EX DIPENDENTE E ACCESSO ALLA MAIL INDIVIDUALE AZIENDALE
Avv. Martina Vancini
Il Garante della Privacy, dopo le controverse decisioni degli ultimi anni sui metadati, è tornato a occuparsi della posta elettronica aziendale, proponendo ancora una volta un’interpretazione delle norme che, in nome di una tutela molto ampia (e discutibile) dei dati personali, rischia di ostacolare seriamente l’operatività delle imprese.
Il nuovo provvedimento, del 12 marzo 2026, nasce dal reclamo di un ex dipendente che, dopo la fine del rapporto di lavoro, ha chiesto di accedere all’intero contenuto della sua casella e-mail aziendale individuale (del tipo nome.cognome@azienda.it), usata per le attività lavorative. L’azienda gli ha consegnato solo le e-mail riconosciute come personali, rifiutandosi di fornire quelle legate all’attività professionale, che contenevano informazioni riservate.
Il lavoratore si è quindi rivolto al Garante, sostenendo di non aver potuto esercitare pienamente il diritto di accesso ai propri dati. Il Garante gli ha dato ragione, rilevando violazioni del GDPR e del Codice Privacy, e ha ordinato alla società di concedere l’accesso completo all’intera corrispondenza aziendale, infliggendo inoltre una sanzione di 50.000 euro.
La decisione si fonda sull’idea che la casella di posta “individualizzata” appartenga, di fatto, alla piena disponibilità del lavoratore. Di conseguenza, egli avrebbe diritto a ottenere copia di tutti i messaggi inviati e ricevuti, salvo quelli che l’azienda riesca a dimostrare (con difficoltà) che contengano segreti industriali o aziendali.
Secondo il Garante, infatti, tutte le comunicazioni transitanti da un account individuale costituiscono dati personali del titolare dell’account, e non è quindi consentito analizzarne il contenuto nemmeno per distinguere i messaggi privati da quelli professionali. Anche nel caso di un regolamento aziendale che vieti l’uso personale della posta di lavoro — misura peraltro fortemente consigliata —, il Garante sembra ritenere che le e-mail aziendali rientrino comunque nella sfera di “vita privata” e “corrispondenza” tutelata dall’articolo 8 della CEDU, poiché la linea di confine tra ambito professionale e personale non è sempre chiara.
Alla luce di ciò, il provvedimento suggerisce alle aziende di valutare l’uso di caselle e-mail funzionali o di team, invece di indirizzi nominativi, per proteggere il know-how e le informazioni riservate ed evitare rischi legali o sanzioni.
Infine, il Garante ha rilevato ulteriori illeciti nella conservazione delle e-mail per 5 anni, giudicata eccessiva, e nella conservazione dei log di navigazione per 12 mesi, anch’essa ritenuta troppo lunga.
Il presente articolo non intende fornire un parere legale e, per l’effetto, non può essere considerato sostitutivo di una consulenza legale specifica.
