In sintesi

Il Garante della Privacy ha multato di 3.000 euro un ente pubblico (CNPI) perché, alla fine del mandato di un suo consigliere, non ha chiuso la sua casella email istituzionale. Invece, ha fatto in modo che tutte le email indirizzate a lui andassero a una casella di gruppo, accessibile a molte persone dell'ente. Questo è stato considerato illegale perché fatto senza una buona ragione (base giuridica) e senza informare nessuno, violando la privacy sia dell'ex consigliere che di chi gli scriveva.

Cosa fare

Se la vostra azienda chiude un rapporto di lavoro o un incarico, assicuratevi di disattivare correttamente le caselle email
Non create inoltri automatici a caselle di gruppo senza una valida ragione e senza informare tutti
Quando una persona lascia l'azienda, configurate una risposta automatica per avvisare chi scrive che l'email non è più attiva e dare un contatto alternativo generale dell'azienda
Siate sempre chiari e trasparenti con i vostri dipendenti e collaboratori su come vengono gestite le loro email, specialmente dopo la fine del rapporto.

Cosa evitare

Non leggere le email personali (o anche istituzionali di ex-collaboratori) senza autorizzazione o una base legale chiara
Non lasciare aperte o inoltrare caselle email di persone che hanno lasciato l'azienda senza aver definito una procedura trasparente e conforme al GDPR
Non sottovalutare l'importanza dell'informativa privacy: deve essere chiara e coprire tutte le pratiche relative alla gestione delle email.

Contesto

Il Sig. XX, ex Consigliere del Consiglio Nazionale dei Periti Industriali e dei Periti Industriali Laureati (CNPI), ha presentato reclamo perché, dopo la cessazione del suo incarico, la sua casella di posta elettronica individuale non è stata disattivata. Invece, è stato configurato un sistema di inoltro automatico (alias) che reindirizzava tutti i messaggi dalla sua casella individuale ([nome].[cognome]@cnpi.it) a una casella collettiva (cnpi@cnpi.it). Questa casella collettiva era accessibile a 7 dipendenti e 11 Consiglieri del CNPI. Il CNPI ha giustificato questa prassi, attiva per circa due anni, come necessaria per garantire la continuità delle attività istituzionali durante un periodo di impugnazione elettorale e insediamento del nuovo Consiglio. Il Garante ha avviato un'istruttoria, notificando al CNPI l'avvio del procedimento per trattamento illecito e mancanza di trasparenza, contestando la violazione degli artt. 5, par. 1, lett. a), 6, 12, 13 e 14 del Regolamento.

La decisione

Il Garante per la protezione dei dati personali ha dichiarato l'illiceità del trattamento di dati personali effettuato dal Consiglio Nazionale dei Periti Industriali e dei Periti Industriali Laureati (CNPI). Il provvedimento ha accertato la violazione degli articoli 5, paragrafo 1, lettera a) (principi di liceità, correttezza e trasparenza), 6 (liceità del trattamento), 12 (trasparenza delle comunicazioni), 13 (informazioni da fornire se dati raccolti presso l'interessato) e 14 (informazioni da fornire se dati non ottenuti presso l'interessato) del Regolamento GDPR. La violazione è consistita nella creazione di un "alias" per la casella di posta elettronica individuale del reclamante, ex Consigliere, dopo la cessazione del suo incarico, reindirizzando i messaggi a una casella collettiva accessibile a numerosi dipendenti e Consiglieri del CNPI. Il Garante ha ritenuto tale trattamento avvenuto in assenza di una valida base giuridica e in violazione della legittima aspettativa di riservatezza del reclamante e dei terzi mittenti, oltre alla mancanza di trasparenza. Le argomentazioni del CNPI sulla continuità istituzionale sono state respinte. Il Garante ha classificato la gravità della violazione come "media" e, poiché la condotta illecita era già cessata con la disattivazione dell'alias, non sono state imposte ulteriori misure correttive ai sensi dell'art. 58, par. 2, del Regolamento. È stata inflitta una sanzione amministrativa pecuniaria di 3.000 euro ed è stata disposta la pubblicazione dell'ordinanza ingiunzione sul sito web del Garante.

Ratio decidendi La ratio decidendi si fonda sulla violazione dei principi di liceità, correttezza e trasparenza (Art. 5, par. 1, lett. a) e 12 GDPR) e sulla mancanza di una base giuridica (Art. 6 GDPR) per il trattamento dei dati personali. Il Garante ha ribadito che la corrispondenza elettronica, anche in ambito lavorativo o istituzionale, gode di un'aspettativa di riservatezza tutelata. Dopo la cessazione di un incarico, il titolare del trattamento è tenuto a disattivare l'account individuale e a implementare sistemi automatici per informare i mittenti della cessazione e fornire indirizzi alternativi, senza accedere ai contenuti delle comunicazioni in entrata. L'inoltro automatico (alias) a una casella collettiva, accessibile da una pluralità di soggetti, costituisce un trattamento non autorizzato e una comunicazione illecita di dati personali. Inoltre, la mancata informazione al reclamante e ai terzi mittenti riguardo a questa prassi viola gli obblighi di trasparenza previsti dagli artt. 12, 13 e 14 del Regolamento. L'esigenza di continuità istituzionale non giustifica tali violazioni, in quanto avrebbero potuto essere adottate misure meno invasive e più conformi al GDPR.

Articoli GDPR violati

Articolo	Descrizione	Rilevanza
5 par.1 lett.a GDPR	Principi di liceità, correttezza e trasparenza	il cnpi ha trattato i dati personali del reclamante e di terzi tramite inoltro automatico senza base giuridica e senza informare gli interessati, violando questi principi fondamentali.
6 GDPR	Liceità del trattamento	il trattamento dei messaggi di posta elettronica, incluso l'accesso e la comunicazione a terzi interni all'ente, è avvenuto in assenza di una valida base giuridica.
12 GDPR	Trasparenza delle comunicazioni e modalità di esercizio dei diritti dell'interessato	il cnpi non ha fornito informazioni chiare e comprensibili sulla prassi di inoltro automatico della posta, impedendo la trasparenza del trattamento.
13 GDPR	Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato	il reclamante non è stato informato della creazione dell'alias e dell'inoltro della sua posta, nonostante fosse l'interessato principale.
14 GDPR	Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato	i mittenti, i cui dati sono stati trattati e comunicati tramite l'alias, non sono stati informati della circostanza che i loro messaggi non venivano ricevuti direttamente dal destinatario previsto ma inoltrati a una casella collettiva.

Misure imposte

Pagamento sanzione pecuniaria; Pubblicazione provvedimento sul sito del Garante

Sanzione

Sanzione amministrativa pecuniaria per la violazione degli artt. 5, par. 1, lett. a), 6, 12, 13 e 14 del Regolamento. La sanzione è stata determinata considerando la violazione della legittima aspettativa di riservatezza, la prassi consolidata, la natura colposa della condotta (erronea interpretazione del quadro giuridico agendo per interesse pubblico), la buona cooperazione del CNPI e l'assenza di precedenti violazioni pertinenti.

Termini: entro 30 giorni dalla notificazione del presente provvedimento

Implicazioni pratiche

Questo provvedimento sottolinea l'importanza della corretta gestione delle caselle di posta elettronica, in particolare quelle assegnate a personale o incaricati, dopo la cessazione del rapporto o del mandato. Anche per gli enti pubblici e gli ordini professionali, l'aspettativa di riservatezza sulla corrispondenza è un principio cardine. Non è sufficiente invocare esigenze di continuità istituzionale per giustificare l'accesso o l'inoltro generalizzato di e-mail a caselle collettive. Le organizzazioni devono adottare procedure chiare che prevedano la disattivazione degli account individuali, l'uso di risposte automatiche per informare i mittenti e l'indicazione di canali di contatto alternativi e istituzionali. La mancanza di trasparenza e di una base giuridica valida per il trattamento e la comunicazione dei dati, anche interni all'organizzazione, può comportare sanzioni.

Errori da evitare

Non inoltrare automaticamente le e-mail individuali a caselle collettive senza base giuridica e informativa
Non accedere al contenuto delle e-mail individuali di ex-dipendenti/incaricati
Non omettere informazioni cruciali nelle informative privacy riguardo alla gestione della posta elettronica
Non considerare l'aspettativa di riservatezza anche per la corrispondenza istituzionale

Domande di self-assessment

Abbiamo una policy per la gestione delle caselle di posta degli incaricati/dipendenti cessati?
La nostra informativa privacy copre adeguatamente il trattamento della posta elettronica?
Esistono meccanismi di inoltro o accesso a caselle individuali da parte di altri soggetti?
Abbiamo una base giuridica chiara per l'accesso o l'inoltro di e-mail di ex-incaricati?
I nostri sistemi di gestione della posta elettronica garantiscono la riservatezza e la trasparenza?

Riferimenti

Linee guida EDPB: Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR

Normativa nazionale: D.Lgs. 196/2003 · l. 24 novembre 1981, n. 689 · D.Lgs. 10 agosto 2018, n. 101 · Codice Privacy art. 157 · Codice Privacy art. 166 · Codice Privacy art. 168 · Codice Privacy art. 152 · Codice Privacy art. 2-ter · Codice Privacy art. 2-sexies · Codice Penale art. 616 · Costituzione art. 2 · Costituzione art. 15 · D.Lgs. 82/2005 (Codice dell'amministrazione digitale) art. 49 · D.Lgs. 150/2011 art. 10

Note

Il provvedimento cita come attenuante la natura colposa della condotta del CNPI, dovuta a un'erronea interpretazione del quadro giuridico, agendo nella convinzione di servire l'interesse pubblico. Nonostante la natura pubblica dell'ente e la continuità istituzionale invocata, il Garante ha riaffermato l'inviolabilità dell'aspettativa di riservatezza sulla corrispondenza.

Il Garante della Privacy ha multato di 3.000 euro un ente pubblico (CNPI) perché, alla fine del…