La gestione della posta elettronica aziendale continua a rappresentare uno dei terreni più delicati del rapporto tra potere organizzativo dell’impresa, tutela del patrimonio aziendale e diritti fondamentali di lavoratori e collaboratori.
Negli ultimi anni, il Garante per la protezione dei dati personali ha progressivamente affinato il proprio orientamento, passando da una logica prevalentemente preventiva, fondata su policy, informativa e graduazione dei controlli, a un approccio sempre più rigoroso sul piano sanzionatorio, soprattutto nei casi in cui il datore di lavoro conservi, analizzi o utilizzi la corrispondenza elettronica aziendale dopo la cessazione del rapporto.
Indice degli argomenti
Le linee guida del 2007: l’ossatura giuridica ancora valida
In principio c’erano le Linee guida del 1° marzo 2007 secondo cui la posta elettronica, anche quando assegnata per finalità lavorative, può contenere dati personali – anche particolari – del lavoratore e di terzi diventando atta a rivelare aspetti della vita privata, professionale e relazionale dell’interessato. In tale documento il Garante aveva già chiarito che i servizi di posta elettronica sono suscettibili di controlli in grado di arrivare fino alla conoscenza del contenuto della corrispondenza, con conseguente necessità di bilanciare esigenze aziendali e tutela della riservatezza. Tuttavia, la vera questione è come possa farlo senza trasformare l’account di posta in uno strumento di controllo, di investigazione generalizzata o di conservazione indiscriminata.
Le Linee guida del 2007 contengono ancora oggi l’ossatura del ragionamento giuridico: il datore di lavoro deve definire preventivamente le modalità di utilizzo degli strumenti informatici, indicare se e come verranno effettuati controlli, adottare un disciplinare interno chiaro e pubblicizzato, evitare controlli occulti, prolungati o indiscriminati, e configurare i sistemi secondo il principio di necessità. Il Garante, già allora, suggeriva soluzioni organizzative concrete: indirizzi condivisi per funzioni aziendali, sistemi di risposta automatica in caso di assenza, possibilità di delegare un collega fiduciario per verificare i messaggi rilevanti in casi eccezionali, verbalizzazione delle attività svolte e informazione del lavoratore alla prima occasione utile così da garantire sia la continuità aziendale sia la presenza di processi organizzativi. Tutto ciò è, come sempre, una versione del principio di privacy by design e by default, secondo cui i processi e i trattamenti devono essere valutati al momento della loro progettazione e non dopo.
Il caso Anticimex: il diritto di difesa non legittima tutto
Ancora, in un altro provvedimento il provvedimento del 18 dicembre 2025 Anticimex, un ex dipendente aveva esercitato il diritto di accesso ai dati contenuti nel fascicolo personale, inclusa la corrispondenza aziendale e la società, nel contesto di un contenzioso col suddetto ex dipendente, aveva mantenuto attivo l’account e letto sistematicamente la posta per reperire elementi probatori.
In tal caso, il Garante ha specificato che il diritto di difesa è certamente un interesse meritevole di tutela, ma non legittima qualsiasi forma di accesso o monitoraggio. Pertanto, non può giustificare una lettura sistematica della corrispondenza per un lasso di tempo eccessivo né può trasformare la casella dell’ex dipendente in una fonte permanente di prova. Conseguentemente, la finalità di tutela dei diritti in giudizio deve essere concreta, attuale, proporzionata e riferita a dati strettamente necessari e non può fondarsi su una ricerca esplorativa, retrospettiva e indiscriminata.
Diritto di accesso del lavoratore: l’azienda non può selezionare cosa consegnare
Ancor più recentemente poi, il Garante ha ulteriormente specificato questo aspetto relativo al diritto di accesso esercitato dal (ex) dipendente. Infatti, non solo ribadisce l’illiceità della conservazione massiva della posta elettronica aziendale, ma chiarisce che, nell’ambito di un’istanza di accesso, l’azienda non può circoscrivere la consegna alle sole comunicazioni “strettamente personali”, escludendo quelle lavorative.
Le comunicazioni transitate su un account aziendale individualizzato, infatti, sono comunque riconducibili all’assegnatario e costituiscono dati personali, anche quando attengono all’attività professionale. Pertanto, il datore di lavoro non può assumere che tutto ciò che è contenuto nella mailbox aziendale sia nella sua piena ed esclusiva disponibilità, né può procedere a oscuramenti o anonimizzazioni generalizzate invocando in modo astratto la tutela di terzi o del segreto aziendale.
Collaboratori a partita IVA: le stesse tutele dei dipendenti
E per i Collaboratori a Partita IVA? Il discorso è sostanzialmente analogo a quello dei dipendenti. Infatti, in un provvedimento del 2024, il Garante non ha reputato essere rilevante la distinzione tra dipendente e collaboratore autonomo. Al contrario, ha affermato che, al di là della qualificazione del rapporto, il trattamento dei dati contenuti nella casella è comunque imputabile alla società in qualità di titolare del trattamento. Pertanto, quando l’impresa assegna un account individualizzato, ne determina finalità e mezzi di trattamento, e non può sottrarsi agli obblighi privacy sostenendo che il soggetto non sia formalmente un lavoratore subordinato.
Ancora, nel caso di specie, il Garante ha ritenuto non conforme la conservazione del contenuto delle comunicazioni per tutta la durata del rapporto e per tre anni dopo la sua cessazione, in assenza di specifiche ragioni tecniche idonee a giustificare un simile periodo. La finalità di sicurezza informatica non può diventare una formula passe-partout per conservare tutto, per anni, e poi utilizzare il contenuto delle email in un contenzioso. Recentissimamente poi, in un provvedimento del 2026, in relazione all’account Google Workspace utilizzato dal collaboratore esclusivamente per comunicazioni lavorative – e quindi per finalità professionale – non si può escludere tout court che al suo interno possano transitare dati personali dello stesso.
La titolarità dello strumento non è disponibilità del dato
Ebbene, dai provvedimenti emessi nel tempo emerge chiaramente la progressiva erosione di una convinzione ancora diffusa nelle imprese, cioè l’idea che tutto ciò che transita su strumenti aziendali sia liberamente accessibile all’azienda. Non è così, poiché la titolarità dello strumento non coincide con la libera disponibilità del dato.
A questo punto però – soprattutto se si è un’azienda – ci si può chiedere cosa si debba fare nel caso in cui il rapporto lavorativo (subordinato o meno che sia) si concluda al fine di garantire la continuità operativa aziendale.
Cosa fare alla cessazione del rapporto: gli strumenti organizzativi
Ebbene, in tali casi, gli strumenti da applicare sono anche e soprattutto organizzativi: indirizzi condivisi, CRM, gestionali documentali, repository aziendali, procedure di handover, deleghe, autoresponder e non mediante accesso alla casella individualizzata.
Ancora, anche nel caso di contenzioso, i trattamenti devono essere non solo mirati ma anche necessari, proporzionati, documentati e collegati a una controversia concreta o a una situazione precontenziosa effettiva. Pertanto, prima della cessazione del rapporto di lavoro, deve essere organizzato un passaggio di consegne e il trasferimento dei vari documenti e informazioni aziendali nei sistemi ufficiali dell’azienda.
Si deve poi attivare un risponditore automatico che informi i mittenti della cessazione o dell’assenza e indichi un diverso indirizzo di contatto aziendale per un periodo limitato, trascorso il quale, l’account deve essere cancellato.
Uno spazio ibrido che si governa solo con la prevenzione
In conclusione, l’evoluzione dei provvedimenti del Garante mostra che l’email aziendale individualizzata non è né uno spazio integralmente aziendale né integralmente privato, ma uno spazio ibrido in cui convivono esigenze organizzative dell’impresa, dati personali del lavoratore o collaboratore, informazioni di terzi e garanzie costituzionali sulla segretezza della corrispondenza. Pertanto, il modo corretto per gestire questo strumento non è negare le esigenze dell’impresa, ma organizzarle prima poiché, come spesso accade in materia di protezione dei dati personali, prevenire è meglio che curare.
Partecipa alla community