Last Updated on Aprile 17, 2026
Con la newsletter del 15 aprile, il Garante della Privacy ha emanato il provvedimento n. 165 del 12 marzo 2026 con il quale ha sanzionato una società per aver gestito in modo non conforme l’accesso di un ex dipendente alla propria casella di posta elettronica aziendale, nonché per le modalità di conservazione e trattamento delle e-mail e dei log di internet.
Accesso alla posta elettronica aziendale
Il Provvedimento trae origine dal reclamo di un ex lavoratore che, a seguito della cessazione del rapporto, aveva richiesto l’accesso ai dati contenuti nella propria casella e-mail aziendale. In particolare, la società aveva fornito le sole comunicazioni ritenute «personali», escludendo quelle di carattere lavorativo, sul presupposto – ritenuto errato dal Garante – che tali contenuti fossero di esclusiva titolarità aziendale. L’impresa aveva inoltre proceduto a operazioni di selezione e anonimizzazione dei contenuti.
Nel motivare la propria decisione, il Garante chiarisce che il diritto di accesso si estende a tutti i dati personali riferibili all’interessato, anche quando inseriti nelle comunicazioni di lavoro. Ciò in quanto la distinzione tra sfera privata e professionale non è netta: anche nell’ambito lavorativo si sviluppano relazioni che rientrano nella nozione di «vita privata» e di «corrispondenza», e come tali sono protette. Ne deriva che il datore di lavoro non può filtrare preventivamente i contenuti della casella e-mail né limitare l’accesso alle sole comunicazioni personali.
In tale contesto, il Garante ribadisce che il diritto di accesso può essere limitato solo nelle ipotesi tassativamente previste dal GDPR, ossia in caso di richieste manifestamente infondate o eccessive oppure quando ciò sia necessario per tutelare i diritti e le libertà altrui. Con riferimento a quest’ultima ipotesi, l’Autorità ricorda che tra i diritti tutelabili rientrano anche il segreto industriale e commerciale e la proprietà intellettuale. Tuttavia, il loro richiamo non è di per sé sufficiente a giustificare una limitazione del diritto di accesso poiché il titolare deve dimostrare, in concreto, che l’adempimento della richiesta comporterebbe un effettivo pregiudizio.
Nel caso di specie, tale dimostrazione non è stata fornita. Da un lato, i dati riferiti a terzi erano contenuti in comunicazioni già conosciute dall’interessato, rendendo non necessarie le operazioni di oscuramento; dall’altro, la società non ha prodotto elementi idonei a comprovare che l’accesso alla corrispondenza potesse determinare un rischio effettivo per la riservatezza dei terzi o per la segretezza delle informazioni aziendali. In linea con tali principî si pone altresì il Provvedimento n. 121 del 26 febbraio scorso, nel quale il Garante ha ribadito come il diritto di accesso sia pienamente esercitabile anche con riferimento a documenti o informazioni già in possesso dell’interessato. Nel caso esaminato, infatti, l’Autorità ha riconosciuto la legittimità della richiesta avanzata da un ex dipendente volta a ottenere copia della documentazione contrattuale relativa al rapporto di lavoro, chiarendo che la pregressa disponibilità dei dati non esaurisce né limita il diritto di accesso.
Conservazione dell’e-mail e dei log di internet
Il Garante affronta anche il tema della conservazione delle e-mail aziendali ritenendo non conforme:
- il backup per un periodo di 5 anni;
- l’assenza di un’informativa ai lavoratori chiara e completa circa tali trattamenti;
- la mancata coerenza tra informativa e policy aziendali che indicavano tempi di conservazione differenti.
L’Autorità ribadisce inoltre che la posta elettronica, per sua natura, non costituisce strumento idoneo per la conservazione strutturata della documentazione aziendale, che deve invece essere gestita attraverso sistemi documentali dedicati.
Per quanto attiene ai log di navigazione in internet, la società ne prevedeva la conservazione per 12 mesi, per finalità non solo di sicurezza informatica ma anche di difesa in giudizio. Tuttavia, questa scelta aziendale comporta, ad avviso del Garante, la possibilità di monitorare l’attività dei dipendenti.
A questo proposito, è particolarmente importante il richiamo alla normativa sui controlli a distanza dei lavoratori: strumenti come e-mail e log informatici, quando utilizzati in modo tale da consentire il controllo dell’attività lavorativa, possono essere impiegati solo nel rispetto delle specifiche garanzie procedurali previste dall’art. 4, comma 1, dello Statuto dei Lavoratori, ossia previo accordo sindacale o autorizzazione dell’Ispettorato Territoriale del Lavoro.
Il Provvedimento conferma che l’adozione di strumenti informatici aziendali richiede una valutazione integrata sotto il profilo privacy e lavoristico; Toffoletto De Luca Tamajo è a disposizione per supportarVi nell’individuazione delle soluzioni più adeguate.
Per maggiori informazioni: comunicazione@toffolettodeluca.it
