Negli ultimi mesi uno dei temi più caldi per chi si occupa di data protection non può che essere quello della gestione delle e-mail aziendali. Vi sono state linee guida, provvedimenti, indicazioni di ACN. Alcune fonti risultano condivisibili, altre meno; alcune risultano perfettamente integrabili ed altre, purtroppo, appaiono in contrasto con il disegno generale.
Ma come deve comportarsi un DPO, un consulente o anche solo un imprenditore, per gestire correttamente le e-mail dei propri dipendenti?
La risposta è articolata ma possiamo così sintetizzarla:
- mappare i trattamenti in modo dettagliato;
- fornire informativa chiara;
- fornire policy su utilizzo mail che sia ritagliata sul caso concreto;
- definire retention di dettaglio, considerando anche log, metadati, backup ed ogni trattamento solitamente considerato accessorio.
Indice degli argomenti
Informativa privacy e gestione delle e-mail aziendali
Cerchiamo di andare nel dettaglio, partendo dall’adempimento più importante: l’informativa.
Come sappiamo, è necessario che ogni azienda si doti di un’informativa privacy da consegnare ai propri collaboratori.
Secondo le ormai note Linee Guida per la posta elettronica sul posto di lavoro, emanate dal Garante Privacy, sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati. In tale contesto, ogni trattamento deve essere ispirato a principi generali di trasparenza, minimizzazione e necessarietà.
Questo significa che il titolare aziendale, al momento dell’inizio del rapporto di lavoro, o di collaborazione che sia, deve fornire al lavoratore ogni utile informazione per comprendere al meglio il perimetro di regole entro cui le parti in causa potranno muoversi.
In particolare, in base agli orientamenti via via creatisi, l’informativa deve indicare tutte le tipologie di trattamento. Attenzione, non basta il generico richiamo ai trattamenti relativi alla gestione del rapporto di lavoro! Bisogna indicare ogni trattamento in modo dettagliato. Ad esempio, è necessario indicare se si trattano dati come log e metadati, se è prevista una conservazione dei dati anche dopo la cessazione del rapporto, se e in che casi possiamo accedere alle mail aziendali affidate al lavoratore, se esistono strumenti di controllo delle mail di lavoro, ecc. ecc.
Per fare questo è importante, come si diceva, procedere con una mappatura di dettaglio di tutte le attività di trattamento poste in essere in azienda. Ancora una volta, vincerà chi eviterà modelli precompilati, perché, come vedremo, in caso di contestazione questi non reggono, esponendo il titolare a contestazioni e sanzioni anche molto aspre.
Consegna dell’informativa e orientamenti della giurisprudenza
Una volta redatta l’informativa, dovrà essere consegnata in modo corretto. Ebbene, anche qui la giurisprudenza è intervenuta con indicazioni le quali tuttavia non giungono a delineare un orientamento unitario.
La Corte di Appello di Milano, con Sentenza 1147 del 2025, ha infatti previsto che la pubblicazione dell’informativa sulla intranet aziendale non è sufficiente a soddisfare le esigenze dei lavoratori. L’informativa deve essere consegnata direttamente al singolo lavoratore ed il datore deve farsi parte diligente per garantire che ciò sia avvenuto.
Tale previsione appare, a parere di chi scrive, piuttosto stringente, non a caso, una Cassazione del 2026, la 7985, giunge ad affermare un principio diametralmente opposto, ritenendo legittimo l’invio di una policy tramite pubblicazione sulla rete informatica aziendale, per invio massivo, richiamando a sua volta diverse decisioni conformi. Dovendo scegliere, suggerirei di adeguarsi a questo orientamento in quanto più solido e più vicino alle esigenze dell’imprenditore.
Policy aziendale per strumenti IT ed e-mail
Quale che sia la modalità scelta per la consegna dell’informativa, è importante che essa sia affiancata ad una policy/regolamento aziendale sull’utilizzo degli strumenti IT e delle e-mail.
Anche qui, è chiaro che l’utilizzo di policy standardizzate non avrà effetto alcuno, esponendo il Titolare del Trattamento a sanzioni.
Ricordiamo, sul punto che il Garante è più volte partito da un assunto ormai granitico: in mancanza di indicazioni chiare, il dipendente ha una legittima aspettativa di riservatezza, potendo quindi essere portato a comportarsi in modo più libero. Sarebbe iniquo sottoporlo ad un controllo ex post su attività che pensava di fare in un regime di libertà.
In tal senso il Garante afferma: “l’assenza di una esplicita policy al riguardo può determinare una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione (Provv. 22.12.2016)”
Ora, mentre nell’informativa bisogna descrivere il trattamento dati, nella policy è necessario indicare come usare gli strumenti e come il datore potrebbe utilizzarli per effettuare alcuni dei trattamenti indicati in informativa. Tra questi, i trattamenti che hanno destato maggiori problematiche sono quelli riguardanti i controlli difensivi e quelli riguardanti i log e metadati.
Controlli difensivi sulle mail aziendali
In entrambi i casi la disamina parte dal dettato dell’art 4 dello statuto dei lavoratori il quale consente talune tipologie di controllo al ricorrere di ben determinate condizioni.
Ebbene, per quanto attiene ai controlli difensivi, la Corte di Cassazione (cfr. Cass. lav. n. 5209/2024; Cass. lav. n. 25732/2021, Cass. lav. n. 34092/2021) ha precisato che sono legittimi controlli difensivi da parte del datore di lavoro sul lavoratore, se essi sono mirati a evitare comportamenti illeciti, purché esista un fondato sospetto circa la commissione dell’illecito e sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali rispetto alle tutele della dignità e riservatezza del lavoratore.
Segnatamente, la Corte ha stabilito che qualsiasi controllo deve essere limitato al tempo e alle informazioni strettamente necessari a verificare il sospetto, in modo da non intaccare indebitamente la privacy del lavoratore. Non solo, secondo la giurisprudenza più ricorrente, qualsiasi controllo deve essere attuato ex-post, ossia a seguito del presunto comportamento illecito del lavoratore; spetta al datore di lavoro dimostrare e documentare le ragioni che hanno portato a eseguire il controllo.
Accesso alla casella di posta elettronica del dipendente
Dello stesso parere anche il Garante per la protezione dei dati personali che, proprio con riferimento all’accesso alla casella di posta elettronica del dipendente (v. tra gli altri le Linee guida per posta elettronica e Internet in materia di lavoro, nonché i provvedimenti n. 53/2018, n. 216/2019 e l’ordinanza di ingiunzione del 29 ottobre 2020 doc. 9518890) ha specificato che l’accesso ai dati contenuti nelle caselle di posta elettronica dei dipendenti è lecito esclusivamente se è già esistente un concreto, fondato sospetto di commissione di illeciti, e a condizione che:
- il dipendente sia stato preventivamente informato circa le modalità d’uso degli strumenti e di effettuazione dei controlli (quindi, tramite policy)
- vengano rispettati i principi di minimizzazione e limitazione della conservazione dei dati, in conformità alle disposizioni del Codice Privacy e del GDPR;
- il controllo (e l’eventuale conservazione dei messaggi “incriminati”) sia mirato a tutelare i diritti e il patrimonio aziendale, se del caso anche in sede giudiziale.
Non va del resto dimenticato come l’importanza di una policy e di una informativa, sia al centro del famoso caso Barbulescu c. Romania, sentenza della Grande Camera del 5 settembre 2017, con cui la Corte Europea dei diritti dell’uomo, ha ritenuto che lo Stato rumeno avesse tenuto un comportamento non conforme alle garanzie accordate dalla norma della Convenzione in quanto, tra l’altro, aveva omesso di accertare se il lavoratore avesse ricevuto una preventiva informazione dal suo datore di lavoro della possibilità che le sue comunicazioni interne aziendali potessero essere controllate e come ciò sarebbe potuto avvenire.
Log, metadati, backup e data retention delle e-mail aziendali
Allo stesso modo il Garante Privacy ha di recente sanzionato una società per non aver fornito chiare istruzioni ai dipendenti in merito ai trattamenti di dati di traffico mail salvati su backup aziendali.
Dice il Garante nel provvedimento del 12 marzo 2026: “nel caso di specie, infatti, le informative prodotte in atti (all. 6 e 12 alla nota del 06/12/2023) e il documento recante “Regole di utilizzo degli strumenti informatici” (all. 4 alla citata nota) contengono solo informazioni relative alla conservazione della posta elettronica”, non risultando sufficienti.
Anche per questo è importante che le indicazioni al dipendente si estendano ai trattamenti, spesso considerati accessori, ma comunque fondamentali, precisando altresì il periodo di data retention. Sul punto vale la pena di ricordare come, nel medesimo provvedimento il Garante abbia ritenuto eccessiva la retention del backup per un periodo di 5 anni, anche se del tutto scollegato dalla rete e dagli altri sistemi. Ricorda il Garante “la conservazione di documentazione necessaria per l´ordinario svolgimento e la continuità dell´attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell´ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l´adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche”
Sempre parlando di trattamenti, per così dire, accessori, non possiamo non ricordare il discusso provvedimento del 6 giugno del 2024 con cui il Garante Privacy, ritornando sul tema dell’art 4 dello Statuto dei Lavoratori, ha stabilito che affinché sia ritenuto applicabile il comma 2 dell’art. 4, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, può essere effettuata per un periodo limitato a pochi giorni, orientativamente 21, oltre i quali si esce dalla deroga e sarà quindi necessario procedere con accordo sindacale o autorizzazione tramite ispettorato del lavoro oltre, naturalmente ad una apposita valutazione di impatto. Anche qui, il titolare non potrà quindi fermarsi a indicazioni generiche o a presunzioni, dovendo analizzare nel dettaglio i trattamenti eseguiti dai propri sistemi, procedendo con valutazioni di accountability e, ove possibile, riducendo al massimo la data retention dei log.
Cessazione del rapporto e chiusura dell’account e-mail aziendale
Da ultimo, volendo chiudere il quadro dei principali adempimenti richiesti ad un datore di lavoro in tema di gestione della mail aziendale, non possiamo non ricordare l’ormai assodato principio in base al quale, in caso di cessazione del rapporto, il datore di lavoro deve chiudere l’account dell’email aziendale affidato al dipendente e non può mantenerlo attivo o affidarlo ad un altro dipendente. Al datore è consentito impostare un risponditore automatico per avvisare i mittenti della chiusura dell’indirizzo e invitarli ad utilizzare indirizzi alternativi, non essendo tuttavia consentito in alcun modo l’utilizzo di redirect automatici ad altro indirizzo in quanto ciò violerebbe la legittima aspettativa di riservatezza sulla corrispondenza da parte dei mittenti.
