Siamo alle solite, ma questa volta dall’analisi del provvedimento sanzionatorio contro la nota compagnia aerea Italia Trasporto Aereo S.p.A. emerge un elemento in più: un ruolo apicale non può vedersi ridotti i propri principi, anche quelli più basici del GDPR come ricevere un’adeguata informativa sul trattamento dei propri dati personali.
Non solo, quando poi si tratta, come nella vicenda in questione, di andare a investigare nel computer dell’apicale ingaggiando un soggetto terzo per lo svolgimento di un’indagine di forensics, non può non essere formalizzato e sottoscritto un contratto da responsabile del trattamento.
Di qui, i 190mila euro di sanzione amministrativa che il Garante privacy ha irrogato con il provvedimento n. 151 del 4 marzo 2026. Facciamo il punto.
Indice degli argomenti
Sanzione privacy a ITA: i punti centrali tra fatti e diritto
Il provvedimento in parola spicca non solo per il considerevole importo inflitto, ma anche per le circostanze di fatto e il tenore delle argomentazioni assunte dall’Autorità, la quale ancora una volta ribadisce, e ben lo si comprende dal tenore del provvedimento, che l’abc del GDPR non può essere mai trascurato.
Non è tollerabile, infatti, una carenza dell’informativa ex art. 13 anche se l’interessato è il Presidente della Società.
Del pari, la stipula del contratto da responsabile del trattamento non rappresenta una mera formalità. Né i principi fondamentali di minimizzazione e proporzionalità possono essere agilmente aggirati per il solo fatto che c’è un’attività di digital forensics, eccedendo le finalità di controllo lecito come nel caso di specie con l’avvenuta estrazione massiva dei dati personali.
I fatti
Anzitutto le circostanze di fatto che hanno portato alla sanzione privacy a ITA. Leggiamo nel provvedimento che la vicenda trae origine da una litispendenza – tuttora in corso – tra il Presidente (nella veste di interessato e reclamante) e ITA relativamente alla revoca delle deleghe operative e quindi delle rispettive cariche di quest’ultimo tramite una delibera assembleare del 16 novembre 2022, con messaggio “disable” che partiva dal suo account di posta elettronica alla ricezione di una email.
Tale account è stato disattivato definitivamente soltanto in data 08 marzo 2023 con cancellazione definitiva nel novembre 2023. Tuttavia, il contenuto dell’archivio di posta non è mai stato cancellato a causa dello status di “litigation hold”.
Nel tempo intercorso tra novembre 2022 e novembre 2023 “ITA affidava a una primaria società di consulenza il mandato ad effettuare un’analisi dei dati informatici relativi alla casella di posta, allo SharePoint e al OneDrive afferenti all’odierno Reclamante, volta ad acquisire ulteriori elementi di prova al fine di valutare ogni più opportuna azione a tutela della Società e del suo Socio unico, il Ministero dell’Economia e delle Finanze”, come si legge testualmente nel provvedimento.
Il contratto da responsabile del trattamento 28 non è una mera formalità
Gravi ancorché basiche, sono le violazioni emerse nel corso dell’istruttoria del Garante.
Tra queste spicca la carenza del contratto ex art. 28 GDPR formalizzato e sottoscritto. Al riguardo come arcinoto, non si tratta di una mera formalità, anzi il citato articolo rende necessario che “i trattamenti da parte di un responsabile del trattamento siano disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
In difetto, scatta la sanzione. Né vale il cd facta concludentia cioè i comportamenti di fatto.
Sanzione privacy a ITA: gli ulteriori elementi
Non meno importanti, anche ai fini del provvedimento in questione, sono gli ulteriori elementi che emergono da una sua attenta lettura.
Le policy non sono “pezzi di carta”
Le policy che spesso abbondano nei sistemi di gestione privacy dei contesti organizzativi non sono “pezzi di carta” né debbono restare tali e cioè documenti, finemente confezionati, ma nella prassi inapplicati.
Nella vicenda che ci occupa, dal provvedimento in parola leggiamo come, pur presenti, le “Policy sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ICT” erano descrittive di alcune attività di trattamento non conformi alla disciplina di protezione dei dati personali.
In particolare, “con riferimento allo specifico oggetto del presente provvedimento, non si ritiene conforme ai principi generali in materia di protezione dei dati personali quanto descritto nel punto D interesse legittimo del Titolare della predetta informativa […] laddove viene precisato testualmente che “i suoi dati personali potranno altresì essere trattati, senza la necessità del Suo consenso, nelle seguenti ipotesi: – ai fini dello svolgimento di verifiche interne/audit volte all’accertamento della possibile commissione di atti illeciti/frodi e/o di presunte violazioni di obblighi connessi al rapporto di lavoro di cui l’azienda sia venuta a conoscenza, anche tramite segnalazioni, in conformità alla normativa aziendale e nel rispetto dei principi stabiliti dalla normativa a protezione dei dati personali; – nel rispetto della normativa applicabile, i Suoi dati personali eventualmente presenti in messaggi di posta elettronica contenuti nella casella/e aziendale/i a Lei assegnate in uso, nonché sulle dotazioni tecnologiche che la società metterà a Sua disposizione potranno essere trattati ai fini dello svolgimento di verifiche interne/audit volte all’accertamento della possibile commissione o meno di atti illeciti/frodi di cui l’azienda sia venuta a conoscenza, anche tramite segnalazioni e/o di presunte violazioni di obblighi connessi al rapporto di lavoro”.
In altri termini, è interesse (legittimo) della società accedere a gamba tesa nei sistemi aziendali, in spregio totale della privacy in accezione attuale ed evoluta.
L’attività di digital forensics non è prevalente rispetto alla privacy
Ancora, altro aspetto su cui porre la nostra attenzione risiede nella cd “attività di digital forensics” che viene attività ogniqualvolta un’organizzazione ravvisi l’esigenza di dover esaminare i dati personali a fronte dell’insorgenza di un sospetto di illecito.
Nel caso di specie, “la conservazione del contenuto dell’account di posta elettronica dell’allora Presidente non può seguire le regole ordinarie di conservazione che devono valere per tutti i dipendenti. Il fatto di rivestire cariche sociali, infatti, non comporta un azzeramento del diritto alla protezione dei dati personali”; e tanto basta.
Senza contare che in ogni caso, il contenuto dei messaggi di posta elettronica sebbene aziendale rappresentano pur sempre “forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali”.
Sanzione privacy a ITA: una lezione per tutti
Da questo provvedimento, possiamo imparare che il ruolo apicale di un soggetto non giustifica mai la compressione dei suoi diritti fondamentali alla riservatezza, né giustifica la società a comportamenti altri per il solo fatto che l’interessato è al vertice.
Ciò non toglie né esime la società dall’adottare misure di sicurezza adeguate a tutti ma proprio tutti.
Di qui, l’importanza di avere misure di sicurezza adeguate come ad esempio, i backup sugli archivi di posta, anziché la semplice misura alternativa della ridondanza, con conseguente replica del dato su più sistemi.
Non solo, dare un’informativa adeguata e rispondente ai noti principi di correttezza, liceità e trasparenza non è aleatorio né una formalità, men che meno un elemento accessorio quando l’interessato è il Presidente della Società. Costui ha pari diritti, come gli altri, specie quelli in materia di protezione dati personali.
