Il Garante sull’accesso alle e-mail aziendali dell’ex dipendente: obblighi e criticità per le società

Il Garante per la protezione dei dati personali torna su un tema sempre più centrale nel dibattito europeo e nazionale: la gestione delle e-mail aziendali e dei dati dei dipendenti.

Al centro del dibattito vi è una domanda destinata ad avere impatti concreti sull’organizzazione interna delle società: dove finisce la sfera professionale e dove inizia quella privata del lavoratore?

Le recenti pronunce del Garante impongono alle aziende una riflessione sulle modalità di gestione della posta elettronica, dei metadati e delle richieste di accesso degli ex dipendenti. Una gestione non conforme può infatti esporre le società a rilevanti rischi sanzionatori.

L’obiettivo dell’Autorità è chiaro: rafforzare la consapevolezza dei datori di lavoro, quali titolari del trattamento dei dati personali dei lavoratori, rispetto alle scelte organizzative adottate nella gestione dei dati, prevenendo trattamenti non conformi alla normativa privacy.

Tuttavia, accanto alla condivisibile esigenza di limitare conservazioni indiscriminate di dati ed e-mail aziendali, emerge anche un profilo critico. L’attenzione ai tempi di conservazione rischia infatti di entrare in tensione con l’esigenza, per aziende e lavoratori, di conservare documentazione utile all’esercizio del diritto di difesa e alla gestione di eventuali controversie lavoristiche. In tale contesto, il ruolo dell’avvocato assume una funzione centrale.

La posta elettronica aziendale contiene dati personali

Da tempo la Corte europea dei diritti dell’uomo evidenzia come il confine tra vita privata e attività lavorativa non sia netto.

Sin dalla sentenza Niemietz c. Germania del 1992, fino alla più recente Antović and Mirković v. Montenegro del 2017, la Corte EDU ha affermato che “la nozione di “vita privata” può includere anche attività professionali”. Le “comunicazioni elettroniche sul luogo di lavoro rientrano quindi nelle nozioni di vita privata e di corrispondenza” di cui all’art. 8 della Convenzione europea dei diritti dell’uomo.

Ne consegue che anche le e-mail aziendali possono contenere dati personali del lavoratore, persino quando riguardano attività strettamente professionali. Proprio da questo presupposto muove oggi l’approccio del Garante nella disciplina dell’accesso alle caselle e-mail aziendali e nella gestione dei relativi dati.

Il tema dei metadati e il limite dei 21 giorni

Già con il provvedimento del 6 giugno 2024 (n. 10026277), il Garante aveva affrontato il tema dei metadati della posta elettronica, ossia quell’insieme di informazioni che descrivono le caratteristiche delle e-mail: giorno, ora, mittente, destinatario, oggetto, dimensioni del messaggio, oltre ai file di log relativi alle operazioni effettuate sui sistemi informatici.

Il Garante ha indicato, quale parametro generale di riferimento, un periodo di conservazione contenuto entro 21 giorni, salva la necessità di particolari esigenze tecniche, organizzative o di sicurezza adeguatamente documentate (par. 4.3. provv. Garante del 2024). Oltre tale limite, invece, la conservazione richiede l’attivazione delle procedure previste dall’art. 4 dello Statuto dei Lavoratori, tramite accordo sindacale oppure autorizzazione dell’Ispettorato Nazionale del Lavoro (par. 3 provv. Garante del 2024).

I lavoratori devono in ogni caso essere pienamente consapevoli delle caratteristiche del trattamento dei dati (par. 4.2. provv. Garante del 2024).

Si tratta di un punto particolarmente delicato per le aziende. I sistemi di posta elettronica e i relativi log, secondo quanto affermato dal Garante, rappresentano infatti strumenti potenzialmente idonei al controllo dell’attività dei dipendenti. Una gestione non conforme può quindi determinare non solo violazioni della normativa privacy, ma anche il rischio di compromettere l’utilizzabilità di dati spesso essenziali sotto il profilo probatorio nei contenziosi giuslavoristici.

Il provvedimento n. 10185435 del 2025

Con il provvedimento del 9 ottobre 2025 n. 10185435 il Garante ha affrontato un tema ormai centrale nelle organizzazioni attuali: fino a che punto le esigenze di tutela del patrimonio aziendale possono giustificare la raccolta sistematica dei dati digitali dei lavoratori?

Nel caso concreto, il Garante ha inoltre ritenuto sproporzionata la scelta della società di mantenere attiva la casella di posta elettronica per due mesi successivi alla cessazione del rapporto di lavoro, nonché di consentire l’accesso al contenuto delle e-mail fino a sei mesi dopo la cessazione stessa.

Particolarmente significativa è anche la critica rivolta dal Garante all’utilizzo del consenso del lavoratore quale base per l’accesso alla casella e-mail dell’ex dipendente. L’Autorità ha evidenziato, una significativa incoerenza nella disciplina interna adottata dalla società: da un lato, la policy aziendale attribuiva alla società un ampio potere di accesso alla casella e-mail; dall’altro, il modulo sottoposto al lavoratore richiedeva un consenso specifico per tale accesso.

Secondo l’Autorità, il consenso non può considerarsi realmente libero nel contesto lavorativo, soprattutto considerando che nelle comunicazioni aziendali sono coinvolti anche dati personali di colleghi, clienti e terzi (par. 3.2.2. provv. del 2025).

Le società, dunque, sono tenute ad adottare policy chiare, coerenti e sufficientemente specifiche, evitando discipline generiche o contraddittorie.

Il nuovo provvedimento del Garante: accesso dell’ex dipendente alle e-mail aziendali

Con il recente provvedimento del 12 marzo 2026 (n. 10233328), il Garante è tornato sul tema affrontando il diritto di accesso dell’ex dipendente alle e-mail aziendali ai sensi dell’art. 15 GDPR.

Il caso prende avvio dal reclamo presentato da un ex dipendente che, concluso il rapporto di lavoro, aveva esercitato il diritto di accesso, come disciplinato dall’art. 15 GDPR, chiedendo copia dei dati contenuti nella propria casella e-mail aziendale.

La società aveva fornito un riscontro incompleto, selezionando i contenuti: aveva infatti trasmesso le comunicazioni ritenute personali, trattenendo invece quelle qualificate come professionali per esigenze di riservatezza interna. Il Garante ha giudicato tale selezione non conforme al GDPR.

Secondo l’Autorità:

• anche le e-mail di lavoro possono contenere dati personali;
• il diritto di accesso non può essere limitato in base della natura delle comunicazioni;
• eventuali limitazioni sono ammesse solo in presenza di “richieste manifestamente infondate o eccessive e di tutela dei diritti dei terzi”;
• risulta eccessivo il termine di cinque anni per il backup delle e-mail aziendali.

Nel caso specifico, alla società è stata irrogata una sanzione amministrativa pecuniaria di 50.000,00 euro.

Cosa suggeriamo alle società?

L’approccio del Garante impone alle società una revisione strutturata delle modalità di gestione della posta elettronica aziendale e, più in generale, dei dati dei dipendenti.

Dal punto di vista operativo, appare opportuno:

1. Aggiornare le policy aziendali

In linea con quanto delineato dal Garante, occorre “conformare le policy aziendali e i trattamenti dei dati alla disciplina in materia di protezione dei dati personali”. Più precisamente, le società dovrebbero:

• disciplinare in modo chiaro e non generico l’utilizzo della posta elettronica;
• definire procedure standard per la gestione delle richieste di accesso ai dati personali;
• stabilire tempi di conservazione proporzionati e coerenti con i principi dell’art. 5 GDPR;
• indicare in modo trasparente tali tempistiche nelle informative consegnate ai dipendenti.

Nel provvedimento del 2026, ad esempio, il Garante ha ritenuto eccessivo il termine di cinque anni previsto per il backup delle e-mail aziendali, considerandolo contrario ai principi di minimizzazione e limitazione della conservazione.

Ne consegue la necessità di effettuare una valutazione caso per caso, bilanciando gli interessi coinvolti, al fine di individuare tempistiche di conservazione effettivamente proporzionate alle finalità perseguite.

2. Consentire un accesso trasparente

Consentire l’accesso trasparente ed “integrale al contenuto della corrispondenza presente sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di lavoro” (punto 1 par. 4 Provv. Garante del 2026).

Questo significa che risultano particolarmente rischiose: letture preventive delle e-mail, selezioni arbitrarie dei contenuti, esclusioni generalizzate delle comunicazioni professionali.

Una gestione eccessivamente prudenziale può infatti tradursi in una violazione del diritto di accesso.

3. Prevedere sistemi di archiviazione documentale alternativi alla posta elettronica

Secondo il Garante, la posta elettronica non rappresenta uno strumento idoneo di archiviazione documentale e backup, poiché non può garantire “autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti”, come richiesto dalla normativa applicabile. Pertanto, occorre utilizzare sistemi di archiviazione alternativi.

Infatti, una gestione efficiente dei flussi documentali aziendali riduce al minimo le interferenze con la sfera privata degli interessati ed evita, ove possibile, l’accesso ai contenuti delle comunicazioni.

4. Prestare attenzione ai log di navigazione

Occorre altresì limitare i tempi di conservazione dei log di navigazione internet secondo il criterio di proporzionalità, al fine di garantire la sicurezza dei sistemi senza comprimere indebitamente la riservatezza dei dipendenti. Ciò in conformità con l’art. 5 lett. e) GDPR che dispone che i dati siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati…”.

Nel caso più recente analizzato dal Garante, la società prevedeva un periodo di conservazione di 12 mesi, ritenuto eccessivo.

5. Rispettare l’art. 4 Stat. Lav.

Resta inoltre fermo che eventuali sistemi di controllo e monitoraggio devono essere preventivamente legittimati ai sensi dell’articolo 4 dello Statuto dei Lavoratori, mediante accordo sindacale o, in difetto, autorizzazione dell’Ispettorato Nazionale del Lavoro.

Sia il backup delle e-mail, sia la conservazione dei log Internet sono “strumenti potenzialmente idonei a realizzare un controllo sull’attività dei dipendenti”, per cui occorre applicare quanto disposto dall’art. 4 Stat. Lav. (come evidenziato dal Garante al punto 3.3. del provv. del 2026).

Il diritto di accesso non è però assoluto

Il provvedimento del Garante sembra adottare un approccio molto ampio al diritto di accesso dell’ex dipendente. Tuttavia, ciò non significa che tale diritto sia illimitato.

In presenza di segreti aziendali, informazioni strategiche, dati la cui divulgazione possa arrecare un concreto pregiudizio alla società, l’azienda può valutare limitazioni all’accesso, purché siano specificamente motivate, siano supportate da elementi oggettivi e non si basino su rischi meramente astratti.

Per questo motivo diventa essenziale predisporre processi interni che consentano di distinguere e classificare correttamente le informazioni aziendali riservate.

Conclusioni

Le società devono adottare un approccio prudente, strutturato e preventivo, predisponendo policy chiare, trasparenti e proporzionate già prima dell’eventuale esercizio del diritto di accesso da parte dei dipendenti o ex dipendenti, soprattutto alla luce dei rilevanti rischi sanzionatori connessi a una gestione non conforme dei dati personali.

Ne consegue la necessità di predisporre disposizioni aziendali (policy, regolamenti ecc.) idonee a consentire un corretto bilanciamento tra i diritti dell’interessato e le esigenze di tutela dell’impresa, equilibrate e coerenti con il quadro normativo. In tale prospettiva, si ritiene opportuno verificare che le informazioni aziendali riservate siano effettivamente individuabili e separabili all’interno dei sistemi (anche mediante adeguate modalità di classificazione, archiviazione e denominazione), così da consentire una gestione selettiva e motivata delle richieste di accesso. Nonché evitare che la definizione dei tempi di conservazione dei dati possa entrare in tensione con l’interesse, tanto delle aziende quanto dei lavoratori, a preservare documentazione potenzialmente rilevante in sede giudiziale o precontenziosa.

Alla luce di quanto delineato, la materia richiede una valutazione congiunta tra professionisti esperti di privacy e giuslavoristi. Solving studio legale e tributario è a disposizione per supportare le aziende nell’aggiornamento delle policy interne, nella gestione delle richieste di accesso e nell’implementazione di sistemi conformi alla normativa vigente.