Molte imprese ritengono che, una volta cessato il rapporto di lavoro, la posta elettronica aziendale e i documenti presenti sui dispositivi assegnati all’ex dipendente rientrino nella piena disponibilità dell’organizzazione. Il provvedimento del Garante Privacy del 12 marzo 2026 (Provv. 165 del 12 marzo 2026 – doc. web. 1023328) mostra come questa convinzione possa essere fuorviante e, in alcuni casi, esporre l’azienda a rilevanti rischi sanzionatori. Il caso trae origine dalla richiesta di un ex dipendente di accedere ai contenuti della propria casella di posta elettronica aziendale e ai file presenti sul computer assegnatogli durante il rapporto di lavoro. La società aveva invece selezionato e limitato i contenuti da fornire, distinguendo tra comunicazioni ritenute “personali” e comunicazioni “di lavoro”, oltre ad aver effettuato operazioni di anonimizzazione per tutelare informazioni considerate riservate. Il Garante ha ritenuto tale approccio non conforme alla normativa, irrogando una sanzione amministrativa di 50.000 euro nei confronti della società coinvolta. La vicenda offre però spunti che vanno ben oltre il singolo caso. La decisione affronta infatti una questione destinata a interessare trasversalmente imprese di ogni settore: fino a che punto un ex dipendente può accedere ai dati contenuti negli strumenti di lavoro utilizzati durante il rapporto? E quali limiti può legittimamente opporre il datore di lavoro? Il punto di partenza: i dati non “appartengono” all’organizzazione Uno degli aspetti più rilevanti del provvedimento è il superamento di una visione ancora diffusa nella pratica aziendale, secondo cui i contenuti delle e-mail aziendali sarebbero nella disponibilità esclusiva del datore di lavoro. Il Garante ribadisce invece che ciò che conta non è il “contesto” lavorativo in cui il dato è generato, ma la sua riconducibilità a una persona fisica identificata o identificabile. In altri termini, anche le comunicazioni avvenute su strumenti aziendali possono costituire dati personali del lavoratore e rientrare pienamente nel perimetro del diritto di accesso. Questa impostazione si collega a una visione più ampia della protezione dei dati personali, in cui la linea tra dimensione professionale e dimensione privata non è rigida. Anche nel contesto lavorativo, infatti, possono svilupparsi relazioni e contenuti che rientrano nella nozione di “vita privata” e “corrispondenza”, tutelati anche a livello europeo (art. 8 della CEDU)[1]. Il diritto di accesso non può essere “filtrato” dall’impresa Il secondo messaggio chiave del provvedimento riguarda i limiti all’intervento del datore di lavoro sui contenuti richiesti dall’interessato. Nel caso esaminato, la società aveva proceduto a una selezione preventiva delle e-mail, fornendo solo quelle ritenute “personali” e omettendo quelle di natura lavorativa. Inoltre, aveva anonimizzato i contenuti per proteggere informazioni riservate. Il Garante considera entrambe le attività non conformi. Il diritto di accesso, infatti, comprende l’insieme dei dati personali riferibili all’interessato e non può essere ridotto attraverso una valutazione unilaterale del titolare del trattamento su ciò che è rilevante o meno per il lavoratore. Le eventuali limitazioni sono possibili solo in presenza di condizioni rigorose, come richieste manifestamente infondate o eccessive, oppure quando sia dimostrato un concreto e attuale pregiudizio ai diritti di terzi, inclusi segreti industriali o diritti di proprietà intellettuale. In questo punto il provvedimento si allinea alle Linee guida dell’EDPB sul diritto di accesso, che chiariscono come non sia sufficiente un rischio generico o ipotetico di lesione di diritti altrui. È necessario, al contrario, un rischio effettivo e dimostrabile. Nel caso concreto, il Garante ha rilevato inoltre che i dati di terzi erano già conosciuti dal lavoratore e che la società non aveva dimostrato in modo adeguato l’esistenza di segreti aziendali che potessero essere compromessi dall’accesso. Correttezza e trasparenza: informative carenti e periodi di conservazione sproporzionati Accanto al tema del diritto di accesso, il provvedimento affronta un aspetto altrettanto rilevante per le imprese: la gestione della conservazione delle e-mail e dei log. Il Garante ha ritenuto non proporzionati i tempi di conservazione stabiliti dalla società, evidenziando criticità sia sul piano dei backup delle e-mail (cinque anni) sia su quello dei log di navigazione (dodici mesi). Il punto centrale non è solo la durata, ma il modello organizzativo sottostante. L’Autorità chiarisce innanzitutto che l’attività di conservazione della posta elettronica aziendale mediante backup costituisce un’operazione di trattamento dei dati personali. Dunque, ritenere che la conservazione delle e-mail offline non sia un trattamento, è un’interpretazione errata che non tiene conto della più ampia definizione di trattamento prevista dal GDPR. In secondo luogo, il Garante ribadisce[2] che la posta elettronica aziendale non è uno strumento idoneo a fungere da sistema di archiviazione documentale: affidare ai sistemi di e-mail la conservazione sistematica delle informazioni aziendali comporta inevitabilmente un trattamento esteso e potenzialmente invasivo dei dati personali dei lavoratori. Ne deriva un’indicazione chiara: le imprese devono dotarsi di sistemi di gestione documentale progettati per finalità di archiviazione, evitando di utilizzare la posta elettronica come archivio. Quanto ai log, il principio è analogo. La loro conservazione è legittima solo se proporzionata alle finalità dichiarate, come la sicurezza informatica o la gestione degli incidenti. Periodi eccessivamente lunghi devono essere giustificati da esigenze concrete e non generiche (cfr. Documento di indirizzo sul trattamento dei metadati – per maggiori approfondimenti rinviamo al nostro contributo “Posta elettronica e metadati: il nuovo documento di indirizzo del Garante Privacy“). Profili giuslavoristici Il provvedimento si inserisce anche nel perimetro della disciplina dei controlli a distanza del lavoratore (art. 4 dello Statuto dei lavoratori). Sistemi come backup massivi delle e-mail o conservazione estesa dei log possono infatti, anche indirettamente, consentire un controllo sull’attività lavorativa. Questo implica che non basta una valutazione in chiave “privacy”: è necessario considerare anche le garanzie giuslavoristiche, come la sussistenza di esigenze tassative[3], la necessità di stipulare accordi sindacali o ottenere autorizzazioni amministrative, quando le modalità di trattamento lo richiedano. Conclusioni: implicazioni per le imprese Il recente provvedimento del Garante consente di svolgere alcune importanti riflessioni, soprattutto a livello organizzativo. Le imprese devono, infatti, strutturare correttamente i propri processi di gestione dei dati. In concreto, questo significa ripensare tre aspetti spesso dati per scontati: In tale ottica e al fine di evitare spiacevoli conseguenze sanzionatorie, sarà necessario rivedere (o definire) policy chiare sull’uso degli strumenti aziendali e sull’esercizio dei diritti degli interessati, evitando di prevedere filtri/dinieghi arbitrari, mantenere aggiornate le informative e riesaminare i periodi di conservazione. Ogni scelta organizzativa – dalla configurazione delle caselle e-mail ai tempi di conservazione – deve essere, infatti, valutata alla luce dei principi del GDPR e progettata ex ante. [1] Corte EDU pronunce Niemietz c. Allemagne, 16/12/1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03/04/2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 05/09/2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28/11/2017 (ric. n. 70838/13), spec. par. 41-42; Garante Privacy, Linee guida per la posta elettronica e Internet, dove si legge che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente […]”; Garante Privacy, provv.ti: n. 8 del 16/01/2025, doc web n. 10110927; n. 732 del 27/11/2024, doc web n. 10101221; n. 353 del 29/09/2021, doc web n. 9719914. [2] Sul punto si vedano anche v. provv. n. 732 del 27 novembre 2024, doc web n. 10101221, n. 263 del 22/06/2023, doc. web n. 9920814, provv. n. 53 del 01/02/2018, doc. web n. 8159221 e provv. n. 214 del 29/10/2020 doc. web 9518890. [3] L’art. 4 dello Statuto dei Lavoratori prevede infatti che gli strumenti dai quali possa derivare la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
