E’ destinato a far discutere non poco, per le sue implicazioni sull’organizzazione aziendale, il provvedimento n. 165 del 12 marzo 2026 dell’Autorità Garante per la protezione dei dati personali. Nella fattispecie, il Garante interviene in modo particolarmente incisivo sul tema dell’accesso ai dati contenuti nella posta elettronica aziendale individualizzata, offrendo un’interpretazione molto estensiva – e problematica per le imprese – del diritto di accesso previsto dal Regolamento generale sulla protezione dei dati e dalla normativa nazionale in materia di privacy.
Il caso
Il caso nasce dal reclamo di un lavoratore che, dopo la fine del rapporto, ha chiesto di accedere a tutta la corrispondenza della sua email aziendale nominativa. L’azienda aveva consegnato solo le email personali, rifiutando invece quelle legate all’attività lavorativa e contenenti dati sensibili o che potessero in qualche modo nuocere alla riservatezza dell’organizzazione aziendale. Il Garante ha però dato ragione all’ex dipendente, ritenendo che il diritto di accesso non fosse stato pienamente rispettato, e ha imposto la consegna completa delle email, oltre a una sanzione di 50mila euro.
Una lettura estensiva del GDPR
Al centro della decisione vi è la lettura dell’articolo 15 del GDPR, che riconosce all’interessato il diritto di accedere ai propri dati personali. Il Garante sviluppa questa previsione fino alle sue conseguenze più ampie, sostenendo che, quando si tratta di una casella email assegnata nominativamente al lavoratore, l’intero contenuto della corrispondenza debba essere considerato a tutti gli effetti dato personale. Non si tratta quindi soltanto delle informazioni strutturate – come mittente, destinatario, data o oggetto del messaggio – ma anche del contenuto integrale delle comunicazioni, comprese eventuali conversazioni concatenate e allegati. In altri termini, l’accesso non si limita a una “scheda dati”, ma si estende all’intero archivio comunicativo.
Un’impostazione controversa
Un passaggio decisivo del ragionamento riguarda proprio la natura “individualizzata” dell’account. Secondo il presupposto (controverso) su cui fa leva il Garante, il fatto che la casella sia costruita attorno al nome del dipendente ne determina una sostanziale riconducibilità alla sua sfera personale. Tale impostazione comporta uno slittamento concettuale rilevante: la casella email non è più vista come un semplice strumento aziendale messo a disposizione per finalità lavorative, ma come uno spazio che, pur nel contesto professionale, mantiene una connessione diretta con l’identità del lavoratore. Da qui deriva il principio, che si estende ben oltre il caso specifico, che tutte le comunicazioni che transitano attraverso quell’account siano, in linea di principio, riferibili alla persona che lo utilizza.
Le condizioni limitanti
Le possibili limitazioni a questo diritto vengono ammesse solo in via eccezionale e a condizioni molto rigorose. Il datore di lavoro può sottrarre all’accesso alcune comunicazioni soltanto se è in grado di dimostrare in modo puntuale che esse contengono informazioni particolarmente sensibili per l’impresa, come segreti industriali o dati riservati. Tuttavia, sul piano operativo, questa possibilità si rivela difficilmente praticabile: per poter distinguere tra email accessibili e non accessibili, l’azienda dovrebbe infatti esaminare il contenuto dei messaggi; ma proprio tale attività di analisi rischia di configurare a sua volta un trattamento di dati personali privo di adeguata base giuridica. Si genera così una tensione interna al sistema dal sapore nemmeno troppo velatamente contraddittorio: la verifica necessaria per limitare l’accesso finisce per essere, essa stessa, potenzialmente illegittima.
L’articolo 8 della Convenzione europea
Un ulteriore elemento di criticità riguarda il ruolo delle policy aziendali. Anche laddove l’impresa abbia adottato regole chiare che vietano l’uso personale della posta elettronica e ne definiscono la natura esclusivamente professionale, il Garante sembra attribuire a tali strumenti un peso limitato. Richiamando l’articolo 8 della Convenzione europea dei diritti dell’uomo, viene affermato che le comunicazioni effettuate sul luogo di lavoro rientrano comunque nella sfera della vita privata e della corrispondenza. Questo perché, nella pratica quotidiana, il confine tra dimensione personale e professionale non è sempre nettamente distinguibile. Ne consegue che la qualificazione formale data dall’azienda tende a cedere il passo a una valutazione sostanziale dell’uso dello strumento.
I rischi
Le ricadute di questa impostazione si fanno sentire soprattutto sul piano della sicurezza delle informazioni. Se l’ex dipendente può ottenere copia integrale delle comunicazioni, l’azienda si espone al rischio di una diffusione incontrollata di dati strategici, relazioni commerciali, informazioni su clienti e fornitori o elementi di know-how. In questo contesto, il provvedimento suggerisce indirettamente una possibile linea di difesa, ossia l’adozione di caselle non nominative ma legate a funzioni o team. In questo modo, si riduce la connessione diretta tra account e individuo, e di conseguenza anche l’estensione del diritto di accesso.
La conservazione dei dati
Il Garante affronta poi anche il tema della conservazione dei dati, rilevando come alcune prassi diffuse risultino non conformi al principio di limitazione temporale previsto dal GDPR. In particolare, viene ritenuta sproporzionata la conservazione delle email per un periodo di cinque anni, così come quella dei log di navigazione per dodici mesi. Questa valutazione implica, sul piano tecnico, la necessità di ripensare le politiche di retention, introducendo meccanismi più selettivi e giustificati rispetto alle finalità perseguite, nonché sistemi automatizzati di cancellazione o anonimizzazione dei dati.
La questione del “controllo”
Non mancano neppure risvolti prettamente “sindacali”: un ulteriore profilo critico riguarda infatti la qualificazione dei sistemi di backup della posta elettronica e dei log di navigazione internet. Secondo il Garante, tali strumenti, pur avendo finalità tecniche e organizzative, possono consentire un controllo a distanza dell’attività dei lavoratori e devono quindi essere ricondotti nell’ambito di applicazione dell’articolo 4 dello Statuto dei lavoratori (legge 300/70). Da ciò deriverebbe l’obbligo di ottenere preventivamente un accordo sindacale o un’autorizzazione amministrativa. Questa lettura, tuttavia, appare in tensione con le modifiche introdotte a suo tempo dal Jobs Act (metà dello scorso decennio), che avevano escluso gli strumenti di lavoro da tali procedure, riconoscendo la loro natura funzionale all’attività produttiva.
Le conseguenze per le imprese
Il provvedimento del Garante si distingue per una visione particolarmente ampia sia del concetto di dato personale sia del diritto di accesso, oltre che per una interpretazione estensiva della nozione di vita privata in ambito lavorativo. Sul piano applicativo, ciò comporta per le imprese la necessità di rivedere in profondità le proprie scelte organizzative e tecnologiche, dalla configurazione dei sistemi di posta elettronica fino alle politiche di gestione e conservazione dei dati. Allo stesso tempo, emergono evidenti difficoltà nel bilanciamento tra la tutela dei diritti individuali e la protezione degli interessi aziendali, lasciando aperti diversi interrogativi sull’effettiva sostenibilità operativa di questo orientamento.
Link provvedimento Garante 165/26
