazione:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Gli interessati non potevano esercitare consapevolmente i propri diritti<\/li>\n\n\n\n<li>Non era possibile contestare la legittimit\u00e0 della conservazione<\/li>\n\n\n\n<li>Risultava compromessa la possibilit\u00e0 di richiedere la cancellazione dei dati<\/li>\n\n\n\n<li>Gli ex collaboratori non erano consapevoli della persistenza delle loro comunicazioni<\/li>\n<\/ul>\n\n\n\n<p>Il Garante ha evidenziato come questa omissione informativa abbia comportato:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Una violazione del principio di trasparenza<\/li>\n\n\n\n<li>Un pregiudizio al diritto di autodeterminazione informativa<\/li>\n\n\n\n<li>Un impedimento all&#8217;esercizio consapevole dei diritti degli interessati<\/li>\n\n\n\n<li>Una compromissione della fiducia nel rapporto tra azienda e collaboratori<\/li>\n<\/ul>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha sottolineato che una corretta informativa avrebbe dovuto specificare:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;esistenza e le modalit\u00e0 di funzionamento del sistema di backup<\/li>\n\n\n\n<li>Le ragioni specifiche della conservazione post-rapporto<\/li>\n\n\n\n<li>I criteri per determinare la durata della conservazione<\/li>\n\n\n\n<li>Le garanzie previste per proteggere i dati conservati<\/li>\n\n\n\n<li>Le modalit\u00e0 di esercizio dei diritti durante il periodo di conservazione<\/li>\n<\/ul>\n\n\n\n<p>La decisione del Garante evidenzia la necessit\u00e0 per le aziende di:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Rivedere le proprie policy di backup e conservazione dei dati<\/li>\n\n\n\n<li>Aggiornare le informative includendo tutti i dettagli rilevanti<\/li>\n\n\n\n<li>Implementare sistemi di gestione documentale trasparenti<\/li>\n\n\n\n<li>Garantire la proporzionalit\u00e0 dei periodi di conservazione<\/li>\n\n\n\n<li>Documentare adeguatamente le ragioni delle scelte tecniche e organizzative<\/li>\n<\/ul>\n\n\n\n<p>Questa pronuncia costituisce un importante precedente che impone alle organizzazioni di ripensare le proprie pratiche di conservazione dei dati, assicurando che ogni aspetto del trattamento sia adeguatamente comunicato agli interessati e sia supportato da valide ragioni tecniche o giuridiche.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Assenza di informazioni sulle modalit\u00e0 di controllo e indagine<\/h3>\n\n\n\n<p>Il Garante Privacy ha riservato particolare attenzione a una delle criticit\u00e0 pi\u00f9 significative riscontrate nell&#8217;informativa fornita da Selectra S.p.A.: la totale assenza di indicazioni sulle modalit\u00e0 di controllo e indagine che l&#8217;azienda si riservava di effettuare sui contenuti delle comunicazioni elettroniche dei propri dipendenti e collaboratori.<\/p>\n\n\n\n<p>Nell&#8217;esaminare la documentazione fornita, l&#8217;Autorit\u00e0 ha rilevato come l&#8217;informativa si limitasse a contenere formulazioni generiche sulla possibilit\u00e0 di accedere alle caselle di posta elettronica, senza fornire alcun dettaglio sulle concrete modalit\u00e0 di tale accesso e sulle eventuali attivit\u00e0 di verifica che l&#8217;azienda avrebbe potuto intraprendere. Questa mancanza \u00e8 apparsa particolarmente grave considerando che la societ\u00e0 aveva effettivamente condotto indagini approfondite sul contenuto delle comunicazioni attraverso uno studio di ingegneria forense, un&#8217;attivit\u00e0 di cui gli interessati non erano stati minimamente informati.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come questa carenza informativa non rappresenti una mera omissione formale, ma una sostanziale violazione del principio di trasparenza nel trattamento dei dati personali. Gli interessati, infatti, avevano<strong> il diritto di essere informati preventivamente<\/strong> sulla possibilit\u00e0 che le loro comunicazioni potessero essere oggetto di verifiche e controlli, sulle circostanze che avrebbero potuto giustificare tali controlli e sulle modalit\u00e0 concrete con cui questi sarebbero stati effettuati.<\/p>\n\n\n\n<p>La gravit\u00e0 dell&#8217;omissione \u00e8 stata amplificata dal fatto che l&#8217;azienda aveva implementato un sistema sofisticato di backup e archiviazione delle comunicazioni attraverso il software MailStore, che consentiva non solo la conservazione ma anche l&#8217;analisi dettagliata dei contenuti delle email. Questa capacit\u00e0 tecnica di controllo, non dichiarata nell&#8217;informativa, ha rappresentato secondo il Garante una violazione particolarmente significativa del diritto degli interessati a essere informati sulle modalit\u00e0 del trattamento dei loro dati personali.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha evidenziato come un&#8217;informativa completa avrebbe dovuto specificare non solo l&#8217;esistenza di possibili controlli, ma anche le circostanze legittime che li avrebbero potuti giustificare, le procedure di autorizzazione interna necessarie per effettuarli e le garanzie previste per evitare accessi indiscriminati o non giustificati alle comunicazioni personali. La mancanza di queste informazioni ha di fatto impedito agli interessati di valutare la liceit\u00e0 dei controlli e di esercitare consapevolmente i propri diritti.<\/p>\n\n\n\n<p>La decisione del Garante sottolinea <strong>come la trasparenza nelle attivit\u00e0 di controllo sia un elemento essenziale<\/strong> per garantire un corretto equilibrio tra le legittime esigenze di tutela aziendale e il diritto alla riservatezza dei lavoratori e dei collaboratori. Le aziende sono quindi chiamate a rivedere le proprie informative per assicurare che ogni possibile attivit\u00e0 di controllo sia adeguatamente comunicata e giustificata, nel rispetto dei principi fondamentali della protezione dei dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Inadeguata descrizione delle finalit\u00e0 del trattamento<\/h3>\n\n\n\n<p>Nell&#8217;analisi approfondita del caso Selectra, il Garante Privacy ha riservato particolare attenzione alla questione dell&#8217;inadeguata descrizione delle finalit\u00e0 del trattamento dei dati personali, evidenziando come questa carenza abbia rappresentato una violazione sostanziale dei principi fondamentali del GDPR.<\/p>\n\n\n\n<p>L&#8217;informativa fornita dalla societ\u00e0 presentava una descrizione delle finalit\u00e0 del trattamento estremamente generica e ambigua. Mentre da un lato dichiarava che il trattamento dei dati delle email aziendali era finalizzato alla gestione del rapporto di lavoro e alla sicurezza informatica, dall&#8217;altro ometteva di specificare gli ulteriori utilizzi che l&#8217;azienda si riservava di fare di tali informazioni. In particolare, non veniva menzionata la possibilit\u00e0 di utilizzare i dati per verifiche sulla condotta dei collaboratori o per la tutela dei diritti aziendali in sede giudiziaria, utilizzi che poi si sono effettivamente verificati nel caso dell&#8217;ex agente commerciale.<\/p>\n\n\n\n<p>Il Garante ha evidenziato come questa genericit\u00e0 nella descrizione delle finalit\u00e0 abbia compromesso la capacit\u00e0 degli interessati di comprendere effettivamente come i loro dati sarebbero stati utilizzati. La societ\u00e0 aveva infatti giustificato l&#8217;accesso alle email dell&#8217;ex collaboratore citando la &#8220;tutela dei segreti aziendali&#8221; e la necessit\u00e0 di verificare presunte condotte illecite, finalit\u00e0 che non erano state in alcun modo anticipate nell&#8217;informativa originaria. Questa discrepanza tra le finalit\u00e0 dichiarate e quelle effettivamente perseguite ha rappresentato, secondo l&#8217;Autorit\u00e0, una violazione del principio di correttezza nel trattamento dei dati personali.<\/p>\n\n\n\n<p>Particolarmente critica \u00e8 apparsa la sovrapposizione tra diverse finalit\u00e0 non adeguatamente distinte nell&#8217;informativa. Mentre il software MailStore veniva presentato come uno strumento di backup per la sicurezza informatica, nella pratica \u00e8 stato utilizzato come mezzo di controllo e di raccolta prove, creando una commistione di finalit\u00e0 che avrebbe dovuto essere chiaramente esplicitata e giustificata nell&#8217;informativa iniziale.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha sottolineato come una corretta descrizione delle finalit\u00e0 del trattamento non si esaurisca nella mera elencazione di scopi generici, ma richieda una spiegazione dettagliata che permetta all&#8217;interessato di comprendere esattamente come i suoi dati verranno utilizzati. Nel caso specifico, l&#8217;informativa avrebbe dovuto chiarire non solo le finalit\u00e0 primarie legate alla gestione del rapporto di lavoro, ma anche quelle secondarie relative al controllo, alla verifica e all&#8217;eventuale tutela giudiziaria, specificando le circostanze che avrebbero potuto giustificare tali utilizzi.<\/p>\n\n\n\n<p>La decisione del Garante evidenzia come la trasparenza sulle finalit\u00e0 del trattamento sia un elemento essenziale per garantire la liceit\u00e0 del trattamento stesso. <\/p>\n\n\n\n<p>Non \u00e8 sufficiente che le finalit\u00e0 esistano e siano legittime: devono essere comunicate in modo chiaro e completo agli interessati, permettendo loro di comprendere appieno le modalit\u00e0 e gli scopi per cui i loro dati personali vengono raccolti e utilizzati. Questa chiarezza nella comunicazione delle finalit\u00e0 rappresenta non solo un obbligo normativo, ma anche un elemento fondamentale per costruire un rapporto di fiducia tra l&#8217;azienda e i suoi collaboratori, basato sulla trasparenza e sul rispetto dei diritti fondamentali alla privacy e alla protezione dei dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Conservazione eccessiva delle email (3 anni post-rapporto)<\/h3>\n\n\n\n<p>La decisione del Garante Privacy ha posto particolare enfasi sulla criticit\u00e0 rappresentata dalla conservazione delle email per un periodo di tre anni successivo alla cessazione del rapporto di lavoro, considerandola una violazione del principio di limitazione della conservazione sancito dal GDPR.<\/p>\n\n\n\n<p>Selectra aveva implementato, attraverso il software MailStore, un sistema di backup automatico che prevedeva la conservazione integrale delle comunicazioni email per l&#8217;intera durata del rapporto e per i successivi tre anni. La societ\u00e0 aveva giustificato questa pratica sostenendo che si trattasse di una misura necessaria per garantire la sicurezza informatica e la possibilit\u00e0 di recuperare informazioni in caso di contenziosi. Tuttavia, il Garante ha ritenuto questa giustificazione insufficiente e non supportata da valide ragioni tecniche o giuridiche.<\/p>\n\n\n\n<p>Nella sua analisi, l&#8217;Autorit\u00e0 ha evidenziato come la conservazione prolungata e indiscriminata di tutte le comunicazioni elettroniche costituisca una violazione del principio di proporzionalit\u00e0. La necessit\u00e0 di garantire la sicurezza informatica, infatti, non pu\u00f2 giustificare la conservazione integrale delle email per un periodo cos\u00ec esteso dopo la cessazione del rapporto. Il Garante ha sottolineato come le esigenze di sicurezza possano essere soddisfatte con periodi di conservazione significativamente pi\u00f9 brevi e con modalit\u00e0 pi\u00f9 selettive.<\/p>\n\n\n\n<p>Particolarmente critica \u00e8 apparsa la mancanza di un sistema di selezione e cancellazione progressiva delle comunicazioni non pi\u00f9 necessarie. Il software MailStore, infatti, conservava indistintamente tutte le email, senza alcuna valutazione sulla loro effettiva rilevanza o necessit\u00e0 di conservazione. Questa pratica \u00e8 stata considerata in contrasto con il principio di minimizzazione dei dati, che richiede che i dati personali siano conservati solo per il tempo strettamente necessario al raggiungimento delle finalit\u00e0 per cui sono stati raccolti.<\/p>\n\n\n\n<p>Il Garante ha inoltre rilevato come la conservazione triennale post-rapporto non fosse giustificata nemmeno dall&#8217;esigenza di tutela giudiziaria dei diritti aziendali. Se da un lato \u00e8 legittimo conservare documentazione rilevante per eventuali contenziosi, dall&#8217;altro questa conservazione deve essere selettiva e proporzionata, non potendo estendersi indiscriminatamente a tutte le comunicazioni scambiate durante il rapporto di lavoro.<\/p>\n\n\n\n<p>La decisione sottolinea come le aziende debbano adottare politiche di conservazione dei dati pi\u00f9 granulari e differenziate, prevedendo periodi di conservazione diversi in base alla tipologia di informazioni e alle finalit\u00e0 perseguite. In particolare, \u00e8 necessario implementare procedure di revisione periodica che permettano di identificare e cancellare i dati non pi\u00f9 necessari, evitando accumuli informativi non giustificati che possono rappresentare non solo una violazione della privacy ma anche un rischio per la sicurezza delle informazioni aziendali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Conservazione ingiustificata dei log per 6 mesi<\/h3>\n\n\n\n<p>Il Garante Privacy ha riservato una particolare attenzione alla questione della<strong> conservazione dei log<\/strong> di accesso alla posta elettronica e al gestionale aziendale per un periodo di sei mesi, rilevando come tale pratica rappresentasse un&#8217;ulteriore criticit\u00e0 nel trattamento dei dati personali operato da Selectra.<\/p>\n\n\n\n<p>La societ\u00e0 aveva predisposto un sistema di registrazione automatica degli accessi che tracciava in modo sistematico tutte le interazioni con il sistema di posta elettronica e con il gestionale aziendale. Questi log venivano conservati per un periodo <strong>minimo di sei mesi,<\/strong> come specificato nell&#8217;informativa fornita ai dipendenti e collaboratori. Tuttavia, il Garante ha evidenziato come la societ\u00e0 non avesse fornito <strong>alcuna giustificazione tecnica o organizzativa <\/strong>che supportasse la necessit\u00e0 di un periodo di conservazione cos\u00ec esteso.<\/p>\n\n\n\n<p>Nella sua analisi, l&#8217;Autorit\u00e0 ha richiamato il recente <strong>&#8220;<a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/10026277\">Documento di indirizzo sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo&#8221; del 6 giugno 2024,<\/a><\/strong> nel quale vengono fornite indicazioni precise sui tempi di conservazione dei log. Secondo queste linee guida, la conservazione dei dati di log dovrebbe <strong>essere limitata al tempo strettamente necessario per finalit\u00e0 tecniche e di sicurezza<\/strong>, generalmente quantificabile <strong>in poche settimane<\/strong>.<\/p>\n\n\n\n<p>La conservazione semestrale dei log \u00e8 apparsa particolarmente problematica considerando la natura dettagliata delle informazioni raccolte. I log, infatti, permettevano di ricostruire in modo minuzioso l&#8217;attivit\u00e0 degli utenti, tracciando orari di accesso, durata delle sessioni e altre informazioni che, analizzate nel loro complesso, potevano fornire un quadro estremamente dettagliato delle abitudini lavorative dei dipendenti e collaboratori.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come la conservazione prolungata di questi dati costituisca <strong>una forma di potenziale controllo a distanza dell&#8217;attivit\u00e0 lavorativa<\/strong>, particolarmente invasiva considerando la granularit\u00e0 delle informazioni raccolte. La societ\u00e0 non aveva dimostrato come tale periodo di conservazione fosse necessario per le dichiarate finalit\u00e0 di sicurezza informatica, n\u00e9 aveva fornito evidenze di specifiche esigenze tecniche o organizzative che giustificassero la necessit\u00e0 di mantenere i log per cos\u00ec tanto tempo.<\/p>\n\n\n\n<p>La decisione evidenzia come le aziende debbano adottare un approccio pi\u00f9 rigoroso nella definizione dei tempi di conservazione dei dati di log, basandosi su un&#8217;attenta valutazione delle effettive necessit\u00e0 tecniche e organizzative. <strong>Non \u00e8 sufficiente stabilire un periodo di conservazione in modo arbitrario<\/strong>: \u00e8 necessario che questo sia adeguatamente giustificato e proporzionato alle finalit\u00e0 perseguite, nel rispetto dei principi di minimizzazione dei dati e limitazione della conservazione.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Utilizzo del software MailStore per finalit\u00e0 diverse dalla sicurezza informatica<\/h3>\n\n\n\n<p><strong><a href=\"https:\/\/www.mailstore.com\/it\/\">MailStore<\/a><\/strong> \u00e8 un software progettato per l\u2019archiviazione centralizzata delle e-mail aziendali, consentendo la conservazione sicura e l\u2019accesso rapido alle comunicazioni elettroniche. Questo strumento supporta vari sistemi di posta elettronica e offre funzionalit\u00e0 come la deduplicazione e la compressione dei dati, riducendo lo spazio di archiviazione necessario.<\/p>\n\n\n\n<p>Selectra S.p.A., azienda leader nel commercio di materiale elettrico all\u2019ingrosso e al dettaglio, ha implementato MailStore per eseguire backup periodici delle caselle di posta elettronica aziendali. Secondo le dichiarazioni della societ\u00e0, tali backup vengono effettuati automaticamente dal software, senza richiedere accessi manuali da parte del personale. I dati archiviati vengono conservati per un periodo massimo di tre anni, anche dopo la cessazione del rapporto lavorativo o di collaborazione.<\/p>\n\n\n\n<p>La questione dell&#8217;utilizzo improprio del software MailStore \u00e8 emersa come uno degli aspetti pi\u00f9 critici nell&#8217;analisi condotta dal Garante Privacy sul caso Selectra. L&#8217;Autorit\u00e0 ha evidenziato come la societ\u00e0 <strong>abbia di fatto snaturato la funzione originaria del software<\/strong>, trasformandolo da strumento di sicurezza informatica a mezzo di controllo e raccolta di prove a carico dei dipendenti e collaboratori.<\/p>\n\n\n\n<p>Nelle sue memorie difensive, Selectra aveva sostenuto che MailStore fosse stato implementato principalmente come misura tecnica di sicurezza, finalizzata a proteggere l&#8217;integrit\u00e0 dei dati aziendali da possibili attacchi informatici o perdite accidentali. Tuttavia, l&#8217;analisi del Garante ha rivelato come l&#8217;utilizzo effettivo del software si sia sostanzialmente discostato da questa dichiarata finalit\u00e0 primaria.<\/p>\n\n\n\n<p>Il caso specifico dell&#8217;ex agente commerciale ha messo in luce questa deviazione: il software \u00e8 stato utilizzato non per ripristinare dati compromessi o prevenire attacchi informatici, ma per <strong>condurre un&#8217;indagine retrospettiva sul comportamento del collaboratore. <\/strong>La societ\u00e0 ha infatti incaricato uno studio di ingegneria forense di analizzare i backup delle email conservati tramite MailStore, alla ricerca di prove di presunte condotte illecite. Questa modalit\u00e0 di utilizzo, secondo il Garante, rappresenta una chiara deviazione dalla finalit\u00e0 originaria dichiarata nell&#8217;informativa.<\/p>\n\n\n\n<p>La criticit\u00e0 della situazione \u00e8 stata amplificata dal fatto che questa possibilit\u00e0 di <strong>utilizzo &#8220;investigativo&#8221; del software non era stata in alcun modo comunicata agli interessati.<\/strong> L&#8217;informativa si limitava a menzionare genericamente finalit\u00e0 di sicurezza informatica, senza fare alcun riferimento alla possibilit\u00e0 che i backup potessero essere utilizzati per verifiche sulla condotta dei dipendenti o per raccogliere prove in vista di eventuali contenziosi.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come<strong> questo cambio di finalit\u00e0 <\/strong>costituisca una violazione del principio di limitazione della finalit\u00e0 sancito dal GDPR. Secondo questo principio, i dati personali devono essere raccolti per finalit\u00e0 determinate, esplicite e legittime, e non possono essere trattati in modo incompatibile con tali finalit\u00e0. Nel caso specifico, l&#8217;utilizzo di MailStore per indagini sui dipendenti rappresenta una finalit\u00e0 completamente diversa e non compatibile con quella originaria di sicurezza informatica.<\/p>\n\n\n\n<p>Questa pronuncia dell&#8217;Autorit\u00e0 costituisce un importante monito per le aziende sull&#8217;importanza di mantenere una stretta coerenza tra le finalit\u00e0 dichiarate del trattamento e l&#8217;utilizzo effettivo degli strumenti di gestione dei dati. Non \u00e8 sufficiente implementare un software con una finalit\u00e0 dichiarata: \u00e8 necessario che l&#8217;utilizzo pratico dello strumento rimanga strettamente allineato a tale finalit\u00e0, evitando derive che possano compromettere i diritti e le libert\u00e0 fondamentali degli interessati.<\/p>\n\n\n\n<p>La decisione evidenzia anche la necessit\u00e0 per le organizzazioni di essere <strong>trasparenti sulle potenziali modalit\u00e0 di utilizzo dei sistemi di backup e archiviazione<\/strong>, specificando chiaramente nell&#8217;informativa tutte le possibili finalit\u00e0 del trattamento. Solo attraverso una comunicazione chiara e completa \u00e8 possibile garantire che gli interessati siano effettivamente consapevoli di come i loro dati potranno essere utilizzati, permettendo loro di esercitare consapevolmente i propri diritti in materia di protezione dei dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Violazione dei principi cardine del GDPR nel caso Selectra<\/h3>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha rilevato come le pratiche aziendali abbiano compromesso contemporaneamente i principi di <strong>liceit\u00e0<\/strong>, <strong>minimizzazione<\/strong> dei dati e <strong>limitazione<\/strong> della conservazione, creando un quadro di grave inosservanza della normativa sulla protezione dei dati personali.<\/p>\n\n\n\n<p>Per quanto riguarda il principio di <strong>liceit\u00e0<\/strong>, il Garante ha riscontrato che Selectra ha operato al di fuori delle basi giuridiche previste dal GDPR. La societ\u00e0 ha infatti effettuato trattamenti non previsti nell&#8217;informativa iniziale e non supportati da un valido fondamento giuridico. In particolare, l&#8217;accesso alle email dell&#8217;ex collaboratore attraverso il sistema MailStore \u00e8 stato effettuato sulla base di un generico sospetto di condotte illecite, senza che sussistessero le condizioni di liceit\u00e0 previste dalla normativa. Il Garante ha sottolineato come la tutela dei legittimi interessi aziendali debba essere bilanciata con i diritti fondamentali degli interessati e non possa giustificare trattamenti indiscriminati e non proporzionati.<\/p>\n\n\n\n<p>Sul fronte della <strong>minimizzazione<\/strong> dei dati, l&#8217;Autorit\u00e0 ha rilevato come il sistema implementato da Selectra raccogliesse e conservasse una quantit\u00e0 eccessiva di dati rispetto alle finalit\u00e0 dichiarate. Il backup integrale di tutte le comunicazioni email, unito alla registrazione sistematica dei log di accesso, ha creato un archivio di informazioni sproporzionato rispetto alle necessit\u00e0 effettive di sicurezza informatica e gestione aziendale. Il Garante ha evidenziato come un approccio conforme al principio di minimizzazione avrebbe richiesto una selezione pi\u00f9 accurata dei dati da conservare, limitandosi a quelli strettamente necessari per le finalit\u00e0 perseguite.<\/p>\n\n\n\n<p>La violazione del principio di <strong>limitazione della conservazione<\/strong> \u00e8 emersa con particolare evidenza nell&#8217;analisi dei tempi di retention stabiliti dalla societ\u00e0. La conservazione indiscriminata delle email per tre anni dopo la cessazione del rapporto e dei log di accesso per sei mesi \u00e8 stata giudicata eccessiva e non giustificata da reali necessit\u00e0 operative o di sicurezza. Il Garante ha sottolineato come la determinazione dei periodi di conservazione non possa essere arbitraria ma debba essere basata su una valutazione concreta delle esigenze aziendali, garantendo che i dati siano mantenuti solo per il tempo strettamente necessario al raggiungimento delle finalit\u00e0 per cui sono stati raccolti.<\/p>\n\n\n\n<p>L&#8217;interconnessione tra queste violazioni ha creato, secondo l&#8217;Autorit\u00e0, un sistema di trattamento dei dati personali strutturalmente non conforme ai principi del GDPR. La mancanza di una base giuridica adeguata, combinata con la raccolta eccessiva di dati e la loro conservazione prolungata, ha generato una situazione di grave compromissione dei diritti degli interessati alla protezione dei loro dati personali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Divieto di ulteriore trattamento dei dati estratti tramite MailStore<\/h3>\n\n\n\n<p>Nell&#8217;ambito delle misure correttive adottate nel caso Selectra, il Garante Privacy ha disposto i<strong>l divieto assoluto di ulteriore trattamento dei dati estratti attraverso il software MailStore<\/strong>, una decisione particolarmente incisiva che riflette la gravit\u00e0 delle violazioni riscontrate nel trattamento dei dati personali da parte della societ\u00e0.<\/p>\n\n\n\n<p>Questa misura, adottata ai sensi dell&#8217;art. 58, paragrafo 2, lettera f) del GDPR, rappresenta uno degli interventi pi\u00f9 severi tra i poteri correttivi a disposizione dell&#8217;Autorit\u00e0. La decisione non si \u00e8 limitata a sanzionare le violazioni passate, ma <strong>ha imposto un blocco immediato e totale dell&#8217;utilizzo dei dati gi\u00e0 raccolti,<\/strong> evidenziando come l&#8217;illiceit\u00e0 del trattamento originario si rifletta necessariamente sulla possibilit\u00e0 di utilizzare successivamente le informazioni acquisite.<\/p>\n\n\n\n<p>Il divieto imposto dal Garante \u00e8 particolarmente significativo considerando le implicazioni pratiche per la societ\u00e0. I dati estratti tramite MailStore, infatti, erano stati utilizzati da Selectra come elementi probatori in un procedimento giudiziario in corso. In questo contesto, il Garante ha richiamato l&#8217;articolo 160-bis del Codice Privacy, specificando che la valutazione sull&#8217;utilizzabilit\u00e0 processuale di tali dati resta di competenza dell&#8217;autorit\u00e0 giudiziaria, pur nell&#8217;ambito dell&#8217;accertata illiceit\u00e0 del loro trattamento dal punto di vista della protezione dei dati personali.<\/p>\n\n\n\n<p>La misura adottata dall&#8217;Autorit\u00e0 si estende a qualsiasi forma di ulteriore trattamento dei dati estratti, includendo non solo l&#8217;utilizzo diretto delle informazioni, ma anche la loro conservazione, analisi o trasferimento. Questo approccio radicale sottolinea come l&#8217;illiceit\u00e0 originaria del trattamento non possa essere sanata da successive modalit\u00e0 di utilizzo, anche se potenzialmente legittime in altri contesti.<\/p>\n\n\n\n<p>Il Garante ha inoltre evidenziato come questa misura sia necessaria <strong>per prevenire ulteriori pregiudizi<\/strong> ai diritti degli interessati. La conservazione e il potenziale utilizzo di dati raccolti in violazione dei principi fondamentali del GDPR rappresenterebbero infatti una perpetuazione dell&#8217;illecito originario, con possibili ripercussioni sulla riservatezza e sui diritti fondamentali delle persone coinvolte.<\/p>\n\n\n\n<p> Il messaggio \u00e8 chiaro: l&#8217;implementazione di strumenti tecnologici per la gestione dei dati deve essere accompagnata da una rigorosa <strong>valutazione della liceit\u00e0 del trattamento e del rispetto dei diritti degli interessati<\/strong>. In caso contrario, il rischio non \u00e8 solo quello di incorrere in sanzioni amministrative, ma anche di vedersi preclusa la possibilit\u00e0 di utilizzare i dati raccolti, con potenziali ripercussioni significative sulla tutela degli interessi aziendali.<\/p>\n\n\n\n<p>Il divieto imposto rappresenta anche un monito sull&#8217;importanza di una corretta progettazione dei sistemi di gestione dei dati fin dall&#8217;inizio. La decisione evidenzia come sia fondamentale integrare i principi di protezione dei dati personali nella <strong>fase di progettazione dei sistemi informativi,<\/strong> evitando di trovarsi nella situazione di dover rinunciare a dati potenzialmente rilevanti a causa di vizi nel loro processo di acquisizione e conservazione.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Sanzione amministrativa di 80.000 euro<\/h3>\n\n\n\n<p>Il Garante Privacy ha concluso il procedimento sanzionatorio nei confronti di Selectra con l&#8217;imposizione di una sanzione amministrativa pecuniaria <strong>di 80.000 eur<\/strong>o, una cifra significativa che riflette la gravit\u00e0 e la sistematicit\u00e0 delle violazioni riscontrate nel trattamento dei dati personali da parte della societ\u00e0.<\/p>\n\n\n\n<p>Nella determinazione dell&#8217;importo della sanzione, l&#8217;Autorit\u00e0 ha applicato i criteri previsti dall&#8217;articolo 83 del GDPR, valutando diversi elementi che hanno contribuito a definire la proporzionalit\u00e0 e l&#8217;effetto dissuasivo della misura. In particolare, il Garante ha considerato la <strong>natura plurioffensiva delle violazioni,<\/strong> che hanno riguardato contemporaneamente diversi principi fondamentali del trattamento dei dati personali, dall&#8217;inadeguatezza dell&#8217;informativa alla conservazione eccessiva dei dati, fino all&#8217;utilizzo improprio degli strumenti di backup.<\/p>\n\n\n\n<p>Un elemento determinante nella quantificazione della sanzione \u00e8 stato <strong>il numero significativo di interessati coinvolti<\/strong>. L&#8217;Autorit\u00e0 ha evidenziato come le pratiche illecite non si limitassero al caso specifico dell&#8217;ex agente commerciale che aveva presentato il reclamo, ma si estendessero potenzialmente a tutti i 151 dipendenti in forza presso la societ\u00e0 al 31 dicembre 2023, configurando quindi una violazione di carattere sistemico.<\/p>\n\n\n\n<p>Il Garante ha tuttavia riconosciuto alcuni elementi <strong>attenuanti<\/strong> nella condotta della societ\u00e0. In particolare, \u00e8 stata valorizzata la cooperazione dimostrata da Selectra durante il procedimento, specialmente attraverso la decisione di sospendere volontariamente l&#8217;utilizzo del software MailStore in attesa delle indicazioni dell&#8217;Autorit\u00e0. Inoltre, \u00e8 stata considerata l&#8217;assenza di precedenti specifici a carico della societ\u00e0, elemento che ha contribuito a mitigare l&#8217;entit\u00e0 della sanzione.<\/p>\n\n\n\n<p>La determinazione finale dell&#8217;importo ha tenuto conto anche delle condizioni economiche del trasgressore, valutate sulla base dei <strong>ricavi conseguiti nell&#8217;esercizio 2022.<\/strong> Questo approccio riflette il principio secondo cui le sanzioni devono essere effettive e dissuasive, ma al contempo proporzionate alla capacit\u00e0 economica del soggetto sanzionato.<\/p>\n\n\n\n<p>\u00c8 significativo notare come il Garante abbia applicato il principio del concorso di violazioni previsto dall&#8217;articolo 83, paragrafo 3 del GDPR. Nonostante fossero state accertate <strong>multiple violazioni<\/strong>, l&#8217;importo totale della sanzione \u00e8 stato calcolato in modo da non superare quello previsto per la violazione pi\u00f9 grave, evitando cos\u00ec un effetto moltiplicativo che avrebbe potuto portare a una sanzione eccessivamente onerosa.<\/p>\n\n\n\n<p>La sanzione \u00e8 stata accompagnata da obblighi accessori, tra cui la <strong>pubblicazione del provvedimento sul sito web del Garante<\/strong>, una misura che amplifica l&#8217;effetto deterrente della decisione e contribuisce a sensibilizzare altre organizzazioni sull&#8217;importanza del rispetto della normativa sulla protezione dei dati personali.<\/p>\n\n\n\n<p>La societ\u00e0 ha la possibilit\u00e0 di definire la controversia mediante il pagamento di un importo ridotto alla met\u00e0, se effettuato entro il termine previsto per la proposizione del ricorso. Questa opzione, prevista dall&#8217;articolo 166 del Codice Privacy, rappresenta un incentivo alla rapida definizione della controversia e all&#8217;immediata conformazione alle prescrizioni dell&#8217;Autorit\u00e0.<\/p>\n\n\n\n<p>La decisione del Garante, con l&#8217;imposizione di una sanzione di tale entit\u00e0, costituisce un chiaro monito per tutte le organizzazioni sull&#8217;importanza di implementare sistemi di gestione dei dati personali pienamente conformi alla normativa vigente, evidenziando come le violazioni in questo ambito possano comportare conseguenze economiche significative oltre che limitazioni operative rilevanti.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Gravit\u00e0 della violazione dei principi generali<\/h3>\n\n\n\n<p>Nel provvedimento sanzionatorio contro Selectra, il Garante Privacy ha posto particolare enfasi sulla gravit\u00e0 delle violazioni riscontrate, evidenziando come queste non rappresentassero mere irregolarit\u00e0 formali, ma costituissero una compromissione sostanziale dei principi fondamentali posti a tutela dei diritti e delle libert\u00e0 degli interessati.<\/p>\n\n\n\n<p>La violazione dei principi generali del GDPR \u00e8 stata considerata<strong> particolarmente grave <\/strong>proprio per la natura fondante di questi principi, che rappresentano le colonne portanti dell&#8217;intero sistema di protezione dei dati personali. Nel caso specifico, il Garante ha rilevato come Selectra abbia sistematicamente disatteso questi principi attraverso una serie di pratiche che hanno creato un sistema strutturalmente non conforme alla normativa.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha evidenziato con particolare preoccupazione la violazione del principio di <strong>trasparenza<\/strong>. <strong>L&#8217;informativa<\/strong> fornita dalla societ\u00e0 \u00e8 risultata non solo <strong>incompleta<\/strong>, ma sostanzialmente <strong>fuorviante<\/strong>, in quanto non rifletteva la reale natura e portata dei trattamenti effettuati. Questa opacit\u00e0 nelle comunicazioni ha privato gli interessati della possibilit\u00e0 di esercitare un controllo effettivo sui propri dati personali, compromettendo il loro diritto all&#8217;autodeterminazione informativa.<\/p>\n\n\n\n<p>Altrettanto grave \u00e8 stata giudicata la violazione del <strong>principio di finalit\u00e0<\/strong>. Il Garante ha sottolineato come l&#8217;utilizzo del software MailStore per scopi investigativi e di controllo, ben diversi dalla dichiarata finalit\u00e0 di sicurezza informatica, rappresentasse una deviazione sostanziale dalle finalit\u00e0 originarie del trattamento. Questa pratica non solo violava il principio di finalit\u00e0, ma minava anche la fiducia degli interessati nel sistema di protezione dei loro dati personali.<\/p>\n\n\n\n<p>La <strong>sistematicit\u00e0<\/strong> delle violazioni ha rappresentato un ulteriore elemento di gravit\u00e0. Non si \u00e8 trattato infatti di singoli episodi isolati, ma di un sistema organizzato di pratiche che ha coinvolto l&#8217;intera struttura aziendale e tutti i collaboratori, creando un modello di gestione dei dati personali intrinsecamente non conforme ai principi del GDPR. Il Garante ha evidenziato come questa sistematicit\u00e0 rendesse le violazioni particolarmente pericolose, in quanto potenzialmente capaci di ledere i diritti di un numero significativo di interessati.<\/p>\n\n\n\n<p>La gravit\u00e0 delle violazioni \u00e8 stata amplificata anche dalla <strong>durata prolungata<\/strong> dei trattamenti illeciti. Il sistema di conservazione delle email per tre anni dopo la cessazione del rapporto e la registrazione sistematica dei log di accesso hanno creato una situazione di persistente violazione dei diritti degli interessati, con potenziali effetti pregiudizievoli che si estendevano ben oltre la durata del rapporto di lavoro o collaborazione.<\/p>\n\n\n\n<p>Nel valutare la gravit\u00e0 complessiva delle violazioni, il Garante ha considerato anche il contesto specifico in cui queste sono avvenute. Il fatto che<strong> i trattamenti illeciti riguardassero comunicazioni elettroniche in ambito lavorativo<\/strong>, un ambito in cui esiste un inevitabile squilibrio di potere tra le parti, ha reso le violazioni ancora pi\u00f9 significative, in quanto potenzialmente lesive non solo del diritto alla protezione dei dati personali, ma anche della dignit\u00e0 e della riservatezza dei lavoratori.<\/p>\n\n\n\n<p>Questa valutazione sulla gravit\u00e0 delle violazioni ha avuto un peso determinante non solo nella quantificazione della sanzione amministrativa, ma anche nella scelta delle misure correttive imposte, culminate nel divieto assoluto di ulteriore trattamento dei dati estratti attraverso MailStore. <\/p>\n\n\n\n<p>La decisione del Garante costituisce quindi un importante precedente che sottolinea come la violazione dei principi fondamentali del GDPR non possa essere considerata una questione meramente formale, ma rappresenti una seria compromissione dei diritti fondamentali degli interessati, meritevole delle pi\u00f9 severe misure correttive.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Numero significativo di interessati coinvolti (151 dipendenti)<\/h3>\n\n\n\n<p>Nel valutare la portata delle violazioni commesse da Selectra, il Garante Privacy ha posto particolare attenzione alla dimensione collettiva del trattamento illecito, che ha potenzialmente coinvolto<strong> tutti i 151 dipendenti<\/strong> in forza presso la societ\u00e0. Questo elemento ha rappresentato un fattore aggravante nella determinazione della sanzione e nella valutazione complessiva della gravit\u00e0 delle violazioni.<\/p>\n\n\n\n<p><strong>La rilevanza del numero degli interessati <\/strong>coinvolti emerge con particolare evidenza considerando che le pratiche illecite non si sono limitate al caso specifico dell&#8217;ex agente commerciale che aveva presentato il reclamo, ma facevano parte di un sistema generalizzato di gestione delle comunicazioni aziendali. Il software MailStore, infatti, operava indistintamente su tutte le caselle di posta elettronica aziendali, creando un archivio massivo di comunicazioni che interessava l&#8217;intera popolazione aziendale.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha evidenziato come l&#8217;ampiezza del numero degli interessati abbia <strong>amplificato l&#8217;impatto delle violazioni riscontrate<\/strong>. Ogni dipendente della societ\u00e0 era potenzialmente soggetto alle medesime pratiche di conservazione e controllo delle comunicazioni elettroniche, vedendo i propri diritti alla riservatezza e alla protezione dei dati personali sistematicamente compromessi. La conservazione triennale post-rapporto delle email e il monitoraggio dei log di accesso non rappresentavano quindi episodi isolati, ma costituivano una prassi aziendale consolidata che interessava l&#8217;intera struttura organizzativa.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come la dimensione collettiva delle violazioni abbia anche accentuato la responsabilit\u00e0 della societ\u00e0 nella gestione dei dati personali. Con un numero cos\u00ec significativo di interessati coinvolti, l&#8217;adozione di pratiche non conformi al GDPR ha creato un rischio sistemico per i diritti e le libert\u00e0 fondamentali di una vasta platea di soggetti. Questo aspetto ha influito significativamente sulla quantificazione della sanzione amministrativa, che doveva necessariamente riflettere la portata collettiva delle violazioni.<\/p>\n\n\n\n<p>La presenza di 151 dipendenti ha anche evidenziato una criticit\u00e0 nella gestione organizzativa della protezione dei dati. Una struttura di queste dimensioni avrebbe dovuto<strong> disporre di policy e procedure adeguate<\/strong> per garantire una corretta gestione delle informazioni personali, invece di adottare pratiche indiscriminate di conservazione e controllo che non tenevano conto delle specifiche esigenze di protezione dei dati dei singoli interessati.<\/p>\n\n\n\n<p>Questa dimensione collettiva delle violazioni ha influenzato anche la scelta delle misure correttive imposte dal Garante. Il divieto di ulteriore trattamento dei dati estratti tramite MailStore \u00e8 stato infatti disposto non solo a tutela dell&#8217;ex agente commerciale che aveva presentato il reclamo, ma nell&#8217;interesse di tutti i dipendenti i cui dati erano stati oggetto di trattamento illecito.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Considerazione della cooperazione dell&#8217;azienda<\/h3>\n\n\n\n<p>Nella valutazione complessiva del caso Selectra, il Garante Privacy ha riconosciuto e valorizzato l&#8217;atteggiamento collaborativo mostrato dall&#8217;azienda durante l&#8217;intero procedimento, considerandolo come elemento mitigante nella determinazione della sanzione finale. Questo aspetto del provvedimento merita particolare attenzione perch\u00e9 illustra l&#8217;importanza che l&#8217;Autorit\u00e0 attribuisce alla cooperazione dei soggetti sottoposti a verifica.<\/p>\n\n\n\n<p>La cooperazione di Selectra si \u00e8 manifestata principalmente attraverso due aspetti significativi. In primo luogo, l&#8217;azienda ha dimostrato<strong> piena trasparenza nel fornire tutte le informazioni richieste dall&#8217;Autorit\u00e0 <\/strong>durante la fase istruttoria, permettendo una ricostruzione dettagliata delle pratiche di trattamento dei dati. In particolare, la societ\u00e0 ha fornito documentazione completa sul funzionamento del software MailStore e sulle modalit\u00e0 di conservazione delle comunicazioni elettroniche, non cercando di occultare o minimizzare le proprie responsabilit\u00e0.<\/p>\n\n\n\n<p>Ancora pi\u00f9 significativa \u00e8 stata la decisione dell&#8217;azienda di <strong>sospendere volontariamente l&#8217;utilizzo del software MailStore<\/strong> in attesa delle indicazioni dell&#8217;Autorit\u00e0. Questa scelta proattiva ha dimostrato una concreta volont\u00e0 di conformarsi alle prescrizioni del Garante e di correggere le pratiche risultate non conformi alla normativa sulla protezione dei dati personali. La societ\u00e0 ha inoltre avviato un processo di revisione delle proprie informative privacy, dimostrando l&#8217;intenzione di adeguare complessivamente le proprie procedure alle indicazioni dell&#8217;Autorit\u00e0.<\/p>\n\n\n\n<p>Il Garante ha apprezzato particolarmente questo atteggiamento costruttivo, riconoscendo come la cooperazione dell&#8217;azienda abbia facilitato l&#8217;accertamento delle violazioni e, soprattutto, l&#8217;adozione di misure correttive efficaci. La disponibilit\u00e0 mostrata da Selectra nel riconoscere le criticit\u00e0 e nell&#8217;impegnarsi per la loro risoluzione ha rappresentato un elemento positivo nella valutazione complessiva del caso.<\/p>\n\n\n\n<p>Tuttavia, l&#8217;Autorit\u00e0 ha chiarito che la cooperazione, pur rappresentando un fattore mitigante, non pu\u00f2 da sola sanare la gravit\u00e0 delle violazioni riscontrate. <strong>Il comportamento collaborativo dell&#8217;azienda ha influito sulla quantificazione della sanzione,<\/strong> ma non ha impedito l&#8217;adozione di misure correttive severe, come il divieto di ulteriore trattamento dei dati estratti tramite MailStore.<\/p>\n\n\n\n<p>Questa valutazione bilanciata della cooperazione aziendale riflette l&#8217;approccio del Garante, volto a incentivare comportamenti virtuosi da parte delle organizzazioni sottoposte a verifica, pur mantenendo ferma la necessit\u00e0 di sanzionare adeguatamente le violazioni riscontrate. La decisione sottolinea come la <strong>collaborazione<\/strong> con l&#8217;Autorit\u00e0 di controllo non sia solo un obbligo normativo, ma rappresenti anche <strong>un&#8217;opportunit\u00e0<\/strong> per le aziende di dimostrare la propria seriet\u00e0 nell&#8217;affrontare le questioni relative alla protezione dei dati personali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Assenza di precedenti specifici<\/h3>\n\n\n\n<p>Nella valutazione complessiva che ha portato alla determinazione della sanzione nei confronti di Selectra, il Garante Privacy ha considerato come elemento attenuante l<strong>&#8216;assenza di precedenti specifici a carico della societ\u00e0<\/strong>. Questo aspetto del provvedimento merita un&#8217;analisi approfondita perch\u00e9 illustra come l&#8217;Autorit\u00e0 valuti il comportamento storico delle organizzazioni nel determinare l&#8217;entit\u00e0 delle sanzioni per violazioni della normativa sulla protezione dei dati personali.<\/p>\n\n\n\n<p>Il fatto che Selectra non avesse precedenti violazioni accertate in materia di privacy ha rappresentato un elemento significativo nella calibrazione della sanzione amministrativa. L&#8217;Autorit\u00e0 ha infatti riconosciuto come le violazioni riscontrate, pur gravi, non si inserissero in un quadro di reiterata inosservanza della normativa, ma rappresentassero piuttosto una prima infrazione accertata nel percorso dell&#8217;azienda.<\/p>\n\n\n\n<p> La mancanza di precedenti ha certamente influito sulla quantificazione della sanzione, ma non ha impedito l&#8217;irrogazione di una multa significativa di 80.000 euro, proprio in considerazione della natura sistemica e della gravit\u00e0 delle violazioni accertate.<\/p>\n\n\n\n<p>Particolarmente rilevante \u00e8 stata la considerazione che, sebbene non ci fossero precedenti specifici, l<strong>e pratiche illecite riscontrate non rappresentavano violazioni occasionali o isolate<\/strong>, ma facevano parte di un sistema strutturato di gestione dei dati personali non conforme alla normativa. Il software MailStore era infatti utilizzato sistematicamente per tutti i dipendenti e collaboratori, creando una situazione di violazione continuata dei principi di protezione dei dati.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha anche valutato come l&#8217;assenza di precedenti specifici dovesse essere considerata nel contesto delle dimensioni e della struttura organizzativa della societ\u00e0. Con 151 dipendenti, Selectra rappresentava una realt\u00e0 aziendale di dimensioni significative, da cui ci si sarebbe potuta attendere <strong>una maggiore consapevolezza e attenzione nella gestione dei dati personali,<\/strong> indipendentemente dall&#8217;assenza di precedenti violazioni accertate.<\/p>\n\n\n\n<p>L&#8217;assenza di precedenti violazioni pu\u00f2 rappresentare un elemento favorevole nella valutazione di eventuali infrazioni, ma non pu\u00f2 essere considerata una circostanza sufficiente a giustificare o attenuare significativamente la gravit\u00e0 di violazioni sostanziali dei principi fondamentali del GDPR.<\/p>\n\n\n\n<p>La decisione sottolinea quindi l&#8217;importanza per le aziende di implementare fin dall&#8217;inizio sistemi di gestione dei dati personali pienamente conformi alla normativa, senza attendere eventuali interventi dell&#8217;Autorit\u00e0 di controllo. La prevenzione delle violazioni, attraverso l&#8217;adozione di misure tecniche e organizzative adeguate, resta lo strumento principale per mantenere una storia aziendale priva di precedenti in materia di privacy.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Necessit\u00e0 di sistemi specifici per l&#8217;archiviazione<\/h3>\n\n\n\n<p>Uno degli aspetti pi\u00f9 rilevanti emersi dal provvedimento del Garante Privacy nel caso Selectra riguarda la necessit\u00e0 per le aziende di dotarsi di sistemi specifici e adeguati per l&#8217;archiviazione delle comunicazioni elettroniche. L&#8217;Autorit\u00e0 ha infatti evidenziato come l&#8217;utilizzo di un semplice sistema di backup delle email, come MailStore, non sia sufficiente a garantire una gestione corretta e conforme alla normativa dei dati personali contenuti nelle comunicazioni aziendali.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come i sistemi di archiviazione debbano essere progettati e implementati specificamente per garantire le caratteristiche fondamentali di autenticit\u00e0, integrit\u00e0, affidabilit\u00e0, leggibilit\u00e0 e reperibilit\u00e0 dei documenti, caratteristiche che non possono essere assicurate da un semplice sistema di backup delle email. <strong>L&#8217;Autorit\u00e0 ha infatti rilevato come i sistemi di posta elettronica rispondano a finalit\u00e0 diverse dall&#8217;archiviazione documentale e non possano quindi sostituire strumenti specificamente progettati per questa funzione.<\/strong><\/p>\n\n\n\n<p>Nella sua analisi, il Garante ha delineato le <strong>caratteristiche<\/strong> che un <strong>sistema di archiviazione<\/strong> deve possedere per essere considerato adeguato. In primo luogo, deve permettere una <strong>selezione accurata dei documenti da archiviare<\/strong>, evitando la conservazione indiscriminata di tutte le comunicazioni. Il sistema deve inoltre garantire <strong>la possibilit\u00e0 di classificare i documenti <\/strong>in base alla loro rilevanza e alle finalit\u00e0 di conservazione, permettendo una gestione differenziata dei tempi di retention in base alla natura delle informazioni contenute.<\/p>\n\n\n\n<p>Particolarmente significativa \u00e8 l&#8217;indicazione dell&#8217;Autorit\u00e0 sulla necessit\u00e0 <strong>di implementare procedure<\/strong> che permettano di distinguere chiaramente tra l&#8217;archiviazione per finalit\u00e0 operative e quella per finalit\u00e0 legali o di conformit\u00e0 normativa. Questa distinzione deve riflettersi non solo nelle modalit\u00e0 di conservazione, ma anche nei tempi di retention e nelle procedure di accesso ai documenti archiviati.<\/p>\n\n\n\n<p>Il Garante ha anche evidenziato l&#8217;importanza di dotarsi di sistemi che garantiscano<strong> la tracciabilit\u00e0 degli accessi <\/strong>e delle <strong>operazioni<\/strong> effettuate sui documenti archiviati. Questa funzionalit\u00e0 \u00e8 essenziale non solo per ragioni di sicurezza, ma anche per assicurare la trasparenza del trattamento e la possibilit\u00e0 di dimostrare la conformit\u00e0 alle normative sulla protezione dei dati personali.<\/p>\n\n\n\n<p>La decisione sottolinea inoltre come i sistemi di archiviazione debbano essere supportati <strong>da policy chiare e dettagliate<\/strong> che definiscano:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>I criteri per la selezione dei documenti da archiviare<\/li>\n\n\n\n<li>Le modalit\u00e0 di classificazione delle informazioni<\/li>\n\n\n\n<li>I tempi di conservazione per le diverse tipologie di documenti<\/li>\n\n\n\n<li>Le procedure per l&#8217;accesso ai documenti archiviati<\/li>\n\n\n\n<li>I meccanismi di cancellazione o anonimizzazione al termine del periodo di conservazione<\/li>\n<\/ul>\n\n\n\n<p>Questa pronuncia del Garante costituisce un importante <strong>riferimento per le organizzazioni nella scelta e implementazione dei sistemi di archiviazione documentale. <\/strong>L&#8217;Autorit\u00e0 ha chiarito come non sia sufficiente affidarsi a soluzioni generiche di backup, ma sia necessario dotarsi di strumenti specifici che garantiscano una gestione conforme dei documenti aziendali, nel rispetto dei principi fondamentali della protezione dei dati personali.<\/p>\n\n\n\n<p>La decisione evidenzia anche come la scelta dei sistemi di archiviazione non sia una questione meramente tecnica, ma richieda una <strong>valutazione attenta<\/strong> delle esigenze aziendali e delle implicazioni in termini di protezione dei dati personali. Le organizzazioni sono quindi chiamate a ripensare le proprie strategie di gestione documentale, implementando soluzioni che garantiscano non solo l&#8217;efficienza operativa, ma anche il pieno rispetto dei diritti degli interessati.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Inadeguatezza dei sistemi di posta elettronica per la conservazione<\/h3>\n\n\n\n<p>La criticit\u00e0 principale rilevata dal Garante riguarda la natura stessa dei <strong>sistemi di posta elettronica, che sono progettati per la comunicazione e non per la conservazione documentale.<\/strong> Questi sistemi, infatti, non possono garantire quelle caratteristiche fondamentali che l&#8217;Autorit\u00e0 considera essenziali per una corretta gestione archivistica: l&#8217;autenticit\u00e0, l&#8217;integrit\u00e0, l&#8217;affidabilit\u00e0 e la reperibilit\u00e0 dei documenti nel tempo. <strong>Il semplice backup delle email,<\/strong> per quanto tecnicamente sofisticato, non pu\u00f2 assicurare questi requisiti fondamentali.<\/p>\n\n\n\n<p>Un altro aspetto problematico evidenziato dall&#8217;Autorit\u00e0 riguarda <strong>l&#8217;impossibilit\u00e0 di gestire in modo granulare e selettivo i contenuti attraverso i sistemi di posta elettronica<\/strong>. Il backup indiscriminato di tutte le comunicazioni, infatti, contrasta con il principio di minimizzazione dei dati, poich\u00e9 conserva anche informazioni non rilevanti o non necessarie per le finalit\u00e0 aziendali. Questa mancanza di selettivit\u00e0 rende i sistemi di posta elettronica inadeguati per una gestione documentale conforme ai principi del GDPR.<\/p>\n\n\n\n<p>Il Garante ha anche sottolineato come i sistemi di posta elettronica <strong>non permettano una corretta gestione dei tempi di conservazione differenziati.<\/strong> Nel caso Selectra, la conservazione indiscriminata per tre anni di tutte le email dopo la cessazione del rapporto evidenzia proprio questo limite: l&#8217;impossibilit\u00e0 di applicare politiche di retention diverse in base alla tipologia di documento o alla finalit\u00e0 della conservazione.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha inoltre rilevato come l&#8217;utilizzo dei sistemi di posta elettronica per la conservazione documentale possa creare problemi di<strong> sicurezza e di accesso alle informazioni.<\/strong> La mancanza di adeguati sistemi di classificazione e indicizzazione rende difficile la gestione degli accessi e il controllo sulle operazioni effettuate sui documenti conservati, esponendo le informazioni a rischi di accessi non autorizzati o utilizzi impropri.<\/p>\n\n\n\n<p>Particolarmente critica \u00e8 stata giudicata <strong>l&#8217;impossibilit\u00e0 di garantire l&#8217;immodificabilit\u00e0 dei documenti conservati <\/strong>attraverso i sistemi di posta elettronica. Questa caratteristica, fondamentale per l&#8217;archiviazione documentale, non pu\u00f2 essere assicurata da sistemi pensati principalmente per la comunicazione, compromettendo cos\u00ec l&#8217;affidabilit\u00e0 legale dei documenti conservati.<\/p>\n\n\n\n<p>Il Garante ha quindi concluso che le aziende devono necessariamente dotarsi di <strong>sistemi di gestione documentale specifici,<\/strong> distinti dai sistemi di posta elettronica, che possano garantire una conservazione conforme alla normativa sulla protezione dei dati personali. Questi sistemi devono essere progettati considerando fin dall&#8217;inizio (privacy by design) le esigenze di protezione dei dati personali e devono includere funzionalit\u00e0 specifiche per la gestione documentale, come la classificazione, l&#8217;indicizzazione e la gestione dei tempi di conservazione.<\/p>\n\n\n\n<p>La decisione costituisce un importante monito per le organizzazioni sulla necessit\u00e0 di superare l&#8217;approccio semplicistico che vede nei sistemi di backup delle email una soluzione sufficiente per la conservazione documentale. <\/p>\n\n\n\n<p>Le aziende sono chiamate a implementare soluzioni pi\u00f9 strutturate e conformi, che possano garantire una gestione documentale rispettosa sia delle esigenze operative che dei diritti degli interessati alla protezione dei loro dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-obbligo-di-garantire-autenticita-integrita-e-affidabilita-dei-documenti\">Obbligo di garantire autenticit\u00e0, integrit\u00e0 e affidabilit\u00e0 dei documenti<\/h3>\n\n\n\n<p>Nel provvedimento relativo al caso Selectra, il Garante Privacy ha posto particolare enfasi sull&#8217;obbligo delle aziende di garantire <strong>l&#8217;autenticit\u00e0, l&#8217;integrit\u00e0 e l&#8217;affidabilit\u00e0 dei documenti conservati. <\/strong>Questa tripartizione di requisiti rappresenta un elemento fondamentale per una corretta gestione documentale che rispetti la normativa sulla protezione dei dati personali.<\/p>\n\n\n\n<p><strong>L&#8217;autenticit\u00e0 dei documenti <\/strong>costituisce il primo pilastro di questo sistema di garanzie. Secondo il Garante, un documento pu\u00f2 essere considerato autentico quando \u00e8 possibile dimostrare che \u00e8 effettivamente quello che dichiara di essere, che \u00e8 stato effettivamente creato o inviato dal soggetto che si presume lo abbia creato o inviato e che \u00e8 stato creato o inviato nel momento in cui si presume sia stato creato o inviato. Nel caso Selectra, il sistema di backup delle email non poteva garantire questi requisiti di autenticit\u00e0, poich\u00e9 <strong>non prevedeva meccanismi di validazione della provenienza e della data certa dei documenti.<\/strong><\/p>\n\n\n\n<p><strong>L&#8217;integrit\u00e0<\/strong> rappresenta il secondo elemento essenziale individuato dall&#8217;Autorit\u00e0. Un documento deve mantenersi completo e inalterato durante tutto il suo ciclo di vita, dalla creazione fino alla conservazione. Ogni modifica deve essere tracciabile e documentabile. Il Garante ha evidenziato come i sistemi di posta elettronica non possano garantire questa caratteristica, in quanto non dispongono di meccanismi intrinseci per prevenire o rilevare alterazioni dei contenuti conservati.<\/p>\n\n\n\n<p><strong>L&#8217;affidabilit\u00e0 dei documenti<\/strong>, terzo requisito fondamentale, si riferisce alla capacit\u00e0 di rappresentare in modo accurato e completo le attivit\u00e0 o i fatti che attestano. Secondo il Garante, un sistema di gestione documentale deve poter garantire che i documenti conservati siano affidabili nel tempo e possano essere utilizzati come evidenza delle attivit\u00e0 aziendali. Questo requisito implica la necessit\u00e0 di implementare sistemi che mantengano il contesto delle informazioni e permettano di ricostruire le relazioni tra i diversi documenti.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come <strong>questi tre requisiti non possano essere considerati separatamente, <\/strong>ma debbano essere garantiti in modo integrato attraverso l&#8217;adozione di sistemi di gestione documentale appropriati. Questi sistemi devono includere meccanismi tecnici e organizzativi specifici, come:<\/p>\n\n\n\n<p>&#8211; La marcatura temporale dei documenti<\/p>\n\n\n\n<p>&#8211; La firma digitale o altri sistemi di validazione dell&#8217;autenticit\u00e0<\/p>\n\n\n\n<p>&#8211; Sistemi di logging per tracciare ogni accesso o modifica<\/p>\n\n\n\n<p>&#8211; Procedure di backup e disaster recovery<\/p>\n\n\n\n<p>&#8211; Meccanismi di verifica periodica dell&#8217;integrit\u00e0 dei documenti<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha inoltre evidenziato come <strong>la garanzia di questi requisiti<\/strong> non sia solo una questione tecnica, ma richieda anche l&#8217;implementazione di <strong>procedure organizzative adeguate e la formazione del personale<\/strong> coinvolto nella gestione documentale. \u00c8 necessario che le aziende sviluppino una cultura della gestione documentale che consideri la protezione dei dati personali come un elemento centrale e non accessorio.<\/p>\n\n\n\n<p>Nel caso specifico, il Garante ha rilevato come l&#8217;utilizzo di MailStore non potesse soddisfare questi requisiti fondamentali, essendo un sistema progettato principalmente per il backup e non per la gestione documentale. La decisione sottolinea l&#8217;importanza di scegliere strumenti specificamente progettati per garantire l&#8217;autenticit\u00e0, l&#8217;integrit\u00e0 e l&#8217;affidabilit\u00e0 dei documenti, evitando soluzioni improvvisate o inadeguate.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Il trattamento deve riferirsi a contenziosi in atto o situazioni precontenziose<\/h3>\n\n\n\n<p>Nel provvedimento Selectra, il Garante Privacy ha affrontato con particolare attenzione l<strong>a questione del trattamento dei dati personali finalizzato alla tutela dei diritti in sede giudiziaria<\/strong>, stabilendo un principio fondamentale: <\/p>\n\n\n\n<p><em>tale trattamento deve necessariamente riferirsi a contenziosi gi\u00e0 in atto o a situazioni precontenziose concrete e non pu\u00f2 basarsi su astratte e ipotetiche esigenze di tutela futura.<\/em><\/p>\n\n\n\n<p>Nel caso specifico, Selectra aveva giustificato l&#8217;accesso e l&#8217;analisi delle email dell&#8217;ex collaboratore sostenendo di agire per una &#8220;finalit\u00e0 determinata e legittima di tutela in ambito giudiziario&#8221;. Tuttavia, il Garante ha rilevato come questa giustificazione fosse intervenuta solo successivamente, quando gi\u00e0 l&#8217;azienda aveva raccolto e conservato sistematicamente le comunicazioni attraverso il software MailStore, senza che vi fosse al momento della raccolta una situazione di contenzioso in corso o una concreta prospettiva di controversia.<\/p>\n\n\n\n<p>L&#8217;Autorit\u00e0 ha chiarito che la possibilit\u00e0 di trattare dati personali per finalit\u00e0 di tutela giudiziaria rappresenta certamente una base giuridica legittima, ma deve essere ancorata a elementi concreti e non pu\u00f2 trasformarsi in una giustificazione generica per la conservazione indiscriminata di dati personali. <strong>La mera possibilit\u00e0 di futuri contenziosi non pu\u00f2 legittimare pratiche di conservazione massiva delle comunicazioni elettroniche.<\/strong><\/p>\n\n\n\n<p>Il Garante ha evidenziato come sia necessario distinguere tra diverse situazioni.<strong> Nel caso di un contenzioso gi\u00e0 in atto<\/strong>, il trattamento dei dati personali finalizzato alla difesa in giudizio trova una chiara legittimazione, purch\u00e9 sia proporzionato e limitato ai dati effettivamente rilevanti per la controversia. Analogamente, in presenza di una<strong> situazione precontenziosa concreta<\/strong>, caratterizzata da elementi oggettivi che facciano ragionevolmente prevedere l&#8217;insorgere di una controversia, il trattamento pu\u00f2 essere giustificato, ma sempre nel rispetto dei principi di proporzionalit\u00e0 e minimizzazione.<\/p>\n\n\n\n<p><strong>Diverso \u00e8 il caso di un trattamento sistematico e preventivo,<\/strong> come quello effettuato da Selectra, basato sulla mera possibilit\u00e0 di futuri contenziosi. L&#8217;Autorit\u00e0 ha chiarito che tale approccio non pu\u00f2 essere considerato legittimo, in quanto trasformerebbe la finalit\u00e0 di tutela giudiziaria in una sorta di &#8220;salvacondotto&#8221; per pratiche di sorveglianza e controllo non conformi ai principi del GDPR.<\/p>\n\n\n\n<p>Particolarmente significativa \u00e8 stata la <strong>valutazione del Garante sulla tempistica del trattamento.<\/strong> Nel caso Selectra, l&#8217;accesso alle email era avvenuto dopo la cessazione del rapporto di collaborazione, quando erano emersi sospetti di condotte illecite. Tuttavia, la conservazione sistematica delle comunicazioni era stata effettuata preventivamente, senza che vi fossero al momento della raccolta elementi concreti che giustificassero tale trattamento.<\/p>\n\n\n\n<p>Il provvedimento stabilisce quindi un importante principio di <strong>temporalit\u00e0<\/strong>: la legittimit\u00e0 del trattamento per finalit\u00e0 di tutela giudiziaria deve essere valutata al momento in cui il trattamento viene effettuato, non pu\u00f2 essere &#8220;sanata&#8221; da successive esigenze di tutela. La conservazione preventiva di dati personali nella prospettiva di possibili futuri contenziosi non pu\u00f2 essere considerata conforme ai principi di necessit\u00e0 e proporzionalit\u00e0 del trattamento.<\/p>\n\n\n\n<p>Questa pronuncia costituisce un importante riferimento per le aziende nella gestione delle informazioni potenzialmente rilevanti per contenziosi futuri. Le organizzazioni sono chiamate a implementare politiche di conservazione dei dati pi\u00f9 selettive e mirate, basate su esigenze concrete di tutela giudiziaria e non su generiche prospettive di possibili controversie future. Solo un approccio basato sulla concretezza delle situazioni pu\u00f2 garantire un equilibrio tra le legittime esigenze di tutela aziendale e il rispetto dei diritti fondamentali alla protezione dei dati personali.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Non sono ammesse conservazioni per astratte ipotesi di tutela futura<\/h3>\n\n\n\n<p>Il Garante Privacy ha dedicato particolare attenzione nel provvedimento Selectra al divieto di conservazione dei dati personali basata su astratte ipotesi di tutela futura, stabilendo un principio fondamentale che impatta significativamente sulle pratiche aziendali di gestione documentale.<\/p>\n\n\n\n<p>Nel caso esaminato, l&#8217;Autorit\u00e0 ha rilevato come la conservazione sistematica delle email attraverso il software MailStore fosse stata giustificata da Selectra con la generica possibilit\u00e0 di dover tutelare in futuro i propri diritti. Questa motivazione \u00e8 stata ritenuta insufficiente e in contrasto con i principi fondamentali del GDPR, in particolare con il principio di minimizzazione dei dati e di limitazione della conservazione.<\/p>\n\n\n\n<p>Il Garante ha evidenziato come la mera possibilit\u00e0 di futuri contenziosi non possa legittimare una conservazione indiscriminata di dati personali. Tale approccio, infatti, si tradurrebbe nella pratica<strong> in una forma di sorveglianza preventiva, incompatibile con i diritti fondamentali alla riservatezza e alla protezione dei dati personali.<\/strong> La decisione sottolinea come ogni conservazione debba essere giustificata da esigenze concrete e attuali, non da scenari ipotetici di possibili necessit\u00e0 future.<\/p>\n\n\n\n<p>Particolarmente significativa \u00e8 la distinzione operata dall&#8217;Autorit\u00e0 tra conservazione legittima e illegittima. Una conservazione pu\u00f2 essere considerata <strong>legittima<\/strong> quando \u00e8 supportata da elementi concreti che facciano ragionevolmente prevedere l&#8217;insorgere di una controversia, o quando sia necessaria per adempiere a specifici obblighi di legge. Al contrario, la conservazione <strong>basata su mere ipotesi <\/strong>di possibili necessit\u00e0 future non trova giustificazione nel quadro normativo della protezione dei dati.<\/p>\n\n\n\n<p>Il provvedimento evidenzia come questa pratica di conservazione &#8220;preventiva&#8221; sia particolarmente rischiosa nel contesto delle comunicazioni elettroniche aziendali. La conservazione indiscriminata delle email, infatti, porta inevitabilmente alla raccolta e al mantenimento di una grande quantit\u00e0 di informazioni personali, molte delle quali non necessarie per le finalit\u00e0 dichiarate di tutela legale. Questo accumulo di dati non solo viola il principio di minimizzazione, ma crea anche rischi significativi per la privacy degli interessati.<\/p>\n\n\n\n<p>Il Garante ha sottolineato come le aziende debbano invece adottare un approccio basato sulla selettivit\u00e0 e sulla proporzionalit\u00e0. Quando emergono situazioni concrete che possono far prevedere l&#8217;insorgere di controversie, \u00e8 legittimo conservare la documentazione rilevante, ma questa conservazione deve essere:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mirata ai documenti effettivamente pertinenti<\/li>\n\n\n\n<li>Limitata nel tempo<\/li>\n\n\n\n<li>Proporzionata alla finalit\u00e0 perseguita<\/li>\n\n\n\n<li>Adeguatamente documentata nelle sue motivazioni<\/li>\n<\/ul>\n\n\n\n<p>La decisione dell&#8217;Autorit\u00e0 impone quindi alle organizzazioni di <strong>ripensare le proprie politiche di conservazione dei dati<\/strong>, abbandonando l&#8217;approccio &#8220;conservativo&#8221; basato sulla mera possibilit\u00e0 di futuri contenziosi. Le aziende sono chiamate a implementare sistemi di gestione documentale pi\u00f9 sofisticati, che permettano una selezione accurata dei documenti da conservare e una chiara giustificazione dei periodi di conservazione.<\/p>\n\n\n\n<p><strong>Questa pronuncia ha importanti implicazioni pratiche per le organizzazioni, che dovranno:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Rivedere le proprie policy di conservazione dei dati<\/li>\n\n\n\n<li>Implementare procedure di valutazione periodica della necessit\u00e0 di conservazione<\/li>\n\n\n\n<li>Documentare adeguatamente le ragioni che giustificano la conservazione<\/li>\n\n\n\n<li>Prevedere meccanismi di cancellazione automatica dei dati non pi\u00f9 necessari<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Necessit\u00e0 di revisione delle policy aziendali sulla gestione email<\/h3>\n\n\n\n<p>Il provvedimento del Garante Privacy nel caso Selectra ha evidenziato in modo chiaro la necessit\u00e0 per le aziende di procedere a una <strong>profonda revisione delle proprie policy<\/strong> sulla gestione delle email aziendali. L&#8217;Autorit\u00e0 ha delineato un quadro normativo che impone un ripensamento complessivo delle prassi consolidate in questo ambito.<\/p>\n\n\n\n<p>La decisione ha messo in luce come molte delle pratiche comuni nella gestione delle email aziendali siano in realt\u00e0 incompatibili con i principi fondamentali del GDPR.<strong> Non \u00e8 pi\u00f9 sufficiente basarsi su policy generiche <\/strong>che prevedono la conservazione indiscriminata delle comunicazioni elettroniche o che si limitano a informare gli utenti della possibilit\u00e0 di controlli futuri. Le organizzazioni devono invece implementare sistemi di gestione delle email che rispettino pienamente i diritti degli interessati alla protezione dei loro dati personali.<\/p>\n\n\n\n<p>Le nuove policy sulla gestione delle email devono innanzitutto definire con chiarezza le finalit\u00e0 del trattamento. <strong>Non \u00e8 ammissibile una formulazione generica<\/strong> che faccia riferimento a possibili esigenze future di tutela aziendale o a non meglio precisate necessit\u00e0 organizzative. Ogni finalit\u00e0 deve essere specificata in modo dettagliato, permettendo agli interessati di comprendere esattamente come verranno utilizzate le loro comunicazioni.<\/p>\n\n\n\n<p>Un aspetto fondamentale evidenziato dal Garante riguarda la necessit\u00e0 <strong>di differenziare i tempi di conservazione in base alla tipologia di comunicazioni<\/strong>. Non tutte le email hanno la stessa rilevanza o necessitano degli stessi periodi di conservazione. Le policy aziendali devono quindi prevedere criteri chiari per la classificazione delle comunicazioni e definire tempi di conservazione differenziati in base alla loro natura e importanza.<\/p>\n\n\n\n<p>Particolare attenzione deve essere dedicata alla gestione delle comunicazioni dopo la cessazione del rapporto di lavoro o collaborazione. <strong>Le policy devono definire procedure chiare per la disattivazione degli account e per l&#8217;eventuale conservazione di specifiche comunicazioni, evitando approcci generalizzati che portino alla conservazione indiscriminata di tutte le email.<\/strong><\/p>\n\n\n\n<p>Il Garante ha anche sottolineato l&#8217;importanza di implementare <strong>procedure trasparenti per l&#8217;accesso alle comunicazioni archiviate. <\/strong>Le policy devono specificare chi pu\u00f2 accedere alle email conservate, per quali finalit\u00e0 e secondo quali procedure autorizzative. Ogni accesso deve essere documentato e giustificato da esigenze concrete, non da generiche necessit\u00e0 di controllo.<\/p>\n\n\n\n<p>Un elemento cruciale delle nuove policy deve riguardare la distinzione tra comunicazioni personali e professionali. <strong>Anche se l&#8217;account \u00e8 aziendale, non si pu\u00f2 escludere la presenza di comunicazioni di natura personale. <\/strong>Le policy devono quindi prevedere meccanismi che tutelino la riservatezza di queste comunicazioni, evitando accessi indiscriminati che potrebbero violare la privacy dei dipendenti.<\/p>\n\n\n\n<p>Le aziende devono inoltre implementare<strong> sistemi di notifica e consenso per eventuali accessi alle caselle email.<\/strong> Gli interessati devono essere informati preventivamente di ogni accesso alle loro comunicazioni, salvo casi eccezionali adeguatamente giustificati e documentati. Questo aspetto \u00e8 particolarmente rilevante nel caso di verifiche legate a sospetti di condotte illecite.<\/p>\n\n\n\n<p>La revisione delle policy deve anche considerare gli aspetti tecnici della gestione delle email. Non \u00e8 pi\u00f9 sufficiente affidarsi a semplici sistemi di backup: \u00e8 necessario implementare soluzioni che garantiscano l&#8217;autenticit\u00e0, l&#8217;integrit\u00e0 e la reperibilit\u00e0 delle comunicazioni conservate, nel rispetto dei principi di protezione dei dati personali.<\/p>\n\n\n\n<p>Infine,<strong> le nuove policy <\/strong>devono prevedere meccanismi di verifica periodica della loro efficacia e conformit\u00e0 alla normativa. Le aziende devono pianificare revisioni regolari delle procedure di gestione delle email, aggiornandole in base all&#8217;evoluzione normativa e alle indicazioni delle autorit\u00e0 di controllo.<\/p>\n\n\n\n<p>Questa necessit\u00e0 di revisione rappresenta una sfida significativa per le organizzazioni, ma anche un&#8217;opportunit\u00e0 per implementare sistemi di gestione delle comunicazioni pi\u00f9 efficienti e rispettosi dei diritti degli interessati. Solo attraverso policy chiare, dettagliate e conformi alla normativa \u00e8 possibile garantire un equilibrio tra le esigenze aziendali e la tutela della privacy.\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-importanza-di-informative-complete-e-dettagliate\">Importanza di informative complete e dettagliate<\/h3>\n\n\n\n<p>Il Garante Privacy ha sottolineato con forza come sia essenziale per ogni datore di lavoro fornire informative trasparenti, complete e comprensibili agli interessati riguardo al trattamento dei loro dati personali. <\/p>\n\n\n\n<p>Nel caso Selectra, una delle principali carenze evidenziate riguardava proprio l\u2019inadeguatezza dell\u2019informativa fornita ai collaboratori. L\u2019informativa, infatti, non descriveva chiaramente le modalit\u00e0 di conservazione dei dati, la durata della loro conservazione e le circostanze specifiche che avrebbero potuto giustificare l\u2019accesso alle email aziendali. <\/p>\n\n\n\n<p>Ad esempio, l\u2019utilizzo del software MailStore per il backup automatico delle email non era adeguatamente <strong>comunicato<\/strong>, n\u00e9 era specificata la possibilit\u00e0 di conservazione delle email per un periodo di tre anni dopo la cessazione del rapporto di lavoro. Questo ha privato i collaboratori della possibilit\u00e0 di comprendere appieno come i loro dati venissero gestiti e utilizzati, compromettendo il principio di trasparenza sancito dal GDPR. <\/p>\n\n\n\n<p>Un\u2019informativa efficace dovrebbe includere dettagli specifici sul funzionamento dei sistemi di backup, le modalit\u00e0 di accesso ai dati, le finalit\u00e0 del trattamento e i diritti degli interessati, come il diritto di accesso, rettifica e cancellazione. <\/p>\n\n\n\n<p>Questo approccio contribuisce a costruire un rapporto di fiducia tra azienda e dipendenti, fondato sulla trasparenza e sul rispetto della riservatezza, riducendo il rischio di contestazioni legali e garantendo la conformit\u00e0 normativa. In aggiunta, il Garante ha evidenziato l\u2019importanza di aggiornare regolarmente le informative per riflettere eventuali cambiamenti nelle procedure aziendali, assicurando che i collaboratori siano sempre adeguatamente informati sulle modalit\u00e0 di trattamento dei loro dati personali .<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-necessita-di-sistemi-di-gestione-documentale-appropriati\">Necessit\u00e0 di sistemi di gestione documentale appropriati<\/h3>\n\n\n\n<p>Uno dei temi centrali sollevati dal provvedimento del Garante riguarda l\u2019adeguatezza dei sistemi di gestione documentale adottati dalle aziende per conservare le comunicazioni elettroniche.<\/p>\n\n\n\n<p> Il caso Selectra ha messo in evidenza come l\u2019utilizzo di sistemi di backup come MailStore, pur essendo presentato dall\u2019azienda come misura di sicurezza informatica, si sia rivelato inadeguato per garantire la conformit\u00e0 normativa richiesta dal GDPR. <\/p>\n\n\n\n<p>I sistemi di posta elettronica e i backup automatici non possono essere considerati sufficienti per l\u2019archiviazione a lungo termine, poich\u00e9 mancano delle caratteristiche fondamentali per una corretta gestione documentale, come autenticit\u00e0, integrit\u00e0, affidabilit\u00e0, leggibilit\u00e0 e reperibilit\u00e0. <\/p>\n\n\n\n<p>L\u2019utilizzo di MailStore per conservare le email in modo indiscriminato, senza una classificazione accurata dei documenti e senza una chiara distinzione tra archiviazione operativa e archiviazione legale, ha portato a violazioni dei principi di minimizzazione e proporzionalit\u00e0. Le aziende devono adottare sistemi di gestione documentale progettati appositamente per rispettare i requisiti di protezione dei dati, dotati di funzionalit\u00e0 avanzate come la tracciabilit\u00e0 degli accessi, la classificazione automatica dei documenti, la marcatura temporale e l\u2019uso della firma digitale. <\/p>\n\n\n\n<p>Questi strumenti permettono di garantire una maggiore sicurezza e affidabilit\u00e0 delle informazioni, facilitando allo stesso tempo la dimostrazione di conformit\u00e0 durante le verifiche da parte delle autorit\u00e0 di controllo. Inoltre, l\u2019adozione di policy chiare e procedure di gestione documentale specifiche, supportate da una formazione adeguata del personale, pu\u00f2 contribuire a mitigare i rischi legali e a migliorare la protezione dei dati personali, rafforzando al contempo la governance aziendale .<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-limitazione-dei-tempi-di-conservazione-dei-dati\">Limitazione dei tempi di conservazione dei dati<\/h3>\n\n\n\n<p>Il principio di limitazione della conservazione, stabilito dall\u2019art. 5 del GDPR, impone alle aziende di conservare i dati personali solo per il periodo strettamente necessario al conseguimento delle finalit\u00e0 per le quali sono stati raccolti. Nel caso Selectra, il Garante ha riscontrato una grave violazione di questo principio, poich\u00e9 le email venivano conservate per un periodo di tre anni dopo la cessazione del rapporto di lavoro, senza una giustificazione adeguata. La pratica di mantenere indiscriminatamente tutte le comunicazioni per un periodo cos\u00ec lungo \u00e8 stata ritenuta non conforme ai requisiti di proporzionalit\u00e0 e minimizzazione previsti dal regolamento europeo. <\/p>\n\n\n\n<p>La conservazione prolungata di dati personali, specie se non giustificata da specifiche esigenze operative o legali, comporta non solo un aumento dei rischi di accesso non autorizzato e di violazione della privacy, ma anche un sovraccarico informativo che rende complessa la gestione e l\u2019analisi dei dati stessi. <\/p>\n\n\n\n<p>Per rispettare il principio di limitazione della conservazione, le aziende devono stabilire tempi di conservazione specifici per ciascuna categoria di dati, basandosi su una valutazione delle finalit\u00e0 effettive del trattamento. <\/p>\n\n\n\n<p>\u00c8 fondamentale implementare procedure di revisione periodica per valutare la necessit\u00e0 di mantenere determinati dati, provvedendo alla cancellazione o anonimizzazione quando non pi\u00f9 necessari. Inoltre, il Garante ha chiarito che la conservazione dei dati non pu\u00f2 essere giustificata da ipotetiche esigenze di difesa in futuri contenziosi, ma deve essere limitata ai casi di contenziosi in corso o di situazioni precontenziose concrete. <\/p>\n\n\n\n<p>Adottare un approccio rigoroso alla limitazione dei tempi di conservazione contribuisce a proteggere i diritti degli interessati, a migliorare la sicurezza dei dati e a facilitare la gestione delle informazioni all\u2019interno dell\u2019organizzazione, riducendo al contempo il rischio di sanzioni amministrative per violazioni della normativa sulla protezione dei dati .<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-conclusione\">Conclusione<\/h3>\n\n\n\n<p>In sintesi, il caso Selectra ha dimostrato l\u2019importanza di adottare un approccio integrato alla gestione delle comunicazioni elettroniche, che includa informative complete, sistemi di gestione documentale appropriati e una rigorosa applicazione del principio di limitazione della conservazione. Questi elementi non solo garantiscono la conformit\u00e0 al GDPR, ma promuovono anche la trasparenza e la fiducia tra l\u2019azienda e i suoi collaboratori, proteggendo al contempo i diritti degli interessati e ottimizzando la sicurezza e l\u2019efficienza operativa.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sommario dell&#8217;articolo 1. Il caso 2. Le violazioni riscontrate dal Garante 2.1 Violazioni relative all&#8217;informativa (artt. 5 e 13 GDPR) 2.2 Violazioni relative al trattamento (art. 5, 88 GDPR e art. 114 Codice Privacy) 3. Le decisioni del Garante 3.1 Provvedimenti immediati 3.2 Motivazioni della sanzione 4. Principi stabiliti dal Garante 4.1 Gestione documentale 4.2 [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44,1],"tags":[],"class_list":["post-7395","post","type-post","status-publish","format-standard","hentry","category-diritto-rovescio","category-non-categorizzato"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v23.3 (Yoast SEO v25.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy - PB Consulting<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy\" \/>\n<meta property=\"og:description\" content=\"Sommario dell&#8217;articolo 1. Il caso 2. Le violazioni riscontrate dal Garante 2.1 Violazioni relative all&#8217;informativa (artt. 5 e 13 GDPR) 2.2 Violazioni relative al trattamento (art. 5, 88 GDPR e art. 114 Codice Privacy) 3. Le decisioni del Garante 3.1 Provvedimenti immediati 3.2 Motivazioni della sanzione 4. Principi stabiliti dal Garante 4.1 Gestione documentale 4.2 [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2024-11-17T21:18:37+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-11-17T21:24:27+00:00\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"64 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/\",\"name\":\"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"datePublished\":\"2024-11-17T21:18:37+00:00\",\"dateModified\":\"2024-11-17T21:24:27+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy - PB Consulting","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/","og_locale":"en_US","og_type":"article","og_title":"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy","og_description":"Sommario dell&#8217;articolo 1. Il caso 2. Le violazioni riscontrate dal Garante 2.1 Violazioni relative all&#8217;informativa (artt. 5 e 13 GDPR) 2.2 Violazioni relative al trattamento (art. 5, 88 GDPR e art. 114 Codice Privacy) 3. Le decisioni del Garante 3.1 Provvedimenti immediati 3.2 Motivazioni della sanzione 4. Principi stabiliti dal Garante 4.1 Gestione documentale 4.2 [&hellip;]","og_url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2024-11-17T21:18:37+00:00","article_modified_time":"2024-11-17T21:24:27+00:00","author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"64 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/","url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/","name":"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"datePublished":"2024-11-17T21:18:37+00:00","dateModified":"2024-11-17T21:24:27+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/7395\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Accesso alle email aziendali: le lezioni del caso selectra e il provvedimento del garante privacy"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=7395"}],"version-history":[{"count":6,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7395\/revisions"}],"predecessor-version":[{"id":7401,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7395\/revisions\/7401"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=7395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=7395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=7395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}