Quando un rapporto di lavoro si chiude, spesso resta una questione aperta che genera conflitti silenziosi ma rilevanti: l’accesso alla posta elettronica aziendale. Molti datori di lavoro sono convinti che l’e mail aziendale sia “cosa propria”. Molti lavoratori pensano, al contrario, di aver diritto a riavere tutto.
Una recente decisione dell’Autorità garante interviene su questo punto con un messaggio netto: i contenuti della casella e mail aziendale sono dati personali del lavoratore, anche quando riguardano l’attività lavorativa. E il diritto di accesso non può essere filtrato in modo arbitrario. – Provvedimento 165/2026 –
Il caso concreto
Un ex dipendente, dopo la cessazione del rapporto di lavoro, chiede all’azienda di poter recuperare i documenti e i contenuti presenti sul computer aziendale e nella propria casella di posta elettronica.
La società risponde solo in parte. Consente l’accesso ai documenti salvati in locale e a quelli classificati come “personali”, ma esclude le e mail legate all’attività lavorativa, considerate patrimonio aziendale.
Il lavoratore allora formalizza la richiesta utilizzando lo strumento previsto dalla normativa privacy: il diritto di accesso ai dati personali, cioè il diritto di conoscere e ottenere copia di tutti i dati che lo riguardano.
L’azienda, pur collaborando, impone modalità molto rigide: accesso solo in presenza di personale aziendale, controllo preventivo dei contenuti, rinvio nella consegna delle e mail in attesa di selezione e “pulizia” dei messaggi. Nel frattempo, la casella e mail viene disattivata pochi giorni dopo la cessazione e cancellata dai sistemi operativi, mentre i dati restano conservati nei backup aziendali per cinque anni.
È su questo insieme di comportamenti che si concentra la valutazione oggetto del Provvedimento 165/2026 del Garante per la protezione dei dati personali.
La posta elettronica non è un archivio neutro dell’impresa
Il punto centrale chiarito dal provvedimento è questo: la posta elettronica aziendale non è un contenitore impersonale riconducibile solo all’organizzazione. Le e mail contengono dati che descrivono la persona: relazioni, scambi, ruoli svolti, decisioni prese. Anche quando il messaggio riguarda esclusivamente il lavoro, resta comunque un dato personale del lavoratore. Di conseguenza, il diritto di accesso non può essere limitato solo alle comunicazioni “private” o etichettate come tali dal datore di lavoro. Spetta all’interessato conoscere tutti i dati personali che lo riguardano, non una selezione decisa unilateralmente dall’azienda.
Segreti aziendali e diritti di terzi: no ai divieti automatici
Un argomento spesso utilizzato dai datori di lavoro è la tutela delle informazioni riservate o dei diritti di terzi. Il provvedimento chiarisce però che queste esigenze non interrompono automaticamente il diritto di accesso. Per comprimere tale diritto serve dimostrare un pregiudizio concreto ed effettivo. In mancanza, non è legittimo oscurare o negare l’accesso a comunicazioni che il lavoratore già conosce perché ne è parte.
Il controllo preventivo delle e mail e la consegna parziale, se non adeguatamente giustificati, diventano quindi una violazione.
Conservazione delle e mail e rischio controllo a distanza
Altro profilo critico riguarda la conservazione dei dati. Mantenere per anni i backup delle caselle di posta solo per “tutelare il patrimonio informativo” è stato ritenuto sproporzionato. La conservazione deve essere limitata nel tempo e coerente con finalità precise. Usare l’e mail come archivio generalizzato espone l’azienda a un ulteriore rischio: trasformare strumenti tecnici in mezzi di controllo potenziale dell’attività lavorativa.
Backup e log consentono di ricostruire comportamenti, abitudini, relazioni. Per questo, se usati anche indirettamente a fini di controllo, richiedono garanzie specifiche.
L’esito
L’Autorità ha ordinato l’accesso integrale alla casella e mail e ha applicato una sanzione economica significativa. Il messaggio è chiaro: gestire male la posta elettronica aziendale costa, soprattutto quando la policy interna è ambigua o incoerente.
PS: A seguito delle violazioni riscontrate nella gestione della posta elettronica aziendale, l’Autorità ha preso una posizione netta e inequivocabile. Applicando una sanzione pecuniaria pari a 50.000 euro all’azienda!!
Cosa portare a casa
E mail aziendale e privacy non sono temi “da tecnici”. Coinvolgono direttamente il modo in cui si chiudono i rapporti di lavoro. Regole chiare, strumenti documentali adeguati e gestione proporzionata dei dati evitano conflitti e sanzioni. Ignorarli, invece, espone a contenziosi che nascono dopo la cessazione, ma si pagano molto dopo.
