Gestione della posta elettronica aziendale e diritto di accesso post-cessazione del rapporto
Inquadramento del caso e sintesi del provvedimento
Con il provvedimento n. 165 del 12 marzo 2026, il Garante per la protezione dei dati personali ha inflitto una sanzione di 50.000 euro a una compagnia assicurativa per violazione dell'articolo 15 del Regolamento (UE) 2016/679 (GDPR), relativo al diritto di accesso dell'interessato. Il procedimento ha preso avvio dal reclamo di un ex dipendente che, a seguito della cessazione del rapporto di lavoro, aveva richiesto all'ex datore di lavoro copia integrale di tutte le e-mail presenti nella propria casella di posta elettronica aziendale nominativa, nonché dei documenti salvati sul PC assegnatogli. La società aveva risposto in maniera parziale, consegnando unicamente le comunicazioni ritenute di natura «personale» e trattenendo o oscurando il resto della corrispondenza, adducendo la necessità di preservare i dati di terzi e i segreti commerciali dell'impresa. Il Garante ha ritenuto tale condotta illegittima, sancendo princìpi destinati a impattare in modo significativo sulle prassi aziendali in materia di gestione degli account di posta elettronica e di risposta alle richieste di accesso degli ex dipendenti.
Il diritto di accesso del lavoratore (Art. 15 GDPR)
L'articolo 15 del GDPR riconosce a qualsiasi interessato — e quindi anche al dipendente e all'ex dipendente — il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati personali che lo riguarda e, in caso affermativo, di riceverne copia. Tale diritto non si estingue con la fine del rapporto di lavoro: i dati personali contenuti nella casella di posta elettronica nominativa continuano ad appartenere alla sfera giuridica dell'interessato, indipendentemente dal fatto che siano transitati su un'infrastruttura aziendale. Il Garante ha chiarito con nettezza che il datore di lavoro non può operare un filtraggio preventivo e unilaterale dei contenuti della casella e-mail, selezionando autonomamente quali messaggi consegnare e quali trattenere in base a una propria distinzione tra corrispondenza «personale» e corrispondenza «professionale». Una simile attività di cernita arbitraria si pone in contrasto diretto con la portata piena e incondizionata del diritto di accesso garantito dall'art. 15 GDPR e pregiudica irrimediabilmente la completezza delle informazioni dovute all'interessato.
Obblighi operativi per l'azienda
Il provvedimento mette in luce una serie di obblighi che gravano sul datore di lavoro in quanto titolare del trattamento:
- Trasparenza e adeguatezza delle informative. L'Autorità ha rilevato carenze nelle informative rese ai dipendenti circa le modalità e le finalità del trattamento dei dati contenuti nella posta elettronica aziendale. Il titolare è tenuto a fornire informazioni chiare, complete e aggiornate ai sensi degli artt. 13 e 14 GDPR, anche con riferimento esplicito alle procedure applicabili al momento della cessazione del rapporto.
- Minimizzazione dei dati e limitazione della conservazione. La policy aziendale prevedeva la conservazione integrale delle e-mail per cinque anni e dei log di navigazione internet per dodici mesi. Il Garante ha giudicato entrambi i termini sproporzionati rispetto alle finalità dichiarate, in violazione dei princìpi di minimizzazione dei dati (art. 5, par. 1, lett. c, GDPR) e di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR). I tempi di retention devono essere proporzionati, documentati e periodicamente rivalutati.
- Risposta tempestiva ed esaustiva alle richieste di accesso. Il titolare è tenuto a riscontrare le richieste di accesso entro il termine di trenta giorni (prorogabile di ulteriori due mesi in casi complessi, previa comunicazione), fornendo le informazioni richieste in modo completo e senza operare esclusioni non supportate da motivazioni specifiche e documentate.
Cosa l'azienda deve concedere
In risposta a una richiesta di accesso formulata da un ex dipendente, l'azienda è tenuta a fornire copia integrale dei messaggi presenti nella casella di posta elettronica nominativa assegnata al lavoratore, senza distinzioni preventive basate sul presunto contenuto «personale» o «professionale» delle comunicazioni.
Il titolare deve inoltre consegnare copia dei documenti presenti nelle cartelle personali del PC aziendale assegnato, nella misura in cui contengano dati personali riferibili all'interessato abbandonando la distinzione unilaterale tra ambiti di utilizzo dello strumento aziendale. Tale distinzione, se operata esclusivamente dal datore di lavoro senza basi normative specifiche, non costituisce un presupposto legittimo per limitare il diritto di accesso.
Il dato fondamentale che emerge dalla pronuncia è che la titolarità dell'infrastruttura tecnologica non attribuisce all'azienda il potere di scegliere quali dati personali del dipendente siano «meritevoli» di tutela ai fini del GDPR.
Cosa l'azienda può (e deve) tutelare
Il diritto di accesso non è assoluto. Il GDPR e la giurisprudenza del Garante riconoscono al titolare la possibilità di opporre limitazioni, a condizione che queste siano specifiche, circostanziate e documentate. In concreto:
- Protezione dei dati di terzi: Laddove le e-mail contengano dati personali di altri soggetti (colleghi, clienti, fornitori), il titolare può procedere a oscuramenti mirati e puntuali per tutelare i diritti di tali terzi. Tuttavia, l'oscuramento deve essere circoscritto ai soli dati del terzo e non può estendersi all'intero messaggio o giustificare il diniego di accesso alla corrispondenza del richiedente.
- Segreto aziendale e riservatezza commerciale: La tutela del know-how e delle informazioni commerciali riservate può, in linea di principio, costituire un limite al diritto di accesso. Tuttavia — come sottolineato da autorevoli commentatori — l'azienda si trova di fronte a una sorta di probatio diabolica: deve dimostrare in modo concreto e specifico che la divulgazione di determinati messaggi all'ex dipendente (che spesso è già a conoscenza di quelle informazioni per averle generate o gestite) comporterebbe un pregiudizio reale e attuale per il patrimonio informativo dell'impresa. Affermazioni generiche o policy standardizzate non sono sufficienti.
In sintesi, l'azienda può e deve difendere i propri legittimi interessi, ma deve farlo con strumenti giuridici precisi, motivati caso per caso, e non attraverso un filtro generalizzato applicato a priori sull'intera casella di posta.
Implicazioni per la governance aziendale
Il provvedimento del Garante solleva una questione strutturale che va ben oltre la singola vicenda contenziosa: la posta elettronica non è e non può diventare un sistema di archiviazione documentale aziendale. L’Autorità ha infatti espressamente censurato l’utilizzo della casella e-mail come strumento di backup e conservazione documentale, evidenziando come tale prassi determini un accumulo indiscriminato di dati personali incompatibile con i princìpi di minimizzazione e limitazione della conservazione previsti dal GDPR.
Da questa impostazione derivano conseguenze operative particolarmente rilevanti per le imprese. In primo luogo, emerge la necessità di separare nettamente la gestione della posta elettronica dai sistemi di archiviazione documentale: contratti, offerte commerciali, documentazione strategica e più in generale i documenti aziendali rilevanti dovrebbero essere conservati all’interno di piattaforme dedicate di document management, dotate di regole autonome e tracciabili in materia di accesso, conservazione e cancellazione dei dati.
Parallelamente, le aziende sono chiamate a strutturare procedure di offboarding più rigorose e formalizzate. Alla cessazione del rapporto di lavoro occorre infatti disciplinare in modo puntuale la disattivazione dell’account e-mail, l’eventuale reindirizzamento dei messaggi in entrata e la gestione dei dati residui, cercando di contemperare le esigenze di continuità operativa con i diritti dell’ex dipendente.
Il provvedimento impone inoltre una revisione dei regolamenti informatici e delle policy interne sull’utilizzo degli strumenti aziendali. Tali documenti dovrebbero disciplinare espressamente il trattamento dei dati successivo alla cessazione del rapporto, definire tempi di conservazione delle e-mail effettivamente proporzionati e prevedere procedure chiare per la gestione delle richieste di accesso formulate dai lavoratori o ex lavoratori.