Con il provvedimento del 12 febbraio 2026, l’Autorità Garante per la protezione dei dati personali ribadisce un principio particolarmente rilevante nella gestione dei rapporti di collaborazione. L’ account aziendale deve essere gestito, al momento della cessazione del rapporto, nel pieno rispetto delle garanzie previste in materia di trattamento dei dati personali.
La condotta della Società in questione non è stata conforme a quanto prescritto dalle norme poste in materia di protezione dei dati personali, laddove prevedono che l’interessato ha il diritto “di ottenere l’accesso ai dati personali” che lo riguardano (art. 15, par. 1, del GDPR).
Il caso: mancata cancellazione dell’account aziendale
La vicenda prende avvio quando la Società non ha fornito idoneo riscontro alla richiesta di cancellazione dei dati dell’interessato relativi all’account assegnatogli, effettuata conformemente a quanto disposto dall’art. 17 del GDPR.
La Società, pur nell’ambito di un più ampio contenzioso tra le parti relativo alle modalità e agli effetti della cessazione del rapporto di collaborazione, non ha dato seguito alla richiesta di esercizio del diritto di cancellazione, ritenendo che nell’account non fossero presenti dati personali riferibili all’interessato, qualificati come “presunti dati personali”.
Tale posizione si fondava sulla previsione contrattuale secondo cui l’indirizzo di posta elettronica era assegnato “esclusivamente per le comunicazioni con i propri clienti e collaboratori”.
Inoltre, l’account non è stato cancellato a seguito della richiesta dell’interessato, ma è rimasto conservato per oltre un anno dalla richiesta, senza che tale circostanza fosse adeguatamente comunicata.
Infine, è emerso che la Società non ha fornito alcuna informativa al reclamante, relativamente ai trattamenti di dati personali effettuati nel corso del rapporto di collaborazione, inclusi quelli relativi all’utilizzo dell’account di posta elettronica aziendale.
Le violazioni del GDPR riscontrate
- Violazione degli artt. 12 e 17 del GDPR. Diritto di cancellazione.
- Mancata informativa sul trattamento dei dati all’interessato di cui agli artt. 13 e 14 del GDPR”: art. 12, par. 1, del GDPR
La sanzione del Garante Privacy
L’Autorità ha deciso di sanzionare la società, tenuto conto anche del fatturato, con una sanzione amministrativa pari a 12.000 euro, per violazione degli articoli 5, 12, 13, 15 e 17 del Regolamento (UE) 2016/679 (GDPR).
Anche per gli account aziendali, la cessazione del rapporto richiede regole chiare, tempi di conservazione definiti e un corretto riscontro alle richieste dell’interessato.
(Fonte Garante Privacy)