In Europa vige una definizione ampia di “dato personale” perché si vuole garantire una tutela efficace agli individui con riguardo al trattamento dei loro dati di carattere personale da parte di terze parti in connessione con un’attività commerciale o professionale di queste ultime. Ai sensi del Regolamento generale sulla protezione dei dati (GDPR)[i], è “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il GDPR precisa che “per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi […] di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente”[ii].
Ciò significa che sono “personali” sia i dati che consentono l’identificazione diretta della persona fisica interessata, in quanto riferibili univocamente ad essa (come nome e cognome, codice fiscale, numero di previdenza sociale, di carta d’identità, di passaporto, di patente o telefonico, fototessera biometrica, impronte digitali) sia quelli che, pur essendo comuni a più persone, permettono di identificare una specifica persona ove siano combinati con altre informazioni disponibili riguardo a tale persona (come data di nascita, età, sesso, città di residenza, codice postale, cronologia degli acquisti o della navigazione). In altri termini, un dato personale non fa necessariamente risalire all’identità di una persona fisica, ma può rendere quest’ultima distinguibile dalle altre che appartengono allo stesso gruppo.
Indice degli argomenti
Monitoraggio email dipendenti e tutela dei dati personali
In effetti, il GDPR qualifica i dati pseudonomizzati come dati personali ed esclude dal suo ambito di applicazione solo i dati anonimi, stabilendo condizioni restrittive per ritenere che, a seguito dell’utilizzo di tecniche di anonimizzazione, un’informazione non sia più riferibile ad un individuo “identificabile”[iii]. Esso precisa che “per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”.
A sua volta, la Corte di Giustizia dell’UE (CGUE) ha interpretato in modo estensivo la nozione di dato personale ai sensi del GDPR e degli altri atti normativi dell’UE che tutelano i dati personali[iv]. Questa interpretazione estensiva concerne sia il tipo di informazione che la sua riferibilità ad un individuo in particolare. Citando qualche noto caso giurisprudenziale, la CGUE ha chiarito che costituiscono “dati personali”: “le risposte scritte fornite da un candidato durante un esame professionale e le eventuali annotazioni dell’esaminatore”[v]; “un indirizzo di protocollo Internet dinamico” registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone[vi].
La CGUE ha poi considerato dati personali “una stringa composta da una combinazione di lettere e di caratteri, come la TC String (Transparency and Consent String)”, contenente le preferenze di un utente di Internet o di un’applicazione relative al consenso al trattamento dei dati personali, nella misura in cui, qualora essa possa essere associata, con mezzi ragionevoli, ad un identificativo, quale in particolare l’indirizzo IP del dispositivo dell’utente, essa consente di identificare l’interessato[7]; le informazioni riguardanti i punti di penalità inflitti ai conducenti di veicoli iscritti nel registro nazionale dei veicoli e dei conducenti[viii]; il VIN, ossia il codice alfanumerico assegnato ad un veicolo dal suo costruttore che deve figurare nella carta di circolazione, “in quanto colui che ha accesso al VIN potrebbe disporre di mezzi che gli permettono di utilizzarlo per identificare il proprietario del veicolo”[ix].
Sono stati qualificati come dati personali anche “informazioni relative al genere di una persona interessata da un comunicato stampa, alla sua cittadinanza, all’attività di suo padre, all’importo della sovvenzione per un progetto scientifico e all’ubicazione geografica dell’ente che ospita tale progetto scientifico, considerate nel complesso”[x]; nonché “i dati relativi al traffico e i dati relativi all’ubicazione di tutti gli abbonati ed utenti dei mezzi di comunicazione elettronica” (cosiddetti metadati) conservati dai fornitori di servizi di comunicazione elettronica[xi].
Per quanto concerne l’identificabilità del soggetto interessato, la CGUE ha recentemente ribadito che, “perché un dato possa essere qualificato come «dato personale» non si richiede che tutte le informazioni che consentono di identificare l’interessato debbano essere in possesso di una sola persona” e che “la prospettiva pertinente per valutare l’identificabilità dell’interessato dipende essenzialmente dalle circostanze che caratterizzano il trattamento dei dati in ciascun caso particolare”[xii].
Essa ha, quindi, precisato che, nel caso in cui si debba accertare se il titolare del trattamento ha adempiuto all’obbligo di informare l’interessato che i suoi dati saranno comunicati a terzi, “l’identificabilità dell’interessato […] debba essere valutata al momento della raccolta dei dati e dal punto di vista del titolare del trattamento”, senza che rilevi il fatto che, successivamente, tali dati siano stati anonimizzati dal titolare prima di essere trasmessi ad un terzo[xiii].
Dato personale, email aziendale e sfera privata del dipendente
Trattamenti dei dati personali nella gestione delle e-mails dei dipendenti
I datori di lavoro devono tenere a mente le norme sulla tutela dei dati personali ogniqualvolta prendano una decisione riguardo agli account di posta elettronica dei loro collaboratori.
Le e-mails dei dipendenti possono costituire e contenere dati personali. Questo vale sia per le caselle e-mails su un server aziendale che per quelle private usate al lavoro con dispositivi aziendali o personali.
L’indirizzo e-mail che include sia il nome della società (il dominio) che quello di un suo dipendente (che utilizza l’account) è un dato personale di quest’ultimo. In effetti, ancorché le informazioni relative a persone giuridiche (come il nome e la forma giuridica e i suoi dati di contatto) non costituiscano dati personali[xiv], i dati delle persone giuridiche possono includere il nome o altri dati riguardanti alcune persone fisiche e, in tal caso, essi contengono dati personali di queste ultime.
Un altro aspetto da sottolineare con riguardo ad una casella di posta elettronica aziendale recante il nome del dipendente che lo usa è che, anche laddove si possa presumere che le e-mails in entrata e in uscita siano principalmente di natura professionale, ossia riguardino l’azienda (le sue attività, i suoi interessi e i suoi rapporti commerciali, nonché l’attività dei suoi collaboratori nello svolgimento delle loro mansioni…), non si può escludere in modo assoluto che vi siano anche e-mails attinenti alla sfera privata del dipendente in questione o di altri individui.
Inoltre, anche le e-mails professionali possono contenere informazioni relative al dipendente e ad altri individui che comunicano con lui o consentono di inferire informazioni su costoro (come le modalità e i tempi di lavoro o altri dati comportamentali).
Monitoraggio delle email dei dipendenti nel contesto lavorativo
I datori di lavoro possono voler ricorrere al monitoraggio delle e-mail dei dipendenti, ossia tener traccia e analizzare le e-mails inviate o ricevute su accounts aziendali per proteggere dati sensibili, assicurare la compliance con le policies interne e migliorare la produttività. Di solito questo monitoraggio si concentra sui metadati (come mittente, destinatario e ora di invio), su parole chiave segnalate o sul comportamento anomalo degli allegati. Tuttavia, anche l’analisi di metadati relativi a una persona può risultare intrusivo della vita privata degli interessati e interferire indebitamente con l’esercizio delle loro libertà individuali.
In questo ambito la tutela dei dati personali si intreccia con quella della privacy[xv]. Infatti, il trattamento dei dati personali presenti nella posta elettronica o l’analisi dei metadati delle comunicazioni elettroniche viola la sfera di riservatezza di cui deve godere ogni individuo anche quando è al lavoro e ostacola l’esercizio di libertà fondamentali (come quella di espressione e di opinione).
Di seguito si esaminano alcune decisioni e linee guida di autorità e corti europee che forniscono indicazioni utili sul monitoraggio delle email dei dipendenti. Benché il focus sia sulle norme dell’UE, si menzioneranno alcune posizioni espresse dalle autorità di Paesi in Europa che non sono membri dell’UE, come il Regno Unito e la Svizzera. Infatti, da un lato, questi Paesi fanno parte della Convenzione europea dei Diritti dell’Uomo (CEDU), che è fonte di ispirazione per la CGUE[xvi], e, dall’altro, essi hanno normative sui dati personali considerate dalla Commissione europea idonee a garantire uno standard di tutela equivalente a quello dell’UE[xvii].
Monitoraggio delle email dei dipendenti e limiti posti dalla giurisprudenza
Accesso alla posta elettronica dei dipendenti a fini di controllo
Per quanto riguarda la compatibilità con il diritto alla tutela dei dati personali del monitoraggio da parte del datore di lavoro delle e-mails dei dipendenti, giova partire dai principi affermati dalla Corte europea dei diritti dell’uomo (Corte EDU) nel caso Bărbulescu contro Romania[xviii]. In estrema sintesi, un’azienda privata aveva chiesto ad un addetto tecnico alle vendite di creare e gestire un account di messaggistica istantanea per l’assistenza clienti. Le regole interne all’azienda proibivano l’uso personale di questo account, ma il dipendente lo ha utilizzato anche per inviare messaggi privati e persino questioni intime. L’azienda ha monitorato e registrato le comunicazioni del dipendente in tempo reale e ha licenziato il dipendente.
La Corte EDU ha affermato che dall’art. 8 della CEDU, che garantisce il rispetto della vita privata nei rapporti tra individui, discende l’obbligo per gli Stati parte della CEDU di stabilire un quadro giuridico che disciplini le condizioni in cui un datore di lavoro può regolamentare le comunicazioni elettroniche o di altro tipo di natura non professionale da parte dei suoi dipendenti sul posto di lavoro, in modo da trovare un equo bilanciamento tra il diritto alla privacy del dipendente e gli interessi legittimi del datore di lavoro (ad esempio, quello di garantire la sicurezza e il rispetto delle regole sul posto di lavoro, prevenendo la commissione di eventuali illeciti).
Benché gli Stati godano di un margine di discrezionalità in questo ambito, le autorità nazionali devono garantire che l’introduzione di misure di monitoraggio della corrispondenza e di altre comunicazioni, indipendentemente dalla portata e dalla durata di tali misure, sia accompagnata da adeguate garanzie contro possibili abusi.
I criteri della Corte EDU nel caso Bărbulescu
A tal fine le autorità devono considerare, tra gli altri, i seguenti elementi:
(i) se il dipendente è stato informato della possibilità che il datore adotti misure di monitoraggio della corrispondenza e altre comunicazioni, e dell’attuazione di tali misure;
(ii) la portata del monitoraggio da parte del datore di lavoro e il grado di intrusione nella privacy del dipendente, ossia se il monitoraggio è limitato al flusso delle comunicazioni o si estende al loro contenuto, se comprende tutte o una parte delle comunicazioni e i limiti spaziali al monitoraggio;
(iii) l’esistenza di motivi legittimi addotti dal datore di lavoro per giustificare il monitoraggio delle comunicazioni e l’accesso al loro contenuto effettivo, tenendo conto che il monitoraggio del contenuto delle comunicazioni, essendo per sua natura più intrusivo, richiede una giustificazione ancor più rigorosa;
(iv) la possibilità di metodi meno invasivi rispetto all’accesso diretto al contenuto delle comunicazioni;
(v) le conseguenze del monitoraggio per il dipendente e l’uso fatto dal datore di lavoro dei risultati del monitoraggio, in particolare se i risultati siano stati utilizzati per raggiungere l’obiettivo dichiarato della misura;
(vi) l’esistenza di garanzie adeguate a tutela della privacy del dipendente (come quella di impedire l’accesso al contenuto delle comunicazioni salvo preventiva informazione del dipendente).
Inoltre, gli Stati devono assicurare che un dipendente le cui comunicazioni sono state monitorate abbia accesso a un ricorso dinanzi a un organo giudiziario competente a valutare tali elementi nel caso concreto.
Con riferimento al caso del signor Bărbulescu la Corte EDU ha affermato che le corti nazionali avrebbero dovuto accertare che il ricorrente fosse stato informato in anticipo, cioè prima dell’inizio dell’attività di monitoraggio, della possibilità che il datore di lavoro potesse intraprendere tale monitoraggio, nonché della portata e della natura dello stesso[xix]. Non era, quindi, chiaro se il dipendente avesse una ragionevole aspettativa di riservatezza dei messaggi inviati con l’account aperto per finalità aziendali.
Inoltre, la Corte ha ritenuto che le corti nazionali abbiano omesso di valutare che il datore di lavoro aveva registrato in tempo reale tutte le comunicazioni del richiedente durante il periodo di monitoraggio e vi aveva avuto accesso; che sembravano non sussistere motivi legittimi per giustificare il monitoraggio; che l’obiettivo perseguito avrebbe potuto essere raggiunto con metodi meno invasivi; che, a causa del monitoraggio, il ricorrente aveva ricevuto la sanzione disciplinare più severa, il licenziamento.
Nella sentenza Bărbulescu è posto un chiaro limite alla discrezionalità riconosciuta agli Stati parte della CEDU nel tutelare il diritto al rispetto della vita privata degli individui sottoposti a misure di monitoraggio sul luogo di lavoro: le policies interne adottate dal datore di lavoro non possono “ridurre a zero” la privacy sul luogo di lavoro.
L’orientamento della Cassazione italiana sulle email private
I principi di cui alla sentenza della Corte EDU sono alla base della pronuncia resa dalla Corte di cassazione italiana (la S.C.) su un caso riguardante l’acquisizione da parte di un’azienda della posta su account personali di ex dipendenti, sebbene inseriti sul server aziendale, per accedere ai quali occorreva una password[xx].
L’azienda aveva contestato atti di concorrenza sleale agli ex dipendenti a seguito del rinvenimento di messaggi scambiati da costoro con un’impresa concorrente. L’azienda sosteneva di essere legittimata a consultare la corrispondenza degli ex dipendenti in quanto quest’ultima era stata tutta rinvenuta sui sistemi informatici aziendali di sua proprietà.
Per contro la S.C. ha affermato che le e-mail private inviate a lavoro rientrano nella “vita privata” e nella “corrispondenza” tutelate dall’art. 8 della CEDU. Il datore di lavoro deve quindi attenersi ai principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi), della proporzionalità (scelta, nei limiti del possibile, delle modalità meno intrusive) e della preventiva dettagliata informazione ai dipendenti sulla possibilità, sulle forme e sulle modalità del controllo.
Posto che le e-mails in questione riguardavano dipendenti che si erano dimessi nel momento in cui è stato eseguito l’accesso dall’azienda, la S.C. ha ribadito che sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti relativi all’utilizzo della posta elettronica, acquisiti dal datore di lavoro attraverso sistemi di controllo installati senza il previo e positivo espletamento delle garanzie applicabili (anche) ai controlli diretti ad accertare comportamenti illeciti dei lavoratori quando comportino la possibilità di verifica a distanza dell’attività di questi ultimi, nonché senza l’acquisizione del consenso da parte degli interessati con il previo rilascio delle informative sul trattamento dei dati personali.
Al riguardo la S.C. ha osservato che gli interessati non avevano impostato alcuna opzione per ricevere le e-mails personali sul medesimo applicativo di posta elettronica utilizzato sul personal computer aziendale, né avevano concesso alcuna autorizzazione all’azienda. Inoltre, quest’ultima non aveva dimostrato di avere impartito specifiche disposizioni finalizzate a regolamentare le modalità di controllo o duplicazione della corrispondenza dei lavoratori.
Basi giuridiche del monitoraggio delle email dei dipendenti
Per quanto concerne il monitoraggio delle comunicazioni elettroniche dei dipendenti, il Gruppo di lavoro per la protezione dei dati dell’articolo 29 (WP29)[xxi], quando era ancora in vigore la direttiva 95/46/CE, ha adottato un parere sul trattamento dei dati personali sul luogo di lavoro che è tuttora fonte di ispirazione per le autorità nazionali di tutela dei dati personali (il Parere 2/2017)[xxii].
Il Parere 2/2017 mira ad effettuare un equo bilanciamento tra gli interessi legittimi dei datori di lavoro e le aspettative di riservatezza dei dipendenti, a seguito della diffusione di strumenti tecnologici che consentono un trattamento sistematico ed invasivo dei dati personali dei dipendenti.
Giova ricordare i tratti salienti di questa analisi.
Il fatto che il datore di lavoro sia proprietario delle apparecchiature elettroniche utilizzate non esclude il diritto dei dipendenti alla segretezza delle loro comunicazioni e della corrispondenza. Il monitoraggio può violare il diritto alla tutela della vita privata dei dipendenti, indipendentemente dal fatto che esso abbia luogo sistematicamente o occasionalmente. Il rischio inerente al monitoraggio non è limitato all’analisi del contenuto delle comunicazioni, posto che l’analisi di metadati relativi ad una persona potrebbe risultare altrettanto invasiva della sua vita privata e dei suoi modelli di comportamento.
Per quanto concerne le condizioni di liceità del trattamento dei dati personali raccolti o generati tramite comunicazioni elettroniche, il Parere sottolinea che la “dipendenza” derivante dal rapporto di lavoro pregiudica la possibilità di un consenso liberamente prestato da parte dei soggetti interessati (i dipendenti). Come il WP29 aveva sottolineato in un Documento di lavoro sulla sorveglianza delle comunicazioni elettroniche sul luogo di lavoro[xxiii], richiamato dal Parere 2/2017, il consenso del dipendente può costituire una valida base giuridica solo quando quest’ultimo dispone di una scelta veramente libera ed è di conseguenza in grado di ritirare il proprio assenso senza pregiudizio per i propri interessi.
Inoltre, relativamente alle forme di controllo della posta elettronica dei dipendenti, il citato Documento di lavoro sottolinea che, poiché i messaggi di posta elettronica contengono dati personali relativi tanto al mittente quanto al destinatario e i datori di lavoro possono in genere ottenere agevolmente solo l’assenso di una di queste parti (a meno che nella posta elettronica non sia compresa la corrispondenza tra dipendenti), la possibilità di legittimare il controllo della posta elettronica in base a tale assenso risulta estremamente limitata.
Il Parere 2/2017 conferma che i datori di lavoro devono generalmente ricorrere a diverse basi giuridiche per giustificare il trattamento dei dati dei dipendenti, come un legittimo interesse (ad esempio, il miglioramento dell’efficienza produttiva o la tutela del patrimonio aziendale) combinato con un test di proporzionalità che valuti la necessità di tale trattamento per raggiungere la finalità legittima perseguita e la prova che il rischio per la privacy dei dipendenti sia ridotto al minimo mediante l’adozione di misure adeguate.
L’adeguatezza di altre basi giuridiche, come l’esecuzione di un contratto o l’adempimento di obblighi di legge, va valutata caso per caso. Tuttavia, come evidenziato dal suddetto Documento di lavoro, un dipendente non stipula mai con il datore di lavoro un “contratto di controllo della corrispondenza”.
Il Parere 2/2017 raccomanda di eseguire, prima di usare qualsiasi strumento di monitoraggio, un test di proporzionalità per valutare se tutti i dati sono necessari, se il trattamento viola i diritti generali alla vita privata di cui godono i dipendenti anche sul posto di lavoro e se sussistono idonee misure di salvaguardia dei diritti dei dipendenti.
Il principio di trasparenza nel trattamento dei dati comporta l’obbligo di informare preventivamente i dipendenti dell’esistenza di qualsiasi monitoraggio, delle sue finalità e di qualsiasi elemento necessario a garantire un trattamento corretto. Le politiche e le norme riguardanti il monitoraggio legittimo devono essere chiare e facilmente accessibili. Inoltre, il Parere raccomanda di coinvolgere un campione rappresentativo di dipendenti nel processo di creazione e valutazione di tali norme e politiche, in quanto la maggior parte dei monitoraggi può potenzialmente violare la vita privata dei dipendenti.
Gli interessati hanno il diritto di non essere sottoposti a decisioni basate esclusivamente su un trattamento automatizzato dei loro dati, qualora tali decisioni producano effetti giuridici o incidano in modo analogo significativamente sulla loro persona.
Oltre a chiarimenti sull’applicazione dei principi rilevanti, il WP29 ha fornito utili indicazioni pratiche. Ad esempio, in caso di uso di dispositivi di proprietà dei dipendenti è importante che questi ultimi abbiano la possibilità di proteggere le loro comunicazioni private da qualsiasi monitoraggio legato all’attività lavorativa[xxiv].
Nei casi in cui ad un dipendente sia fornito un indirizzo di posta elettronica per un impiego puramente personale o gli venga consentito l’accesso ad una casella postale in rete, l’apertura dei messaggi elettronici pervenuti a tali indirizzi da parte del suo datore di lavoro può venir giustificata unicamente in circostanze estremamente limitate (a prescindere dalla ricerca di virus informatici) e di norma l’interesse legittimo non costituisce una base giuridica idonea, in quanto non rientra tra gli interessi legittimi del datore di lavoro accedere a tali dati e prevale il diritto fondamentale alla segretezza della corrispondenza[xxv].
Il GDPR ha rafforzato questi principi, imponendo ulteriori obblighi ai datori di lavoro in quanto titolari del trattamento. Questi ultimi devono assicurare la tutela dei dati personali dei propri dipendenti fin dalla progettazione (by design) e per impostazione predefinita (by default) dei sistemi di monitoraggio ed effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) qualora un tipo di trattamento, in particolare mediante l’utilizzo di nuove tecnologie, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità, possa presentare un rischio elevato per i diritti e le libertà dei dipendenti. Inoltre, gli Stati membri dell’UE possono prevedere norme più specifiche per garantire una tutela più rigorosa della privacy dei dipendenti.
Indicazioni utili sulla verifica dell’uso autorizzato dei sistemi di comunicazione elettronica si rivengono nelle linee guida sui dati personali e sulle comunicazioni elettroniche nelle istituzioni dell’UE adottate dal Garante europeo della protezione dei dati (GEPD)[xxvi].
Il personale deve essere informato se un’istituzione consente l’uso privato dei servizi di comunicazione elettronica forniti. Il monitoraggio dell’uso autorizzato dovrebbe essere giustificato e seguire un approccio progressivo. In assenza di attività sospette, non dovrebbe essere effettuato alcun monitoraggio del personale.
In linea con questo approccio, le comunicazioni elettroniche dovrebbero essere monitorate innanzitutto su base aggregata, senza dati identificativi. Laddove sia necessario per l’istituzione monitorare modelli di comportamento individuale, l’identità dei singoli utenti dovrebbe essere inizialmente mascherata e accessibile solo se necessario.
Se vengono rilevati modelli o situazioni irregolari (in termini di volume, dimensioni o altri indicatori di attività), l’istituzione può aumentare progressivamente il monitoraggio. Ad esempio, si potrebbe inviare un avviso al dipartimento per segnalare che è stato rilevato un uso improprio delle risorse di comunicazione elettronica e che è necessario interromperlo. Se l’uso improprio cessa a seguito di questo avviso, non sarà necessario monitorare i singoli individui. Se il problema persiste, il monitoraggio può essere intensificato.
L’identificazione dell’utente dovrebbe avvenire solo in presenza di un sospetto concreto di condotta scorretta (ad esempio, l’uso improprio delle risorse di comunicazione elettronica) e nell’ambito di una procedura definita o di un’indagine amministrativa. Il sospetto non deve essere generico, bensì ragionevole, specifico e supportato da prove iniziali concrete. Il responsabile della protezione dei dati (DPO) dovrebbe essere informato di tutti i casi in cui l’istituzione intende attivare il monitoraggio individuale. In tali casi, i soggetti interessati devono essere informati il prima possibile, salvo eccezioni normativamente previste.
La decisione di effettuare il monitoraggio individuale è grave e, in quanto tale, è necessario valutare e documentare le prove che danno origine al sospetto di condotta scorretta, la necessità del monitoraggio individuale, i limiti dell’indagine e la proporzionalità dei mezzi utilizzati.
In determinate circostanze, l’istituzione potrebbe voler ricorrere al monitoraggio occulto, ad esempio tenendo registri dettagliati di tutte le attività di uno specifico membro del personale senza informarlo al fine di ottenere prove di comportamenti criminali.
Le procedure di monitoraggio occulto proposte devono essere accompagnate da una giustificazione implicita, da una DPIA e devono essere sottoposte ad un controllo preventivo, perché tali procedure comportano il trattamento di dati personali relativi a presunti reati e valutano la persona indagata.
Le condizioni e i limiti delle operazioni di monitoraggio occulto devono essere conformi ai principi di legalità, proporzionalità e sussidiarietà e formalizzate in un regolamento interno dell’istituzione accessibile a tutti i dipendenti.
In ogni caso, l’istituzione deve tracciare tutte le fasi dell’operazione di monitoraggio e documentare la valutazione delle misure da attuare durante l’indagine, in modo che, all’occorrenza, sia in grado di dimostrare la compliance di questo trattamento dei dati personali (accountability).
In Svizzera, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha adottato una linea guida sull’accesso alla posta elettronica dei collaboratori. Questo documento distingue tra e-mails professionali e e-mails private dei dipendenti.
Il datore di lavoro, per suoi interessi legittimi (come sicurezza, limitazione dei rischi di abusi, organizzazione e pianificazione del lavoro, controllo delle prestazioni e degli affari), può avere accesso alla posta elettronica dei suoi dipendenti quando essi utilizzano gli strumenti di comunicazione professionali nel quadro professionale, a condizione che rispetti i principi della protezione dei dati, tra cui quelli di proporzionalità e trasparenza, e la normativa lavoristica sui sistemi aziendali di monitoraggio[xxvii].
Per contro, un datore di lavoro non è autorizzato a prendere conoscenza del contenuto di un’e-mail privata qualora il suo carattere privato sia segnalato (ad esempio, dalla menzione ‘personale’ o ‘privato’ nell’oggetto o dalla sua conservazione in un repertorio intitolato ‘personale’ o ‘privato’) o sia ragionevolmente riconoscibile, salvo che sussistano degli interessi legittimi del datore di lavoro (come un sospetto di infrazione).
Metadati, log e monitoraggio delle email dei dipendenti
Monitoraggio dei metadati
Con provvedimento n. 364 del 6 giugno 2024, il Garante per la protezione dei dati personali (Garante privacy) ha adottato un documento di indirizzo sui “programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e [il] trattamento dei metadati”[xxix].
Il Garante osserva che programmi e servizi informatici per la gestione della posta elettronica possono raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso dei dipendenti, conservandoli per un esteso arco temporale.
Si tratta delle “informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi”, che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto, che “vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore”.
Tali informazioni non includono, invece, i messaggi di posta elettronica, che rimangono sotto l’esclusivo controllo degli utenti (siano essi mittenti o destinatari dei messaggi).
L’impiego dei predetti programmi e servizi informatici dà luogo a trattamenti di dati relativi ad individui identificati o identificabili nel contesto lavorativo. Per questo il Garante ha fornito ai datori di lavoro pubblici e privati delle linee guida su come gestire i metadati ai fini del corretto funzionamento e il regolare utilizzo del sistema di posta elettronica (compresa la sicurezza informatica) nel rispetto dei diritti fondamentali dei lavoratori alla tutela dei dati personali, alla riservatezza[xxx], alla libertà di espressione e di comunicazione.
Il datore di lavoro deve, innanzitutto, verificare la sussistenza dei presupposti di liceità prima di effettuare trattamenti di dati personali dei lavoratori mediante i suddetti programmi e servizi informatici, tenendo conto non solo delle norme sulla tutela dei dati personali[xxxi], ma anche della disciplina lavoristica che pone limiti stringenti ai controlli a distanza dei lavoratori[xxxii].
Infatti, i metadati della posta elettronica dei lavoratori rimangono nella disponibilità esclusiva del datore di lavoro e documentano il traffico, ponendo il rischio di un indiretto controllo a distanza dell’attività dei lavoratori.
Il Garante ritiene che l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica possa essere effettuata senza far scattare le garanzie richieste dalla disciplina lavoristica solo fino ad un massimo di 21 giorni[xxxiii].
Invece, la raccolta generalizzata e la conservazione dei log di posta elettronica per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie di cui alla disciplina lavoristica.
Il datore dei lavoro deve rispettare gli altri principi applicabili al trattamento dei dati personali:
- ai sensi dei principi di correttezza e trasparenza, deve informare gli interessati delle caratteristiche complessive del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.);
- per il principio di limitazione della conservazione, i tempi di conservazione dei log della posta elettronica dei dipendenti devono essere proporzionati rispetto alle legittime finalità perseguite;
- in base ai principi di protezione dei dati by design e by default e di accountability, deve adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita ed essere in grado di dimostrare il rispetto di tali principi, anche quando utilizza programmi e servizi informatici realizzati da terzi.
Il Garante ha sanzionato un’amministrazione regionale per aver sistematicamente raccolto e conservato i metadati della posta elettronica dei dipendenti (ossia i dati esteriori afferenti alla corrispondenza e-mail, incluse le informazioni relative al mittente/destinatario e all’oggetto di ciascuna e-mail) in modo non conforme ai principi sul trattamento dei dati personali[xxxiv].
Non risultava rispettato il principio di liceità perché tali metadati erano conservati per 90 giorni, in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali.
Un arco temporale così ampio rendeva chiaro che la finalità di trattamento in concreto perseguita non fosse solo il funzionamento delle infrastrutture del sistema della posta elettronica e il suo regolare utilizzo, ma anche la tutela dell’integrità del patrimonio informativo e della sicurezza informatica. Ciò rendeva necessario espletare le garanzie previste dalla normativa lavoristica.
Inoltre, contrariamente a quanto esige il principio di accountability, il trattamento dei metadati di posta elettronica è stato effettuato in assenza di una preliminare DPIA.
Risulta chiaro che “i metadati, spesso considerati a basso rischio, possono in realtà essere altamente sensibili quando sono collegati all’identità e al comportamento dei dipendenti”[xxxv].
In linea con la prospettiva europea, l’IFPDT della Svizzera, nella linea guida sui mezzi tecnici di sorveglianza sul posto di lavoro, afferma che l’analisi dei metadati generati durante l’uso della posta elettronica da parte dei lavoratori costituisce uno strumento di sorveglianza particolarmente invasivo, in quanto vengono registrati dati che indicano chi ha fatto cosa, quando e con chi.
Il datore di lavoro, nel caso in cui intenda intraprendere un’analisi dei metadati di posta elettronica, deve rispettare, oltre che la normativa lavoristica che pone limiti stringenti ai sistemi di sorveglianza[xxxvi], quella sulla tutela dei dati personali[xxxvii].
Tra le forme possibili di analisi dei metadati (anonima, pseudonima o nominale) il datore di lavoro, conformemente al principio della proporzionalità, deve scegliere la forma più appropriata allo scopo perseguito (impedimento o individuazione di abusi) e la meno invasiva per i diritti della personalità del lavoratore.
Gestione degli account email degli ex dipendenti
Conservazione e gestione degli accounts e-mail degli ex dipendenti
In tema di conservazione e gestione degli accounts di posta elettronica di ex dipendenti l’autorità di tutela dei dati personali di Malta (Information and Data Protection Commissioner, IDPC) il 30 marzo 2025 ha pubblicato delle FAQ che indicano ai datori di lavoro come procedere nel rispetto delle norme sulla protezione dei dati personali[xxxviii].
Occorre premettere che, fin dall’inizio del rapporto di lavoro, i dipendenti devono essere informati chiaramente sull’approccio dell’istituzione alla gestione degli accounts e-mail. Questo dovrebbe essere definito in una policy interna comunicata efficacemente ai dipendenti, affinché comprendano cosa aspettarsi al momento della cessazione del rapporto.
L’IDPC raccomanda di adottare un approccio “leggi e firma”, per garantire che il dipendente abbia effettivamente letto la policy. Ciò discende dal principio di trasparenza, in base al quale le informazioni sul trattamento dei dati personali devono essere facilmente accessibili e comprensibili (in un linguaggio chiaro e semplice).
La policy dovrebbe indicare come organizzare la casella di posta, ad esempio creando una cartella separata per le e-mails personali, per facilitarne l’identificazione in caso di uscita del dipendente dall’istituzione.
Prima di lasciare l’istituzione, il dipendente deve avere la possibilità di copiare e cancellare eventuali e-mails personali o private, soprattutto se l’istituzione consente, entro certi limiti, l’uso personale dell’e-mail aziendale.
Una volta che un dipendente ha lasciato l’istituzione, il datore di lavoro potrebbe voler accedere al suo account e-mail per gestire i messaggi in arrivo e garantire la continuità aziendale. Tuttavia, l’interesse del datore di lavoro nel mantenere la business continuity deve essere bilanciato con i diritti alla protezione dei dati personali degli individui coinvolti.
L’azienda non dovrebbe implementare regole di inoltro automatico delle email inviate all’indirizzo del dipendente uscente, nemmeno verso un altro indirizzo interno. L’inoltro automatico delle email inviate alla casella di posta del dipendente uscente non è generalmente conforme al GDPR.
Anche se i datori di lavoro possono adottare policies interne che impongono l’uso dell’e-mail aziendale esclusivamente per scopi lavorativi, eventuali e-mails personali presenti nella casella di posta del dipendente rimangono comunque personali e non sono considerate proprietà del datore di lavoro.
Pertanto, impostare una regola di inoltro automatico che invii le e-mails ricevute all’indirizzo del dipendente uscente verso un altro dipendente comporterebbe il rischio di divulgazione non autorizzata di informazioni personali o sensibili e violerebbe il principio di minimizzazione, poiché l’inoltro automatico trasferisce indiscriminatamente tutti i messaggi in arrivo.
Per tutelare i diritti alla protezione dei dati e rispettare la privacy di tutte le persone coinvolte, è consigliabile che il datore di lavoro imposti un messaggio di risposta automatica sull’account e-mail del dipendente uscente. In tal modo, è il mittente a decidere se inoltrare o meno l’e-mail.
Il contenuto del messaggio dovrebbe:
(i) informare chiaramente il mittente che il destinatario previsto (cioè il dipendente uscente) non lavora più presso l’azienda;
(ii) fornire un contatto alternativo per eventuali richieste e indicare come raggiungerlo;
(iii) specificare un periodo di tempo entro il quale l’account e-mail continuerà a ricevere messaggi, e la data di chiusura dell’account.
Questo messaggio automatico non dovrebbe rimanere attivo indefinitamente, ma solo per un periodo ragionevole (ad esempio, un mese), tenuto conto delle circostanze specifiche.
Dopo la partenza del dipendente l’istituzione non deve consentire ad altri dipendenti l’accesso alla casella di posta del dipendente uscente. Questo include, ad esempio, l’invio di e-mails da quell’account come se provenissero dal dipendente stesso. Tale pratica sarebbe considerata invasiva e intrusiva.
Nel caso in cui arrivi un’e-mail nella casella del dipendente uscente che riguarda questioni personali, come buona prassi e nel pieno rispetto del diritto del dipendente alla tutela dei dati personali, il dipendente uscente dovrebbe avere la possibilità di recuperare o eliminare eventuali e-mails personali.
In Italia il Garante privacy ha tradizionalmente avuto un approccio molto rigoroso alla gestione da parte del datore di lavoro (in qualità di titolare del trattamento) delle caselle di posta elettronica nominative degli ex dipendenti (i soggetti interessati).
Nelle “Linee guida per posta elettronica e internet” il Garante ha affermato che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente”[xxxix].
Considerato che lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, il Garante ritiene conforme ai principi in materia di protezione dei dati – segnatamente ai principi di necessità, correttezza, pertinenza e proporzionalità/non eccedenza – che, dopo la cessazione del rapporto di lavoro, il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale.
Per quanto concerne l’accesso alla posta elettronica di un ex dipendente al fine di garantire la continuità aziendale, in numerosi provvedimenti il Garante ha puntualizzato che la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale, non dai sistemi di posta elettronica[xl].
Pertanto, il datore di lavoro, al fine di assicurare una ordinaria ed efficiente gestione dei flussi documentali aziendali, deve predisporre strumenti e tecniche meno invasive per il diritto alla riservatezza degli interessati, evitando di prendere visione delle comunicazioni in entrata o in uscita presenti nella casella di posta elettronica assegnata su base individuale all’ex dipendente.
Il Garante ritiene non conforme alla normativa sulla tutela dei dati personali il reindirizzamento automatico del flusso e-mail di account cessati, essendo un’operazione di trattamento che consente di conoscere alcune informazioni personali relative all’ex dipendente e altri soggetti interessati[xli].
È, invece, possibile conservare la casella di posta elettronica individuale per un ragionevole arco di tempo dopo la cessazione del rapporto di lavoro dell’utente, al fine di consentire a quest’ultimo di richiedere all’ex datore di lavoro di accedere al contenuto di eventuali messaggi a contenuto privato ricevuti prima della disattivazione[xlii].
Il tempo di disattivazione dell’account di un ex dipendente dev’essere “ragionevole”. Ciò significa che non possa essere determinato tenendo conto del solo o del prevalente interesse del titolare, dovendosi bensì trovare un equo contemperamento tra le esigenze datoriali e le legittime aspettative di riservatezza sulla corrispondenza da parte di dipendenti e terzi.
In un recente provvedimento, il Garante ha sanzionato un’Università per aver conservato i messaggi di posta elettronica contenuti nella casella nominativa per circa due anni dopo la cessazione dell’attività lavorativa dell’utente, spiegando che un tempo di conservazione tanto lungo non fosse giustificato dalla finalità di archiviazione e conservazione della documentazione amministrativa[xliii].
A livello europeo, le linee guida del GEPD forniscono alcune indicazioni utili nel caso in cui un datore di lavoro abbia necessità di accedere al contenuto delle caselle di posta dei dipendenti in loro assenza per motivi di continuità aziendale[xliv].
È consigliabile adottare misure precauzionali per ridurre la necessità di accedere alle caselle di posta personali a fini di continuità aziendale, assicurandosi che le e-mails pertinenti siano accessibili anche altrove (ad esempio, sistemi di gestione documentale, caselle funzionali, note di passaggio di consegne).
Se, nonostante tali misure, può rendersi necessario per l’istituzione accedere alla posta elettronica di un dipendente assente o di un ex dipendente, quest’attività dev’essere dettagliatamente disciplinata in una policy interna.
L’accesso alle e-mails può avvenire solo a determinate condizioni e con garanzie. La policy interna deve stabilire regole chiare per accedere alle e-mails. Tale accesso dovrebbe essere incrementale, ad esempio ricercando parole chiave e righe dell’oggetto specifiche prima di accedere al contenuto dei messaggi, informando il DPO e documentando tutta l’operazione in modo da poterne dimostrare la liceità.
Il GEPD ha precisato che in questi casi il consenso del dipendente non costituisce una base valida per la legittimità dell’accesso alla sua casella di posta elettronica da parte dell’istituzione.
In Svizzera, la linea guida dell’IFPDT sull’accesso alla posta elettronica dei collaboratori chiarisce in quali casi un datore di lavoro possa accedere alla posta elettronica di un dipendente in assenza di quest’ultimo, come in caso di uscita dall’azienda.
Ai fini della trasparenza e della prevedibilità, il datore di lavoro deve adottare un regolamento interno che specifichi, in modo chiaro e comprensibile, i diritti e gli obblighi di ciascuno riguardo all’utilizzo degli strumenti informatici.
Questo regolamento deve prevedere che:
(i) quando un dipendente lascia l’azienda, debba, prima di uscire, trasferire le e-mails di natura professionale pendenti al personale incaricato;
(ii) il dipendente deve avere la possibilità di copiare la sua posta elettronica privata su un supporto privato, nonché di cancellarla dai server del datore di lavoro;
(iii) i dati dell’account devono essere messi in sicurezza e, al più tardi l’ultimo giorno di lavoro, i diritti di accesso alla posta elettronica devono essere soppressi e la casella di posta elettronica dev’essere cancellata.
Le persone che inviano messaggi di posta elettronica al lavoratore dopo la sua partenza devono ricevere automaticamente un messaggio che le informa della soppressione dell’e-mail e che fornisce loro un indirizzo elettronico alternativo.
Diritto di accesso dei dipendenti ai dati personali nelle email aziendali
La richiesta di accesso del dipendente alle e-mails aziendali
Un tema abbastanza complesso che si pone riguardo alle e-mails aziendali nominative dei dipendenti è come gestire correttamente la richiesta di accesso ai dati personali ivi contenuti presentata dall’utente dopo la cessazione del suo rapporto di lavoro[xlv].
Il diritto di accesso ai sensi dell’art. 15 del GDPR è una delle forme di attuazione del principio di trasparenza e consente agli interessati di ottenere informazioni sul trattamento dei loro dati personali, in modo da poterne valutare la liceità.
Esso è di particolare importanza, in quanto consente agli interessati di far valere ulteriori diritti. Il diritto di accesso può essere esercitato senza dover fornire motivazioni e senza dover rispettare alcuna forma particolare. Richiedere “tutti i dati personali” è una richiesta sufficientemente precisa.
Tuttavia, non si tratta di un diritto assoluto, in quanto la necessità di valutare (anche) i diritti e le libertà delle parti coinvolte può limitare la portata del diritto di accesso. Vi sono spesso interpretazioni contrastanti della portata e del contenuto del diritto di accesso, il che ha dato luogo ad una cospicua giurisprudenza della CGUE e dei giudici nazionali degli Stati membri dell’UE.
Solo per fare qualche esempio, la CGUE ha stabilito che i titolari del trattamento sono tenuti, in linea generale, ad informare gli interessati dell’identità dei destinatari a cui sono stati comunicati i loro dati[xlvi]. L’indicazione delle categorie di destinatari è sufficiente solo in casi eccezionali.
Il diritto di accesso include anche le informazioni contenute nei dati di log, che documentano quando e perché è stato effettuato l’accesso ai dati[xlvii]. Tuttavia, è generalmente sufficiente informare gli interessati in merito alle richieste di dati registrati, senza menzionare i nomi dei dipendenti, tenuto conto dei diritti e delle libertà di costoro.
L’interessato ha diritto di ottenere, a titolo gratuito, una copia dei suoi dati personali oggetto di trattamento; ciò implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati[xlviii].
In un caso riguardante un interessato che aveva chiesto al titolare del trattamento la fornitura di una copia dei documenti, ossia i messaggi di posta elettronica e gli estratti di banche dati contenenti, tra l’altro, i suoi dati, “in un formato elettronico di uso comune” ai sensi dell’art. 15, comma 3 del GDPR, la Corte ha ribadito che il diritto di ottenere una copia “presuppone quello di ottenere copia di estratti di documenti o addirittura di documenti interi”, se la fornitura di una siffatta copia è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal regolamento[xlix].
Peraltro, la Corte ha precisato che, in caso di richiesta di accesso mediante mezzi elettronici, le informazioni da fornire all’interessato sono quelle relative ai dati personali oggetto di trattamento e non ai metadati relativi ai dati.
Nell’ambito di un rapporto di lavoro, “nel caso di una richiesta di accesso formulata in maniera generale, non è chiaro di per sé che il dipendente desideri ricevere tutti i dati di login dell’utente, i dati sull’accesso a un luogo di lavoro, i dati relativi ai pagamenti effettuati in mensa, i dati sui pagamenti dello stipendio, eccetera”.
Una richiesta di precisazione formulata dal datore di lavoro potrebbe ad esempio chiarire che al dipendente interessa comprendere o verificare a chi sia stata trasmessa la valutazione della sua prestazione.
Ad esempio, le linee guida chiariscono che “gli elementi utilizzati per decidere ad esempio in merito alla promozione, all’aumento di stipendio o al nuovo incarico di un dipendente sono dati personali che riguardano quel dipendente. L’interessato può quindi accedere a tali elementi su richiesta […]”.
In Francia l’autorità di tutela dei dati personali (CNIL) ha realizzato una linea guida su “Il diritto di accesso dei dipendenti ai propri dati e alle email professionali”[li].
Tra le indicazioni più interessanti, vi è quella che, quando l’interessato chiede di avere accesso alle e-mails, il datore di lavoro deve fornire sia i metadati (data e ora, destinatari…) che i dati personali contenuti nelle email. In questa situazione, sia la comunicazione di una copia delle email che l’invio di una tabella contenente i metadati e i dati personali contenuti nelle diverse e-mails soddisfa la richiesta di accesso.
Sempre con riguardo alla richiesta di accesso alle e-mails formulata da un lavoratore, il datore di lavoro deve tener presente che il diritto di accesso riguarda solo i dati personali del richiedente contenuti nelle e-mails e che occorre valutare l’eventuale lesione dei diritti di terzi derivante da tale comunicazione.
Quando il dipendente ha già avuto o si presume abbia avuto conoscenza delle informazioni contenute nei messaggi oggetto della richiesta di accesso, si può presumere che la comunicazione dei dati personali contenuti nelle e-mails o delle e-mails stesse sia rispettosa dei diritti dei terzi.
La linea guida sottolinea che le e-mails personali o il cui contenuto risulta privato, anche in assenza della dicitura “personale”, sono soggette a una protezione particolare legata al segreto della corrispondenza, e il datore di lavoro non è autorizzato ad accedervi.
La Corte di Cassazione francese ha affermato il principio che le e-mails inviate o ricevute dal dipendente tramite la sua casella di posta elettronica professionale costituiscono dati personali e, quindi, il dipendente ha il diritto di accedere a tali e-mails e il datore di lavoro deve fornirgli sia i metadati (data e ora, destinatari…) sia il contenuto, salvo che gli elementi la cui comunicazione è richiesta siano tali da ledere i diritti e le libertà altrui[liii].
La pronuncia del supremo organo giudiziario francese ha ridefinito gli equilibri tra il potere di controllo del datore di lavoro e il diritto alla privacy dei dipendenti[liv].
Sul piano pratico, la qualificazione delle e-mails professionali come dati personali potrà creare ostacoli alla prova per il datore di lavoro (che non può liberamente accedere alle e-mails inviate e ricevute da un dipendente sull’account aziendale, basandosi sulla mera presunzione che esse abbiano carattere professionale), una maggiore esposizione alle controversie con i dipendenti e conseguenze economiche per la necessità di gestire il prevedibile incremento delle richieste di accesso, rettifica o cancellazione[lv].
L’eventuale diniego da parte del datore di lavoro dell’accesso alle e-mails sull’account aziendale richiesto da un dipendente può esporre il datore di lavoro ad una condanna al risarcimento dei danni e rendergli impossibile avvalersi in giudizio di prove sfavorevoli al lavoratore raccolte in violazione della privacy di quest’ultimo.
L’ICO ha pubblicato delle Q&A per i datori di lavoro sulle richieste di accesso ai dati dei dipendenti[lvi].
Ad esempio, se un ex dipendente presenta una richiesta di accesso che riguarda le e-mails che ritiene siano state scambiate tra colleghi con i loro account di posta elettronica personali utilizzando laptop aziendali, il datore di lavoro non può essere considerato titolare del trattamento di tali informazioni personali e, quindi, non deve divulgarle.
Inoltre, un datore di lavoro potrebbe chiedersi se, per soddisfare la richiesta di un dipendente di ricevere le copie di tutte le e-mails che contengono il suo nome, si debbano fornire anche le e-mails su cui il dipendente è solo in copia conoscenza.
Il datore di lavoro deve tener presente che:
(i) il diritto di accesso si applica solo ai dati personali del richiedente contenuti nelle e-mails, il che vuol dire che potrebbe essere necessario divulgare un’intera e-mail o parte di essa;
(ii) il fatto che il contenuto di un’e-mail riguardi una questione aziendale non significa che non si tratti di dati personali del richiedente;
(iii) il fatto che il richiedente riceva l’e-mail non significa che l’intero contenuto dell’e-mail sia costituito da sue informazioni personali, fermo restando che il nome e l’indirizzo e-mail del richiedente sono dati personali e, quindi, gli vanno comunicati, dopo aver oscurato i dati personali di altri individui.
Un’altra importante precisazione contenuta nelle Q&A è che un datore di lavoro non può rifiutarsi di ottemperare ad una richiesta di accesso per la mera ragione che il lavoratore è parte di un procedimento giudiziario e potrebbe utilizzare i suoi dati personali per ottenere informazioni utili alla sua difesa. Tale diniego sarebbe possibile solo nel caso in cui ricorra una deroga al diritto di accesso (come nel caso di e-mails coperte dal privilegio legale ai sensi della legislazione locale[lvii]).
ICO sottolinea che, sebbene valgano regole specifiche per la divulgazione di informazioni nel corso di un procedimento giudiziario, il datore di lavoro deve ottemperare alla richiesta di accesso ai sensi della legge sui dati personali.
Note
[i] Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
[ii] Considerando 26 del RGPD.
[iii] Si veda il considerando 26, cit.
[iv] Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
[v] Sentenza del 20 dicembre 2017, causa C‑434/16, Peter Nowak contro Data Protection Commissioner, ECLI:EU:C:2017:994.
[vi] Sentenza del 19 ottobre 2016, causa C‑582/14, Patrick Breyer contro Bundesrepublik Deutschland, ECLI:EU:C:2016:779.
[vii] Sentenza del 7 marzo 2024, causa C-604/22, IAB Europe contro Gegevensbeschermingsautoriteit, ECLI:EU:C:2024:214. La CGUE ha precisato che la circostanza che, senza un contributo esterno, un’organizzazione di settore che detiene tale stringa non possa né accedere ai dati trattati dai suoi membri nell’ambito delle norme da essa stabilite né combinare detta stringa con altri elementi non osta a che la stessa stringa costituisca un dato personale ai sensi del RGPD.
[viii] Sentenza del 22 giugno 2021, causa C-439/19, Latvijas Republikas Saeima, EU:C:2021:504.
[ix] Sentenza del 9 novembre 2023, causa C‑319/22, Gesamtverband Autoteile-Handel e V contro Scania CV AB, ECLI:EU:C:2023:837.
[x] Sentenza del 7 marzo 2024, causa C‑479/22 P, OC contro Commissione europea, ECLI:EU:C:2024:215.
[xi] Sentenza del 21 dicembre 2016, cause riunite C‑203/15 e C‑698/15, ele2 Sverige AB contro Post-och telestyrelsen e Secretary of State for the Home Department contro Tom Watson e a., ECLI:EU:C:2016:970.
[xii] Sentenza del 4 settembre 2025, causa C‑413/23 P, Garante europeo della protezione dei dati (EDPS) contro Comitato di risoluzione unico (SRB) e Commissione europea, ECLI:EU:C:2025:645.
[xiii] Il concetto di dati personali è sempre stato ‘relativo’, nel senso che la valutazione se un’informazione costituisca un dato personale è sempre stata effettuata dal punto di vista dell’ente i cui obblighi in materia di protezione dei dati vengono valutati. Affermare che, con la sentenza EDPS contro SRB, siamo entrati in una nuova era per quanto concerne il concetto di dati personali richiederebbe la dimostrazione di un cambiamento significativo della giurisprudenza precedente. Tuttavia, tale sentenza non ha modificato la soglia estremamente elevata, risultante in particolare dalla sentenza Breyer (cit.), che dev’essere raggiunta per poter ritenere che un’informazione non riguardi una persona fisica “identificabile”. Sembra ancora corretto sostenere che “soltanto qualora il rischio di identificazione sia inesistente o insignificante un dato può giuridicamente sottrarsi alla qualificazione di «dato personale»” (Conclusioni dell’Avvocato Generale Dean Spielmann presentate il 6 febbraio 2025, nella causa EDPS contro SRB, ECLI:EU:C:2025:59).
[xiv] Si veda il considerando 14 del RGPD.
[xv] La ‘privacy’ tutela la sfera privata dell’individuo, mentre la ‘tutela dei dati personali’ protegge le informazioni che riguardano l’individuo. Da un lato, la privacy è un concetto più ampio della tutela dei dati perché non riguarda solo le informazioni, ma anche, ad esempio, gli spazi fisici o determinate azioni delle persone. Dall’altro, la privacy è più ristretta, perché la tutela dei dati si applica indipendentemente dal fatto che vi sia un’interferenza con la sfera privata.
[xvi] Ai sensi dell’art. 6(3) del Trattato sull’UE, “i diritti fondamentali, garantiti dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali […] fanno parte del diritto dell’Unione in quanto principi generali”.
[xvii] Si vedano la decisione 2000/518/EC della Commissione, del 26 luglio 2000, riguardante l’adeguatezza della protezione dei dati personali in Svizzera, confermata dalla Relazione della Commissione al Parlamento europeo e al Consiglio sulla “first review of the functioning of the adequacy decisions adopted pursuant to Article 25(6) of Directive 95/46/EC”, COM(2024) 7, e la decisione di esecuzione (UE) 2021/1772 della Commissione, del 28 giugno 2021, a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali da parte del Regno Unito (che scadrà il 27 dicembre 2025 e di cui la Commissione ha pubblicato il 22 luglio 2025 una bozza di decisione di estensione del termine di efficacia).
[xviii] Corte EDU (Grande Camera), sentenza 5 settembre 2017, ricorso n. 61496/08, Bărbulescu contro Romania.
[xix] Secondo la Corte non era chiaro che fosse stato informato del monitoraggio delle sue comunicazioni prima che tale operazione di monitoraggio avesse avuto luogo. In ogni caso, non risultava che il ricorrente fosse stato informato in anticipo dell’entità e della natura delle attività di monitoraggio del suo datore di lavoro, né della possibilità che il datore di lavoro potesse avere accesso al contenuto effettivo delle sue comunicazioni.
[xx] Corte Suprema di Cassazione, sez. lavoro, sentenza del 29 agosto 2025, n. 24204.
[xxi] Il Gruppo di lavoro è stato istituito in virtù dell’art. 29 della direttiva 95/46/CE (abrogata e sostituita nel 2018 dal RGPD). È stato l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti erano fissati all’art. 30 della direttiva 95/46/CE e all’art. 15 della direttiva 2002/58/CE.
[xxii] Parere 2/2017 sul trattamento dei dati personali sul luogo di lavoro, adottato l’8 giugno 2017.
[xxiii] Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, WP 55 del 29 maggio 2002.
[xxiv] Si veda il Parere 2/2017.
[xxv] Si veda il Documento di lavoro WP 55 dove si legge anche: “consentire ai dipendenti l’impiego di un indirizzo privato o di webmail, potrebbe contribuire a risolvere in modo pragmatico il problema in questione. Una raccomandazione del datore di lavoro in tal senso chiarirebbe la distinzione tra messaggi di posta elettronica destinati ad uso professionale e quelli con finalità private e ridurrebbe la possibilità che i datori di lavoro invadano la sfera privata dei loro dipendenti. Esso comporterebbe inoltre un costo aggiuntivo nullo o minimo per il datore di lavoro”.
[xxvi] Guidelines on personal data and electronic communications in the EU institutions, dicembre 2015. Queste linee guida sono basate sul Regolamento (UE) 2018/1725 (cit.), che detta una disciplina largamente sovrapponibile a quella del RGPD.
[xxvii] L’art. 26 dell’Ordinanza 3 concernente la legge sul lavoro (OLL 3) dispone: “non è ammessa l’applicazione di sistemi di sorveglianza e di controllo del comportamento dei lavoratori sul posto di lavoro. I sistemi di sorveglianza o di controllo, se sono necessari per altre ragioni, devono essere concepiti e disposti in modo da non pregiudicare la salute e la libertà di movimento dei lavoratori”.
[xxviii] Linea guida su ‘Employment practices and data protection: monitoring workers’, pubblicata il 3 ottobre 2023.
[xxix] Provvedimento n. 364 del 6 giugno 2024.
[xxx] Il Garante ha affermato che, anche nel contesto lavorativo, sussiste una legittima aspettativa di riservatezza in relazione alla corrispondenza e, analogamente, agli elementi ricavabili dai dati esteriori della stessa, che ne definiscono i profili temporali (come la data e l’ora di invio/ricezione), nonché gli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo.
[xxxi] Art. 88 del RGPD sul trattamento dei dati nell’ambito dei rapporti di lavoro.
[xxxii] Si veda l’art. 4, comma 1 della L. 20 maggio 1970, n. 300, Statuto dei lavoratori (“gli […] strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo [sindacale o] previa autorizzazione […] dell’Ispettorato nazionale del lavoro), richiamato dall’art. 114 del Decreto legislativo, 30 giugno 2003, n. 196 (Codice della Privacy). Si veda altresí l’art. 115 del Codice della Privacy (“nell’ambito del rapporto di lavoro domestico del telelavoro e del lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale”).
[xxxiii] L’art. 4, comma 2, dello Satuto dei lavoratori prevede che le garanzie di cui al comma 1 non siano richieste per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (oltre che per quelli di registrazione degli accessi e delle presenze al lavoro).
[xxxiv] Provvedimento n. 243 del 29 aprile 2025 nei confronti della Regione Lombardia, avente ad oggetto trattamenti di dati personali posti in essere da ARIA (il trattamento dei metadati della posta elettronica in uso dei lavoratori, il trattamento dei log di navigazione in Internet del personale dipendente e il trattamento dei dati relativi alle richieste di assistenza tecnica del personale dipendente).
[xxxv] G. Coraggio, Il Garante emette la prima sanzione ai sensi del GDPR per violazione della privacy sui metadati delle e-mail dei dipendenti in Italia, pubblicato il 3 giugno 2025 su Diritto al digitale.
[xxxvi] Si veda l’art. 26 OLL 3, cit. Al riguardo l’IFPDT ha puntualizzato che “non è tanto il tipo di sorveglianza o i suoi effetti in quanto tali che determinano se una sorveglianza è ammissibile o meno, ma piuttosto le ragioni che hanno determinato il suo impiego o gli obiettivi perseguiti. Un sistema di sorveglianza è pertanto vietato se persegue unicamente o essenzialmente la sorveglianza del comportamento in quanto tale dei lavoratori. Il suo impiego non è per contro vietato se giustificato da motivi legittimi, come esigenze di sicurezza o motivi inerenti all’organizzazione o alla pianificazione del lavoro. Occorre comunque che il sistema scelto sia proporzionato e che i lavoratori siano stati preventivamente informati”.
[xxxvii] Si tratta della legge federale sulla protezione dei dati (LPD) del 25 settembre 2020 e dell’ordinanza sulla protezione dei dati (OPDa) del 31 agosto 2022.
[xxxviii] ‘Employment Sector FAQs’ pubblicate il 30 maggio 2025.
[xxxix] Provvedimento del 1° marzo 2007, n. 13.
[xl] Provvedimento del 27 novembre 2024, n. 732.
[xli] Si veda, inter alia, il Provvedimento del 23 giugno 2025, n. 364.
[xlii] Si veda il Provvedimento del 27 novembre 2024, n. 732, cit.
[xliii] Provvedimento del 10 luglio 2025, n. 386.
[xliv] ‘Guidelines on personal data and electronic communications in the EU institutions’, cit.
[xlv] Ai sensi dell’art. 15, comma 1 RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e ad una serie di informazioni sul trattamento.
[xlvi] Si veda la sentenza del 12 gennaio 2023, causa C‑154/21, RW contro Österreichische Post AG, ECLI:EU:C:2023:3.
[xlvii] Si veda la sentenza del 22 giugno 2023, causa C-579/21, J.M., ECLI:EU:C:2023:501.
[xlviii] Si veda la sentenza del 26 ottobre 2023, causa C‑307/22, FT contro DW, ECLI:EU:C:2023:811.
[xlix] Sentenza del 4 maggio 2023, causa C-487/21, F.F. contro Österreichische Datenschutzbehörde, ECLI:EU:C:2023:369. La CGUE ha precisato che una copia è una riproduzione dei dati personali trattati. Solo se indispensabile, devono essere forniti i documenti allegati (che descrivono il contesto) e i contratti. Pertanto, quando i dati personali sono generati da altri dati o quando si basano su campi liberi, ovvero su un’indicazione mancante da cui si ricavano informazioni sull’interessato, il contesto in cui tali dati sono oggetto di trattamento è indispensabile per fornire all’interessato informazioni trasparenti e una presentazione intelligibile di tali dati.
[l] Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, versione 2.1, adottate il 28 marzo 2023.
[li] ‘Le droit d’accès des salariés à leurs données et aux courriels professionnels’, 5 gennaio 2022.
[lii] La CNIL sottolinea che la fissazione di tempi ragionevoli per la conservazione delle e-mails contribuisce a rendere meno onerose le richieste di accesso alle e-mails da parte dei soggetti interessati.
[liii] Si veda la sentenza del 18 giugno 2025, n. 668, ECLI:FR:CCASS:2025:SO00668.
[liv] Si veda A. Pouet ‘Requalification des mails professionnels, boîte de pandore numérique ou rééquilibre des droits?’, pubblicato il 4 luglio 2025 sul sito ‘Village de la justice’.
[lv] Si veda A. Pouet ‘Requalification des mails professionnels, boîte de pandore numérique ou rééquilibre des droits?’, cit.
[lvi] ICO, ‘Subject access request Q and As for employers’, che è in corso di aggiornamento per via della riforma della normativa sulla tutela dei dati personali con l’emanazione, il 19 giugno 2025, del ‘Data Use and Access Act’.
[lvii] Il ‘Data Use and Access Act’ ha formalizzato la deroga al diritto di informazione dell’interessato per le “informazioni in relazione alle quali potrebbe essere mantenuto un diritto al segreto professionale legale o, in Scozia, alla riservatezza delle comunicazioni in procedimenti legali o [le] informazioni in relazione alle quali un consulente legale professionista ha un obbligo di riservatezza nei confronti di un cliente del consulente”.
