Con il provvedimento del 12 marzo 2026, il Garante per la protezione dei dati personali interviene nuovamente sul tema della gestione della posta elettronica aziendale nel contesto lavorativo, consolidando un orientamento interpretativo già emerso in precedenti decisioni ma portandolo a un livello di applicazione particolarmente incisivo per le imprese.
Indice degli argomenti
Il caso: un ex dipendente chiede accesso integrale alle proprie e-mail
Il caso trae origine dal reclamo di un ex dipendente che, a seguito della cessazione del rapporto di lavoro, aveva esercitato il diritto di accesso ai sensi dell’art. 15 GDPR, richiedendo copia integrale delle e-mail presenti nella propria casella aziendale individualizzata. La società aveva riscontrato la richiesta in modo selettivo, limitando l’accesso alle sole comunicazioni ritenute personali ed escludendo quelle attinenti all’attività lavorativa o contenenti informazioni aziendali riservate.
La decisione: violazione del GDPR e sanzione da 50.000 euro
Il Garante ha ritenuto tale comportamento non conforme alla normativa, accertando la violazione degli artt. 12 e 15 del GDPR e ordinando alla società di consentire l’accesso integrale alla corrispondenza, oltre a irrogare una sanzione amministrativa pari a 50.000,00 euro.
La casella nominativa è dato personale: il diritto di accesso si estende a tutto il contenuto
Il punto centrale del provvedimento riguarda la qualificazione giuridica della casella di posta elettronica individualizzata. Secondo l’Autorità, tutte le comunicazioni che transitano su un account nominativo sono riconducibili a dati personali del lavoratore, indipendentemente dalla loro natura professionale o personale. Ne consegue che il diritto di accesso si estende all’intero contenuto della casella, senza che il datore di lavoro possa operare una selezione preventiva.
La tutela della vita privata si applica anche in ambito lavorativo
Questa impostazione si fonda su una lettura ampia del concetto di dato personale e trova ulteriore supporto nella giurisprudenza della Corte europea dei diritti dell’uomo, secondo cui anche le comunicazioni effettuate in ambito lavorativo rientrano nella sfera della vita privata tutelata dall’art. 8 CEDU.
Le criticità operative per le imprese: patrimonio informativo a rischio
Tuttavia, l’applicazione di tale principio in termini così estensivi solleva rilevanti criticità operative. In particolare, viene significativamente ridimensionato il potere dell’impresa di tutelare il proprio patrimonio informativo, poiché viene meno la possibilità di filtrare contenuti che possono includere informazioni riservate, strategiche o coperte da segreto aziendale.
Anonimizzazione vietata salvo prova del danno: un onere probatorio difficilmente sostenibile
Ancora più problematica appare la posizione del Garante in relazione all’anonimizzazione. L’Autorità ha infatti ritenuto illecito l’oscuramento dei dati di terzi o di informazioni sensibili, salvo che il titolare del trattamento sia in grado di dimostrare concretamente il rischio di un pregiudizio effettivo ai diritti e alle libertà altrui.
Si tratta di un onere probatorio particolarmente gravoso, che nella pratica rischia di risultare difficilmente sostenibile, soprattutto in contesti complessi in cui le comunicazioni aziendali coinvolgono una pluralità di soggetti e interessi, spesso tra loro confliggenti.
Conservazione delle e-mail: i backup pluriennali violano il principio di minimizzazione
Il provvedimento affronta anche il tema della conservazione delle e-mail aziendali, censurando la prassi – piuttosto diffusa – di mantenere i backup per periodi prolungati, nel caso di specie pari a cinque anni. Secondo il Garante, tale modalità di conservazione viola i principi di minimizzazione e limitazione della conservazione, in quanto non necessaria né proporzionata rispetto alle finalità perseguite.
L’Autorità ribadisce inoltre che la posta elettronica non dovrebbe essere utilizzata come strumento di archiviazione documentale, invitando le aziende a dotarsi di sistemi di gestione documentale più strutturati, idonei a garantire requisiti di integrità, autenticità e reperibilità delle informazioni.
Una posizione non allineata con le esigenze concrete delle imprese
Anche su questo punto, tuttavia, la posizione del Garante appare non pienamente allineata con le esigenze concrete delle imprese, che spesso devono conservare informazioni per periodi significativi per finalità legali, regolatorie o difensive, anche alla luce dei termini di prescrizione applicabili e delle esigenze di tracciabilità dei flussi informativi.
Backup e log di navigazione: il Garante li riconduce ai controlli a distanza
Un ulteriore profilo di rilievo riguarda la qualificazione del backup delle e-mail e della conservazione dei log di navigazione come strumenti potenzialmente idonei a consentire un controllo a distanza dei lavoratori. In tal senso, il Garante ha ritenuto applicabile la disciplina di cui all’art. 4 dello Statuto dei lavoratori, con conseguente necessità di rispettare le relative garanzie procedurali.
Questa interpretazione amplia in modo significativo l’ambito di applicazione della normativa sui controlli a distanza, includendo strumenti che, nella prassi aziendale, sono generalmente adottati per finalità di sicurezza informatica e continuità operativa, piuttosto che per il monitoraggio sistematico dell’attività dei dipendenti.
Una tutela sempre più ampia dell’interessato: le implicazioni per le organizzazioni
Nel complesso, il provvedimento conferma una tendenza ormai evidente del Garante a privilegiare una lettura fortemente orientata alla tutela dell’interessato, anche nel contesto lavorativo, spingendo l’applicazione dei principi del GDPR fino a incidere in modo significativo sull’organizzazione aziendale.
Se sul piano dei principi tale impostazione appare difficilmente contestabile, sul piano applicativo emergono tuttavia criticità rilevanti. L’estensione pressoché integrale del diritto di accesso alla casella e-mail aziendale, unita alla compressione degli strumenti di selezione e anonimizzazione, rischia infatti di compromettere la capacità delle imprese di proteggere informazioni riservate e asset strategici.
La casella e-mail aziendale tra compliance e operatività: un equilibrio ancora da trovare
Analogamente, la lettura particolarmente rigorosa dei principi di minimizzazione e limitazione della conservazione, così come l’inquadramento di strumenti tecnici – quali backup e log – nell’ambito dei controlli a distanza, finisce per sovrapporre esigenze di compliance e esigenze operative in modo non sempre equilibrato, generando margini di incertezza interpretativa.
Il risultato è un quadro in cui la casella e-mail aziendale assume una natura sempre più “ibrida”, difficilmente governabile: da un lato strumento di lavoro dell’impresa, dall’altro spazio pienamente riconducibile alla sfera personale del lavoratore. Una qualificazione che, se portata alle sue estreme conseguenze, rischia di generare incertezza applicativa e un significativo aumento del rischio legale per le organizzazioni.
In questa prospettiva, il provvedimento sembra segnare un ulteriore passo verso un modello in cui il bilanciamento tra diritti dell’interessato e libertà d’impresa si sposta in modo deciso a favore dei primi, lasciando tuttavia aperta la questione – tutt’altro che marginale – della sostenibilità operativa di tale approccio nel contesto aziendale e della sua effettiva compatibilità con le dinamiche organizzative delle imprese.
