Anche dopo la cessazione del rapporto di lavoro, l’ex dipendente può avere diritto di accedere integralmente al contenuto della propria casella di posta elettronica aziendale, in assenza di un pregiudizio concreto e dimostrato ai diritti di terzi o ai segreti aziendali. Lo ha ribadito il Garante per la protezione dei dati personali con provvedimento n. 165 del 12 marzo 2026, imponendo una sanzione amministrativa di 50.000 euro a ITAS Mutua.
La vicenda nasce dal reclamo di un ex dipendente che aveva chiesto di accedere al contenuto della corrispondenza elettronica utilizzata durante il rapporto di lavoro. La società aveva inizialmente consentito il recupero solo dei messaggi “strettamente personali”, escludendo tutto ciò che riguardava l’attività lavorativa. Successivamente, in risposta a un’istanza formale ex art. 15 GDPR, aveva fornito le email anonimizzate per tutelare “i diritti dei terzi e i segreti aziendali”.
Una ricostruzione bocciata dall’Autorità, che ha ribadito un principio fondamentale: anche le comunicazioni di lavoro transitate su un account individualizzato sono dati personali dell’interessato, tutelati dall’art. 8 della Convenzione europea dei diritti dell’uomo. Illegittimo, dunque, esaminare preventivamente le email per selezionare quali consegnare. Altrettanto ingiustificato oscurare porzioni di testo: la società non ha dimostrato che dall’accesso sarebbe derivato un pregiudizio concreto ai diritti altrui o ai segreti aziendali, tanto più che il lavoratore aveva già ricevuto quelle comunicazioni. Nel caso di specie, il diritto di accesso doveva quindi essere garantito in modo integrale.
Ma il provvedimento va oltre il caso specifico e censura l’intera gestione aziendale della posta elettronica. ITAS Mutua conservava mediante backup il contenuto delle caselle email dei dipendenti per 5 anni e i log di navigazione Internet per 12 mesi, senza aver fornito un’informativa adeguata. Una prassi giudicata in violazione dei principi di minimizzazione, limitazione delle finalità e limitazione della conservazione. Ancora una volta il Garante sottolinea che i sistemi di posta elettronica, per loro natura, non consentono di assicurare autenticità, integrità e affidabilità della documentazione e che per garantire la continuità aziendale occorre predisporre sistemi di gestione documentale idonei, non conservare indiscriminatamente tutta la corrispondenza.
Il provvedimento impone quindi alle imprese una riflessione non più rinviabile: la posta elettronica aziendale non può essere trattata come un archivio indistinto, sempre disponibile e conservabile per esigenze genericamente organizzative o difensive. Occorrono regole chiare, informative effettive, tempi di conservazione proporzionati e sistemi documentali separati dalla mailbox individuale. E occorre ovviamente abbandonare l’idea che l’account aziendale faccia venir meno ogni aspettativa di riservatezza del lavoratore. Anche nel contesto professionale, l’impresa può gestire gli strumenti informatici solo entro confini chiari, fondati su necessità, proporzionalità e trasparenza.
