La casella e-mail aziendale intestata al dipendente è un “contenitore” di dati personali.

Nota a Provv. GPDP 12 marzo 2026, n. 165

Fabrizio Girolami

Il Garante per la privacy – con il provvedimento n. 165 del 12.3.2026 – ha ingiunto a una Società per azioni operante nel settore assicurativo il pagamento di una sanzione amministrativa pecuniaria (Euro 50.000) per “illecito trattamento di dati personali”, consistente nel mancato riscontro al diritto di “accesso” ai dati contenuti nella casella e-mail aziendale intestata al lavoratore e nella conservazione – per un notevole periodo di tempo e senza adeguata base giuridica – del contenuto della posta elettronica e dei log di accesso a Internet, in violazione degli artt. 5, par. 1, lett. a), b), c), e), 13, 12, 15 e 88, del Regolamento (UE) 2016/679 (GDPR) e dell’art. 114, D.Lgs. n. 196/2003 (Codice privacy).

La vicenda trae origine dal reclamo presentato da un lavoratore il quale, alla cessazione del proprio rapporto, aveva chiesto alla Società di accedere ai documenti/cartelle personali presenti sul pc e nella casella di posta elettronica aziendale di tipo “individualizzato” (ossia nome.cognome@azienda.it), utilizzata nel corso del rapporto. La Società  aveva fornito un riscontro parziale, consentendo l’accesso del lavoratore al desktop e il recupero dei documenti; invece, relativamente alla posta elettronica, la Società aveva operato un filtro preventivo: da un lato, aveva consegnato alcune comunicazioni ritenute “di carattere strettamente personale” (scambi con familiari, CU personali, rimborsi spese), e, dall’altro, aveva trattenuto quelle valutate “professionali”, ossia afferenti all’attività lavorativa e/o non a contenuto personale, invocando esigenze di riservatezza e tutela del patrimonio informativo aziendale.

A conclusione del procedimento, il Garante ha osservato quanto segue:

  • in materia di diritto d’accesso dell’ex dipendente alla propria casella di posta elettronica aziendale, occorre richiamare preliminarmente il costante orientamento della Corte europea dei diritti dell’uomo (CEDU), la quale ha osservato come la “linea di confine tra ambito lavorativo/professionale e ambito strettamente privato” non sempre può essere tracciata con chiarezza, motivo per cui deve ritenersi applicabile, anche all’ambito lavorativo, l’art. 8 della CEDU posto a tutela della vita privata. Pertanto, anche le comunicazioni di tipo elettronico scambiate sul luogo di lavoro rientrano, quindi, nelle nozioni di “vita privata” e di “corrispondenza”. Ne consegue che la protezione della vita privata “si estende, dunque, anche all’ambito lavorativo, considerato che, proprio in occasione dello svolgimento di attività lavorative e/o professionali, si sviluppano relazioni dove si esplica la personalità del lavoratore” (artt. 2 e 41, comma 2, Cost.). Pertanto, il trattamento dei dati, effettuato mediante tecnologie informatiche, nell’ambito del rapporto di lavoro, “deve conformarsi al rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, a tutela di lavoratori e di terzi”;
  • nelle “Linee guida per posta elettronica e Internet” del GPDP, è stato precisato che “il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali”;
  • è contraria ai principi in materia di protezione dei dati la condotta “consistente nella decisione di esaminare preventivamente il contenuto delle e-mail presenti sull’account di posta elettronica individualizzato dell’interessato, al fine di limitare l’accesso dello stesso alle sole comunicazioni di carattere “strettamente personale”, sull’erroneo convincimento che lo scambio di corrispondenza, intrattenuto sull’account aziendale, sia di piena ed esclusiva disponibilità dell’azienda”;
  • alla luce delle definizioni di “dato personale” e “trattamento” (di cui all’art. 4, n. 1 e 2, del GDPR), che ricomprendono necessariamente anche i dati relativi all’attività lavorativa, le comunicazioni in transito su un account individualizzato “sono inevitabilmente riconducibili a dati personali dell’assegnatario dell’account”;
  • va considerata illecita anche l’ulteriore attività di oscuramento e anonimizzazione effettuata dalla Società sul contenuto della corrispondenza del reclamante, per rispondere all’esigenza di tutelare i diritti dei terzi e i segreti aziendali contenuti nelle e-mail. A tale riguardo, infatti, ai sensi del GDPR il diritto di accesso può essere limitato solo in caso di richieste manifestamente infondate o eccessive (art. 12, par. 5, GDPR) e di tutela dei diritti dei terzi (art. 15, par. 4, GDPR), circostanze non ricorrenti nel caso di specie;
  • in particolare, relativamente alla tutela dei diritti e delle libertà altrui, tra questi va compreso (considerando 63) anche il “segreto industriale e aziendale” e la “proprietà intellettuale”, segnatamente “i diritti d’autore che tutelano il software”; tuttavia, “la generica preoccupazione che, dando seguito alla richiesta di accesso, i diritti e le libertà altrui possano essere lesi non è sufficiente per fare appello all’art. 15, par. 4, GDPR. Il titolare del trattamento dev’essere in grado di dimostrare che, nella situazione concreta, i diritti o le libertà altrui sarebbero effettivamente lesi” (Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, punto 172);
  • nel caso di specie, tra l’altro, i dati riferiti ai terzi erano contenuti nelle comunicazioni ricevute e conosciute dall’interessato, per cui l’attività di oscuramento, effettuata su tali informazioni, appariva “non necessaria”; per quel che riguarda la conoscibilità dei segreti aziendali, la Società non aveva prodotto “alcun elemento di fatto utile a dimostrare che, dall’accesso alla corrispondenza da parte dell’interessato, potesse effettivamente derivare un pregiudizio serio per i diritti e le libertà, quali appunto la conoscibilità o la sottrazione di segreti aziendali”;
  • con riferimento alla “conservazione”, nell’ambito dell’istruttoria è emerso che la Società aveva effettuato una conservazione delle e-mail transitanti sugli account aziendali dei propri dipendenti, mediante un backup della posta elettronica disposta per un periodo di 5 anni, al fine di “preservare il patrimonio informativo della Società in relazione all’attività di vigilanza a cui la stessa è sottoposta”;
  • tale specifica attività di backup sul contenuto delle caselle di posta elettronica assegnate ai dipendenti non era contemplata (e disciplinata) in nessuno dei documenti informativi predisposti per i dipendenti, non mettendo gli interessati in condizione di conoscere l’attività di trattamento effettivamente svolta sulla posta elettronica in transito sui propri account, né i tempi di conservazione, le finalità di tale trattamento e i relativi presupposti di legittimità;
  • tale condotta risulta, pertanto, contraria al “principio di correttezza e trasparenza” (art. 5, par. 1, lett. a), GDPR) che, nell’ambito dei rapporti di lavoro, si esplica mediante la predisposizione di una “idonea informativa” (art. 13, GDPR);
  • come ribadito dal GPDP, “la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell’ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l’adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche”;
  • pertanto, è necessario che la Società predisponga “misure tecniche” che garantiscano una ordinaria ed efficiente “gestione dei flussi documentali aziendali”, in conformità alle disposizioni vigenti, meno invasive per il diritto alla riservatezza degli interessati, evitando di “effettuare attività di accesso al contenuto delle comunicazioni pervenute sugli account assegnati ai dipendenti e collaboratori”;
  • ciò sul presupposto che lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, su un account aziendale individualizzato è “operazione che consente di conoscere anche informazioni personali relative all’interessato e ai terzi mittenti delle comunicazioni”, la cui aspettativa di riservatezza “è, nel caso concreto, non adeguatamente tutelata”;
  • la conservazione per un esteso periodo di tempo (pari a 5 anni) è illecita per violazione dei “principi di minimizzazione, di limitazione delle finalità e di limitazione della conservazione” (art. 5, par. 1, b), c) ed e), GDPR), in quanto attività “protrattasi per un periodo di tempo notevole, non necessaria né proporzionata rispetto allo scopo di garantire la continuità dell’attività”;
  • inoltre, nel caso di specie, le regole aziendali prevedevano un periodo di conservazione dei file di log relativi alla navigazione in Internet per un periodo di 12 mesi, per finalità connesse al corretto funzionamento del sistema informatico, per la tutela del patrimonio aziendale, nonché per la difesa dei propri diritti contro gli abusi previsti dalla legge;
  • come già chiarito in altre circostanze dal GPDP, se la conservazione dei file di log è finalizzata ad assicurare “la sicurezza informatica”, il titolare del trattamento, in applicazione del principio di limitazione della conservazione, deve individuare “un arco temporale congruo”, rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure;
  • pertanto, risulta illecito, in quanto contrario ai “principi di minimizzazione, di limitazione delle finalità e di limitazione della conservazione” (art. 5, par. 1, lett. b), c) ed e), GDPR), anche il trattamento effettuato dalla Società in relazione alla conservazione dei file di log della navigazione in Internet;
  • infine, la conservazione dei file di log finalizzata alla difesa dei diritti in giudizio è uno strumento a disposizione del datore idoneo a realizzare un controllo sull’attività dei dipendenti e, pertanto, rileva “anche sotto il profilo del rispetto della disciplina di cui alla L. 300/1970”;
  • in particolare, l’art. 4 dello Stato dei lavoratori (L. n. 300/1970), come noto, prevede una specifica procedura di garanzia in caso di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, i quali “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” o, in mancanza di accordo, “previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (INL)”;
  • nel caso di specie, sia il backup della posta elettronica aziendale sia la conservazione dei log della navigazione in Internet rappresentano degli strumenti che sono potenzialmente idonei a realizzare un controllo sull’attività dei dipendenti in quanto “consentono di trattare (ovvero di raccogliere nell’ambito del rapporto di lavoro e di conservare per un esteso periodo di tempo) informazioni e dati personali riferiti ai lavoratori, in assenza delle garanzie stabilite dalla legge”;
  • considerato, quindi, che la Società non risulta aver verificato la sussistenza, in concreto, delle tassative finalità indicate dall’art. 4 Stat. Lav. citato (con particolare riferimento ai c.d. “scopi difensivi”) né che abbia, all’esito di tale verifica, attivato la “procedura di garanzia” prevista dalla richiamata disciplina di settore, risultano violati gli artt. 5, par. 1, lett. a) e 88, GDPR, che richiamati dall’art. 114 Codice privacy (“Garanzie in materia di controllo a distanza”) come condizione di “liceità dei trattamenti di dati personali effettuati nel contesto del rapporto di lavoro”.

In applicazione dei suesposti principi, il GPDP ha ordinato alla Società: a) di consentire al lavoratore reclamante l’accesso integrale al contenuto della corrispondenza presente sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di lavoro; b) di conformare la policy aziendale e i trattamenti descritti alla disciplina in materia di protezione dei dati personali.

GPDP 12 marzo 2026, n. 165

 

Privacy e casella di posta elettronica aziendale “individualizzata”
Tag:                                                 
%d blogger hanno fatto clic su Mi Piace per questo: