Diritto di accesso alle email da parte del dipendente, tempi di conservazione di email e log di navigazione internet, controlli a distanza dei lavoratori. Sono i tre temi affrontati nel recente provvedimento n. 165/2026 con cui il Garante per la protezione dei dati personali ha delimitato i limiti al potere datoriale nella gestione della posta elettronica aziendale e i connessi adempimenti privacy. Il complesso intreccio di obblighi trasforma la gestione dei sistemi IT in un’attività complessa, che espone le aziende a severe sanzioni.
La vicenda trae origine dal reclamo di un ex dipendente che, a seguito della cessazione del rapporto di lavoro, aveva richiesto l’accesso ai dati contenuti nella propria casella e-mail aziendale di tipo individualizzato. La società aveva consentito in un primo momento un accesso limitato alle sole comunicazioni ritenute “personali”, con esclusione di quelle inerenti all’attività lavorativa, consegnando solo in un successivo momento la corrispondenza previa selezione e anonimizzazione dei contenuti.
Diritto di accesso illimitato ?
Il Garante ha ritenuto contraria ai principi in materia di protezione dei dati personali la condotta posta in essere dalla società consistente nell’analisi preventiva del contenuto delle e-mail presenti sull’account aziendale del dipendente.
Tale analisi era stata intrapresa dall’azienda con l’obiettivo di filtrare le comunicazioni e limitare l’accesso dell’interessato ai soli messaggi di carattere strettamente personale, partendo dal presupposto errato che la corrispondenza scambiata tramite uno strumento aziendale sia nella piena ed esclusiva disponibilità del datore di lavoro.
Tuttavia, alla luce delle definizioni fornite dal GDPR negli articoli 4, numeri 1 e 2, la nozione di dato personale e di trattamento include necessariamente anche le informazioni relative all’attività lavorativa. Di conseguenza le comunicazioni che transitano su un account di posta elettronica personalizzato sono inevitabilmente riconducibili ai dati personali del soggetto a cui l’account è assegnato.
Su questa base, il Garante ha ritenuto illecita anche l’ulteriore attività di oscuramento e anonimizzazione compiuta dalla società sul contenuto della corrispondenza, una misura limitativa del diritto di accesso che l’azienda aveva giustificato con l’esigenza di tutelare i segreti aziendali e i diritti di soggetti terzi.
L’autorità ha infatti ricordato che il Regolamento Europeo prevede ipotesi tassative in cui il diritto di accesso può essere limitato, come nel caso di richieste manifestamente infondate o eccessive ai sensi dell’articolo 12, paragrafo 5, oppure per la tutela dei diritti e delle libertà altrui, secondo l’articolo 15, paragrafo 4, nella quale rientrano anche la tutela del segreto industriale e aziendale e la proprietà intellettuale.
In questa specifica vicenda, non è stata riscontrata alcuna di tali circostanze in quanto, per la tutela dei diritti e delle libertà altrui, una generica preoccupazione circa possibili lesioni non è sufficiente per invocare le limitazioni previste dalla norma, poiché il titolare del trattamento ha l’onere di dimostrare come, nel caso concreto, l’accesso ai dati comporterebbe un pregiudizio effettivo (EDPB, Linee guida 1/2022 sui diritti degli interessati) .
Nel merito della questione, poi, il Garante ha osservato che i dati riferiti a terzi erano già contenuti in comunicazioni ricevute o conosciute dall’interessato, rendendo quindi l’oscuramento delle informazioni del tutto superfluo.
In conclusione, non essendo stati forniti elementi di fatto idonei a provare che la consultazione della posta da parte del dipendente potesse realmente determinare la sottrazione di segreti aziendali, il Garante ha confermato la violazione degli articoli 12 e 15 del GDPR da parte della società.
Conservazione dell’ email
Nel corso dell’istruttoria è inoltre emerso che la società, appartenente al settore assicurativo, effettuava la conservazione sistematica delle e-mail scambiate sugli account aziendali individualizzati dei dipendenti attraverso un backup off line della durata di cinque anni, con l’obiettivo di tutelare il proprio patrimonio informativo anche in relazione alle attività di vigilanza a cui era soggetta.
Tuttavia, questa pratica non risultava né contemplata né disciplinata in alcuno dei documenti informativi rivolti al personale, impedendo così ai lavoratori di conoscere le reali modalità di trattamento della propria corrispondenza, in contrasto con il principio di correttezza e trasparenza sancito dall’art. 5, par. 1, lett. a) del GDPR, in attuazione del quale il datore di lavoro, in qualità di titolare del trattamento, è tenuto a predisporre un’informativa idonea e completa ai sensi dell’art. 13 dello stesso Regolamento UE.
Oltre alla carente informativa, il Garante ha rilevato diversi profili di illiceità relativi alle modalità tecniche e ai tempi di conservazione dei dati adottati dalla società. Lo scambio di corrispondenza elettronica, pertinente o meno all’attività lavorativa, tramite un account aziendale individualizzato, consente in ogni caso di conoscere informazioni personali anche non attinenti all’ambito professionale dell’interessato o dei terzi che scambiano la corrispondenza (Linee guida del Garante per posta elettronica e Internet) . Pertanto, l’Autorità ha chiarito che i sistemi di posta elettronica non devono essere impropriamente trasformati in strumenti di archiviazione del patrimonio informativo aziendale. Per tale finalità, le imprese dovrebbero invece implementare misure tecniche e organizzative specifiche con sistemi di gestione documentale dedicati e meno invasivi per la riservatezza.
Considerato che tale trattamento veniva effettuato per un periodo di tempo esteso, senza l’adozione di misure tecniche idonee, il Garante ha rilevato la violazione dei principi di minimizzazione, di limitazione delle finalità e di limitazione della conservazione (art. 5, par. 1, b), c) ed e) del GDPR).
Conservazione dei log di navigazione
Come evidenziato nel provvedimento n. 613/2026 dal Garante, per la conservazione dei file log finalizzata ad assicurare la sicurezza informatica, il titolare è tenuto ad individuare un arco temporale congruo di conservazione, volto a bilanciare l’esigenza di rilevare i rischi per la sicurezza con la riservatezza degli utenti.
Nel caso di specie, le regole aziendali prevedevano un periodo di conservazione per un periodo di 12 mesi. Le finalità sottese erano connesse al corretto funzionamento dell’infrastruttura IT, la difesa da abusi informatici e, da ultimo la tutela del patrimonio aziendale. Nonostante ciò il Garante ha ritenuto il periodo non congruo e il trattamento contrario ai principi di minimizzazione, di limitazione delle finalità e della conservazione previsti all’ art. 5, parag. 1, lett. B), c) ed e) del GDPR.
Controlli a distanza ex art. 4, Legge n. 300/1970
Il Garante ha, infine, rilevato che sia il back up della posta elettronica sia la conservazione dei log della navigazione in internet sono strumenti astrattamente idonei a realizzare un controllo sull’attività dei dipendenti soggetti alla procedura di garanzia ex art. 4, Legge n. 300/1970, con obbligo di preventivo accordo sindacale o autorizzazione dell’ Ispettorato del Lavoro.
Considerato che la società non ha verificato la sussistenza dei presupposti indicati dall’ art. 4 ( “esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale”) ne che abbia attivato la procedura di garanzia prevista dalla norma richiamata, il Garante ha rilevato la violazione degli art. 5, parag. 1, lett. A) e 88 del GDPR e art. 114 del Codice in materia di controlli a distanza.
Sanzioni
Viste le numerose violazioni del GDPR, nonché della normativa dello Statuto dei Lavoratori, il Garante ha inflitto una sanzione amministrativa pari a 50.000 euro, ordinando alla società di consentire al dipendente l’accesso integrale alla casella email e di adeguare le proprie prassi e policy interne nella gestione della posta elettronica e dei file connessi alla navigazione web.
Conclusioni
I datori di lavoro devono oggi confrontarsi con un quadro normativo che rende la gestione dei flussi informativi un’attività estremamente complessa e delicata.
È necessario garantire un accesso trasparente alle caselle email, evitando analisi preventive o limitazioni che non siano supportate da comprovate ragioni.
La conservazione dei messaggi richiede l’adozione di strumenti di archiviazione documentale che rispettino rigorosamente i principi di minimizzazione e di trasparenza. Anche i log di navigazione internet esigono tempi di ritenzione brevi e proporzionati, volti a tutelare la sicurezza senza sacrificare la riservatezza dei dipendenti.
I sistemi di controllo devono infine essere validati tramite accordi sindacali o autorizzazione dell’ INL, come previsto dall’articolo 4 dello Statuto dei Lavoratori.
Tale insieme di vincoli trasforma l’adeguamento delle policy interne in un impegno organizzativo notevole che espone le aziende ad un rischio sanzionatorio costante.
