Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola
Il Garante per la protezione dei dati personali, con il provvedimento n. 6 del 2026, ha ammonito una società per aver inviato un messaggio di posta elettronica a 37 destinatari utilizzando gli indirizzi in chiaro, rendendoli così visibili a tutti i soggetti coinvolti nella comunicazione.
Nel provvedimento in questione, il Garante è tornato a precisare che l’indirizzo di posta elettronica rientra a pieno titolo tra i dati personali e che la sua diffusione a soggetti terzi, anche se frutto di disattenzione o di un episodio isolato, costituisce comunque un trattamento rilevante ai sensi della disciplina europea in materia di protezione dei dati.
La messa a disposizione indiscriminata degli indirizzi e-mail ai vari destinatari integra, pertanto, una comunicazione di dati personali sprovvista di adeguato presupposto giuridico, in contrasto con i principi di liceità, correttezza e tutela della riservatezza previsti dall’art. 5 del Regolamento.
L’istruttoria e la decisione del Garante
Nel corso dell’istruttoria, la società ha mantenuto un comportamento improntato alla piena cooperazione con l’Autorità, riscontrando tempestivamente le richieste istruttorie e fornendo informazioni dettagliate e trasparenti.
L’azienda ha inoltre ammesso l’accaduto con atteggiamento responsabile, senza ridimensionare i fatti né sottrarsi alle proprie responsabilità.
L’Autorità ha quindi ritenuto che, pur in presenza di una violazione, la stessa potesse essere qualificata come di lieve entità. È stata infatti esclusa la sussistenza di un impatto rilevante sui diritti e sulle libertà fondamentali degli interessati, anche alla luce della tipologia dei dati oggetto di comunicazione e della mancata emersione di utilizzi ulteriori o indebiti degli indirizzi e-mail divulgati.
In tale valutazione ha assunto un rilievo determinante anche la condotta collaborativa tenuta dalla società nel corso del procedimento, caratterizzata da trasparenza, tempestività nei riscontri e piena assunzione di responsabilità. Per queste ragioni, il Garante ha ritenuto di non applicare una sanzione amministrativa pecuniaria, optando invece per l’adozione di un formale ammonimento.
Richiamo per le aziende sull’utilizzo dei dati personali
Il provvedimento in esame costituisce un importante richiamo per tutte le aziende sulla necessità di gestire correttamente i dati personali, anche quelli apparentemente “banali” come gli indirizzi e-mail. Le imprese devono, dunque, assicurarsi che qualsiasi comunicazione a più destinatari avvenga nel rispetto del Regolamento in esame, evitando la visibilità indiscriminata dei dati personali e adottando soluzioni tecniche appropriate.
In questo contesto assume un ruolo centrale il principio di accountability, cardine del Regolamento generale sulla protezione dei dati (GDPR). Essere “accountable” significa non solo essere responsabili del trattamento dei dati personali all’interno della propria organizzazione, ma anche poter dimostrare concretamente di aver adottato tutte le misure necessarie per garantire il rispetto dei principi di liceità, correttezza e trasparenza.
Il titolare del trattamento deve quindi agire in modo attivo e proattivo, predisponendo adeguate misure tecniche e organizzative, procedure interne improntate alla privacy by design e solidi sistemi di sicurezza informatica.
L’accountability implica controllo, consapevolezza e capacità di prevenzione: non basta aver fatto il possibile per evitare un danno, occorre essere in grado di provarlo, mostrando di aver governato correttamente i flussi e la gestione dei dati, anticipando i rischi e intervenendo prima che si verifichino criticità (per maggiori informazioni clicca qui).
Tra obblighi formali e cultura della protezione dei dati
Il provvedimento n. 6 del 2026 del Garante per la protezione dei dati personali dimostra come anche una disattenzione apparentemente minima, quale l’invio di un’e-mail con destinatari in chiaro, possa integrare una violazione della disciplina in materia di protezione dei dati personali.
Al tempo stesso, la decisione conferma che l’atteggiamento collaborativo e responsabile dell’azienda può incidere in modo significativo sulla valutazione dell’Autorità e sulla scelta della misura applicabile.
Ne emerge un messaggio chiaro per le imprese: investire in procedure interne, formazione del personale e adeguate soluzioni tecniche non rappresenta solo un adempimento formale, ma uno strumento essenziale di prevenzione del rischio e di dimostrazione concreta della propria accountability.
Se sei un’azienda e necessiti di supporto in tema di privacy, rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.
