E-mail aziendale e diritto alla segretezza dopo l’interruzione del rapporto di lavoro

Data protection

La recente attività del Garante per la protezione dei dati personali conferma con particolare nettezza la centralità del diritto alla riservatezza delle comunicazioni e, più in generale, del corretto esercizio dei diritti degli interessati quale presidio essenziale di tutela della persona.

L’Autorità ha ribadito – con il provvedimento n. 754 del 18 dicembre 2025 (il “Provvedimento”) – che il contenuto delle email aziendali, i dati di contatto delle comunicazioni e gli eventuali allegati rientrano nella nozione di corrispondenza e, come tali, sono protetti dal diritto alla segretezza, costituzionalmente garantito a tutela della dignità e del pieno sviluppo della persona nelle relazioni sociali. In tale contesto, il Garante ha sanzionato una società per aver continuato, dopo la cessazione del rapporto di lavoro, ad accedere e inoltrare a terzi le email indirizzate all’ex amministratore delegato, nonostante una specifica e corretta richiesta di esercizio dei diritti ai sensi del GDPR. La protrazione nel tempo di tale condotta e il mancato riscontro all’istanza dell’interessato hanno determinato una violazione della normativa privacy, sfociata non solo nella sanzione, ma anche nell’ordine di procedere alla cancellazione dell’account.

Il Provvedimento offre altresì una chiave di lettura complementare e altrettanto rilevante, spostando l’attenzione sull’obbligo del titolare del trattamento di riscontrare tempestivamente, in modo completo e comprensibile, le richieste di esercizio dei diritti degli interessati. Nel caso esaminato, il Garante ha accertato la responsabilità del titolare del trattamento per la violazione degli artt. 12 e da 15 a 22 del GDPR, a fronte del mancato riscontro a un’istanza di accesso ai dati personali presentata dall’interessato mediante PEC, secondo le modalità e con la documentazione indicate dal modello ufficiale dell’Autorità.

Particolarmente significativa è l’impostazione seguita dal Garante nel rigettare in modo netto le giustificazioni organizzative addotte dal titolare. L’Autorità nel Provvedimento ha chiarito come meri disguidi interni, errori di instradamento o sovrapposizioni con precedenti interlocuzioni non possono mai assumere valore esimente rispetto a uno degli obblighi cardine del GDPR (i.e. il diritto di accesso).

Il diritto di accesso (e, più in generale, l’esercizio dei diritti degli interessati) è qualificato come strumento prodromico e imprescindibile per consentire all’individuo di mantenere il controllo sui propri dati personali e di verificarne la liceità del trattamento. Proprio per questo, il titolare è tenuto non solo a rispondere nei termini di legge, ma anche a fornire riscontri effettivamente utili, evitando linguaggi eccessivamente tecnici o formulazioni generiche che impediscano all’interessato di comprendere chi tratta i suoi dati, come e per quali finalità. Gli interventi dell’Autorità delineano un messaggio chiaro per imprese e datori di lavoro secondo cui il rispetto della privacy non si esaurisce nell’adozione di policy o strumenti tecnologici, ma passa attraverso processi organizzativi efficaci, risposte tempestive e una comunicazione realmente trasparente verso gli interessati.

Il nuovo registro AGICOM per gli influencer rilevanti

Media & Comunicazione

Il 23 luglio 2025, l’AGCOM ha introdotto l’elenco degli influencer rilevanti con la delibera n. 197/25/CONS. Il provvedimento mira a regolamentare la figura degli influencer online, stabilendo regole rigorose per garantire trasparenza e correttezza nel marketing digitale.

Con il termine influencer, si intendono le persone fisiche o giuridiche, che anche tramite personaggi virtuali, diffondono contenuti al pubblico attraverso piattaforme digitali, in particolare i social media, e che possono avere un impatto significativo sul comportamento e sulle scelte di tale pubblico, in modalità analoga o comunque assimilabile a quella dei fornitori di servizi di media audiovisivi sotto la giurisdizione nazionale.

Sono considerati influencer rilevanti, e dunque tenuti all’iscrizione nel registro AGCOM, coloro che raggiungono, alternativamente, uno dei seguenti requisiti:

• un numero di iscritti (i cosiddetti follower) pari ad almeno 500.000 su almeno una delle piattaforme di social media o condivisione di video utilizzate;
• un numero di visualizzazioni medie mensili pari a 1.000.000 su almeno una delle piattaforme di social media o di condivisione video utilizzate (si intende il numero di volte in cui un contenuto viene visualizzato, incluse anche eventuali visualizzazioni multiple da parte dello stesso utente);

L’iscrizione si effettua online, inviando all’Autorità un modulo, disponibile sul sito web istituzionale, dove saranno fornite le proprie informazioni personali.

Una volta iscritti, gli influencer dovranno rispettare obblighi specifici:

• etichettare chiaramente sponsorizzazioni, product placement e televendite con tag evidenti (#sponsorizzato, #adv, #inserzionepubblicitaria);
• evitare contenuti dannosi per i minori e segnalare l’uso di filtri che promuovono modelli irrealistici;
• tutelare la proprietà intellettuale, contrastare materiali contraffatti e garantire il rispetto della dignità umana, evitando contenuti violenti, discriminatori o che giustifichino l’odio;
• indicare “in elenco AGCOM” nelle bio per garantire trasparenza;
• rispettare le normative su pubblicità, sponsorizzazioni e divieti (tabacco, gioco d’azzardo, alcol, medicinali, pubblicità occulta).

Le piattaforme social e le aziende che collaborano con gli influencer, le cosiddette Talent Agency, sono tenute a collaborare con AGCOM, controllando e garantendo che gli influencer aderiscano alle linee guida e alle modalità di segnalazione imposte dalla delibera, assicurando la conformità alla normativa applicabile e alle linee guida.

Inoltre, AGCOM prevede un sistema di monitoraggio e sanzioni per gli influencer che non rispettano le regole stabilite. Le violazioni possono comportare multe fino a 600.000 e altre misure correttive.

Cybersicurezza: l’UE rilancia con la revisione di NIS2 e Cybersecurity Act

Cybersecurity

Il 20 gennaio 2026 la Commissione europea ha presentato un nuovo pacchetto legislativo per rafforzare la resilienza digitale dell’Unione. La proposta interviene su due capisaldi della regolazione europea – il Cybersecurity Act e la direttiva NIS2 – con l’obiettivo di aggiornarli in modo coerente al nuovo contesto: più minacce ibride, più attacchi alla supply chain e una geopolitica digitale sempre più fragile.

Sul fronte del Cybersecurity Act, la revisione introduce un nuovo approccio alla sicurezza delle catene di fornitura TIC, in particolare per reti critiche come le telecomunicazioni, promuovendo una gestione congiunta dei rischi tra Stati membri. Viene anche rafforzato il quadro europeo di certificazione (ECCF), che includerà non solo prodotti, ma anche servizi, processi e posture di sicurezza, con effetti positivi sulla compliance a NIS2.

Quanto alla direttiva NIS2, le modifiche mirano a semplificare gli adempimenti, aumentare la proporzionalità degli obblighi, alleggerire l’onere per PMI e microimprese e migliorare il coordinamento tra Stati. Il ruolo dell’ENISA viene rafforzato: non solo agenzia tecnica, ma attore operativo nella risposta agli incidenti e nella gestione del punto unico di notifica.

La traiettoria è chiara: rendere il quadro europeo più snello, concreto e sostenibile. Ma la sfida, per imprese e pubbliche amministrazioni, sarà tradurre queste riforme in presìdi organizzativi solidi, evitando approcci meramente formali.

Nel frattempo, alcuni consigli pratici su come prepararsi al nuovo pacchetto UE sulla cybersicurezza:

• Verifica delle catene di fornitura TIC: mappare i fornitori critici e analizzare i rischi di dipendenza da soggetti extra-UE.
• Certificazioni in vista: monitorare i nuovi regimi europei di certificazione (ECCF) per prodotti, servizi e processi.
• Rivalutazione del rischio NIS2: aggiornare la tua analisi d’impatto alla luce delle modifiche in arrivo.
• Assetti di governance: coinvolgere IT, legal e compliance per costruire un presidio integrato e scalabile.
• Ruolo dell’ENISA: seguire le nuove indicazioni operative e preparare i flussi per il punto unico di notifica degli incidenti.

Le nuove Raccomandazioni EDPB 1/2026 sulle Binding Corporate Rules per Responsabili del trattamento

Data protection

Il 15 gennaio 2026, l’European Data Protection Board (EDPB) ha adottato, per la consueta consultazione pubblica, le Raccomandazioni 1/2026 relative alla domanda di approvazione e ai principi da includere nelle Binding Corporate Rules per Responsabili del trattamento (“BCR-P”). Il documento abroga e sostituisce i precedenti documenti dell’Article 29 Working Party risalenti al 2018, pur mantenendone l’impianto sostanziale.

Le Raccomandazioni perseguono quattro obiettivi dichiarati: (a) fornire un modulo standard di domanda di approvazione delle BCR ai sensi dell’Articolo 47 del GDPR; (b) chiarire il contenuto necessario delle BCR‑P; (c) distinguere ciò che deve essere incluso nelle BCR‑P rispetto a quanto deve essere presentato all’Autorità capofila (BCR Lead) in sede di application e (d) spiegarne e approfondirne i requisiti.

Le BCR sono indicate dall’Articolo 46, paragrafo, 2, lettera b) del GDPR quale misura di garanzia per i trasferimenti di dati personali verso Paesi terzi (al di fuori dallo Spazio Economico Europeo) non considerati in grado di assicurare un livello di protezione essenzialmente equivalente a quello garantito dal GDPR tramite una decisione di adeguatezza della Commissione Europea.

Come sottolineato dall’EDPB, le BCR-P non sono idonee a coprire trasferimenti di dati personali diretti da un Titolare del trattamento non membro del Gruppo, rientrante nell’ambito di applicazione territoriale del GDPR, verso un Responsabile del trattamento appartenente al Gruppo in un paese fuori dallo Spazio Economico Europeo; in tali casi è necessario uno strumento di trasferimento differente ai sensi dell’Articolo 46 del GDPR. Parimenti, non si applicheranno le BCR-P, bensì le BCR per Titolari del trattamento (BCR-C) per i trasferimenti di dati personali da Titolari del trattamento oggetto dell’ambito di applicazione territoriale del GDPR a Titolari o Responsabili del trattamento all’interno dello stesso Gruppo di imprese e stabiliti in paesi terzi. 

Le BCR‑P trovano, invece, il loro campo di applicazione ai dati personali trattati da membri del Gruppo soggetti all’Articolo 3 GDPR che agiscono come Responsabili per conto di Titolari del trattamento esterni al Gruppo, quando tali Responsabili trasferiscono i dati a Sub‑responsabili “interni” (cioè ad altri membri del Gruppo) stabiliti in Paesi situati fuori dallo Spazio Economico Europeo, inclusi eventuali ulteriori trasferimenti verso altri membri delle BCR-P in Paesi terzi.

Le BCR-P non sono sufficienti da sole. Il Titolare del trattamento esterno dovrà anche nominare Responsabile del trattamento ai sensi dell’Articolo 28 del GDPR uno o più membri del gruppo aderenti alle BCR-P, includendo nella nomina il riferimento e l’applicabilità delle BCR-P nei confronti dei membri del gruppo imprenditoriale. Le raccomandazioni impongono, tra i diversi contenuti delle BCR-P, che almeno un membro del Gruppo stabilito nel territorio del SEE accetti la responsabilità e l’obbligo di risarcimento per eventuali violazioni commesse da membri extra-SEE. Tale entità deve dimostrare di disporre di asset sufficienti per coprire i danni derivanti dalle violazioni. Inoltre, i membri del Gruppo devono garantire la massima cooperazione con le Autorità di Controllo competenti e con i Titolari del trattamento, accettando attività di audit e ispezioni.

La Commissione presenta la proposta di regolamento per il Digital Networks Act (DNA)

Mercati digitali

Il 21 gennaio 2026 la Commissione europea ha presentato una proposta di regolamento per il Digital Networks Act (“DNA”), con l’obiettivo di costruire un mercato unico per le reti e i servizi di connettività nell’Unione europea, superando l’attuale frammentazione nazionale e favorendo investimenti, innovazione e crescita. In particolare, il DNA si pone l’obiettivo di stabilire una connettività robusta, veloce e sicura, necessaria per applicazioni strategiche, quali intelligenza artificiale, edge computing e servizi cloud.

Il DNA è volto a unificare e semplificare il quadro dell’Unione europea in materia di comunicazioni elettroniche e connettività, sostituendo e aggiornando gli atti vigenti e allineandosi al quadro normativo e alle iniziative in materia di servizi cloud, intelligenza artificiale e cybersicurezza.

Uno degli elementi di principale novità introdotti dal DNA è il “Single Passport”, il quale, con l’obiettivo di ridurre i costi, consentirà ai fornitori di reti e servizi di operare in tutta l’Unione europea sulla base di una singola notifica e a seguito di una conferma rilasciata da un’autorità nazionale. A tal fine, il DNA prevede condizioni autorizzative armonizzate, meccanismi di coordinamento e mutua assistenza tra autorità nazionali, nonché l’enforcement a livello nazionale, con il supporto del nuovo Office for Digital Networks (ODN).

Il DNA introduce una disciplina specifica per la dismissione (switch-off) delle reti in rame e il passaggio alla fibra (FTTH), tramite piani nazionali notificati alla Commissione. Fino al 31 dicembre 2035 lo switch-off è possibile solo se nell’area la copertura FTTH è almeno del 95% e i servizi di connettività sono disponibili a prezzi accessibili. Dopo tale data gli Stati membri dovranno completare la dismissione nelle aree residue (con alcune eccezioni).

Il DNA mira, inoltre, a completare le disposizioni di cui alla proposta di regolamento “EU Space Act”, promossa dalla Commissione europea il 25 giugno 2025. In particolare, riconoscendo il ruolo strategico delle comunicazioni satellitari, il DNA stabilisce un’autorizzazione centralizzata a livello UE per i servizi satellitari, garantendo un accesso equo allo spettro e migliorando la sicurezza.

Il team Data & Technology Innovation di LEXIA supporta imprese e organizzazioni nell’analisi delle implicazioni normative delle principali innovazioni digitali, offrendo assistenza personalizzata per affrontare in modo strategico e conforme i cambiamenti introdotti dai nuovi provvedimenti europei e nazionali.