Il Provvedimento n. 165 del 12 marzo 2026 del Garante per la protezione dei dati personali affronta il delicato equilibrio tra le prerogative del datore di lavoro e il diritto alla riservatezza dell’ex dipendente in merito all’accesso alla propria posta elettronica aziendale e ai log di navigazione.
Il caso e il provvedimento
Un ex dipendente ha presentato reclamo contro il proprio ex datore di lavoro, lamentando un riscontro inidoneo alla sua richiesta di accesso ai dati personali (ex art. 15 del GDPR) contenuti nel proprio computer e nella casella di posta elettronica aziendale di tipo individualizzato. La società aveva infatti consentito solo un accesso parziale, consegnando unicamente la corrispondenza ritenuta di natura “strettamente personale” e oscurando o anonimizzando i riferimenti a terzi o ai segreti aziendali nelle e-mail di lavoro. Inoltre, nel corso dell’istruttoria è emerso che la società effettuava un backup di tutta la posta elettronica per 5 anni e conservava i log di navigazione Internet per 12 mesi.
Il Garante ha rigettato le difese della società attraverso diverse argomentazioni giuridiche:
- Diritto di accesso, vita privata e corrispondenza (Artt. 12 e 15 del Regolamento): Il Garante, richiamando la giurisprudenza della Corte Europea dei Diritti dell’Uomo (Art. 8 CEDU), chiarisce che la linea tra ambito lavorativo e privato non è netta e che le comunicazioni elettroniche sul luogo di lavoro rientrano nella nozione di “vita privata” e di “corrispondenza”. Le e-mail in transito su un account individualizzato sono a tutti gli effetti dati personali del lavoratore. È pertanto illecita la decisione della società di vagliare preventivamente i messaggi per escludere quelli lavorativi, sull’erroneo presupposto che questi siano di esclusiva proprietà dell’azienda.
- Limiti all’oscuramento dei dati terzi: L’attività di anonimizzazione effettuata dall’azienda è stata ritenuta illegittima. Il Garante ha precisato che i diritti e le libertà altrui (inclusi i segreti aziendali) possono limitare il diritto di accesso solo se si dimostra un pregiudizio concreto. Nel caso specifico, i dati oscurati appartenevano a terzi con cui l’ex dipendente aveva già scambiato corrispondenza e che quindi già conosceva, rendendo l’oscuramento del tutto superfluo.
- Trasparenza e Informativa (Artt. 5 e 13 del Regolamento): L’azienda non aveva informato in alcun modo i dipendenti dell’esistenza di un backup quinquennale della posta elettronica, rendendo il trattamento contrario ai principi di correttezza e trasparenza. Le policy aziendali e le informative presentavano inoltre difformità evidenti.
- Minimizzazione e Conservazione (Art. 5 del Regolamento): L’azienda giustificava il backup di 5 anni come necessità di preservare il “patrimonio informativo” e i registri per finalità di vigilanza. Il Garante chiarisce logicamente che i sistemi di posta elettronica non sono sistemi di gestione documentale. Per conservare la documentazione necessaria all’attività aziendale, l’impresa deve dotarsi di protocolli informatici specifici, senza riversare indiscriminatamente i dati in un backup prolungato. La conservazione per 5 anni delle e-mail e per 12 mesi dei log di navigazione risulta sproporzionata ed eccedente le finalità dichiarate.
- Divieto di controllo a distanza (Art. 88 del Regolamento e Art. 114 del Codice Privacy): La conservazione sistematica e per lunghi periodi dei backup di posta e dei log di navigazione rappresenta uno strumento potenzialmente in grado di realizzare un controllo a distanza sull’attività dei lavoratori. Questo tipo di trattamento è vietato senza le garanzie dell’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro), passaggi che la società non aveva mai attivato.
Sulla base dei predetti argomenti il Garante ha dichiarato illecito il trattamento posto in essere dalla società e ha
- disposto la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante, data la condotta particolarmente lesiva dei diritti dell’interessato;
- ingiunto all’azienda di consentire all’ex dipendente l’accesso integrale e senza censure a tutta la corrispondenza presente sull’account di posta elettronica individualizzato;
- prescritto alla società di conformare le proprie policy aziendali e i trattamenti alla disciplina in materia di protezione dei dati personali entro 90 giorni;
- comminato all’azienda una sanzione amministrativa pecuniaria di € 50.000,00.
Osservazioni e commenti
Il rapporto tra tutela dei dati personali del lavoratore e salvaguardia del patrimonio informativo aziendale costituisce un ambito di costante elaborazione interpretativa. Il provvedimento del Garante si colloca nel solco della valorizzazione dei diritti dell’interessato, ma presenta profili che meritano un esame sistematico, anche alla luce dell’interazione tra disciplina privacy e diritto del lavoro.
1. Accesso ai dati e tutela delle informazioni aziendali
La vicenda trae origine dal diniego, da parte datoriale, di consegnare integralmente la corrispondenza contenuta in un account di posta elettronica aziendale nominativo, con contestuale trasmissione selettiva dei soli messaggi ritenuti personali. L’Autorità ha ritenuto non conforme tale modalità, affermando che il titolare del trattamento non possa limitare l’accesso mediante una selezione preventiva dei contenuti, in assenza di una dimostrazione puntuale del pregiudizio derivante dalla divulgazione di specifiche informazioni.
In questa prospettiva, il provvedimento enfatizza la portata del diritto di accesso ex art. 15 GDPR, configurandolo in termini tali da incidere significativamente sulle modalità di protezione del know-how e delle informazioni riservate aziendali. Ne deriva una tensione applicativa tra il diritto dell’interessato a ottenere copia dei dati personali e l’esigenza del titolare di preservare segreti commerciali e informazioni strategiche, tensione che il provvedimento risolve richiedendo un onere motivazionale particolarmente circostanziato in capo all’impresa.
2. Natura dell’account individualizzato e qualificazione dei dati
Il Garante fonda la propria ricostruzione sull’assunto che l’account di posta elettronica individualizzato sia riconducibile alla sfera personale del lavoratore, in quanto idoneo a veicolare dati personali ai sensi della normativa europea. Richiamando i principi elaborati anche in ambito sovranazionale (in particolare con riferimento all’art. 8 CEDU), l’Autorità ribadisce la non netta separazione tra dimensione lavorativa e privata nell’utilizzo degli strumenti informatici.
L’impostazione adottata appare orientata a privilegiare un criterio sostanziale, fondato sulla riferibilità delle comunicazioni a una persona fisica identificata o identificabile. Tale approccio, tuttavia, solleva questioni interpretative in ordine al rilievo da attribuire alle policy aziendali che disciplinano in modo restrittivo l’uso degli strumenti informatici, soprattutto quando esse escludano espressamente utilizzi personali.
3. Conservazione dei dati e disciplina dei controlli a distanza
Ulteriore profilo di interesse concerne la qualificazione delle modalità di conservazione dei dati. Il Garante ha ritenuto non proporzionati determinati periodi di retention (in particolare, backup pluriennali delle email e conservazione dei log di navigazione), riconducendo tali trattamenti nell’alveo degli strumenti suscettibili di controllo a distanza dell’attività lavorativa.
Da ciò deriva l’applicazione delle garanzie previste dall’art. 4 dello Statuto dei Lavoratori, con conseguente necessità di accordo sindacale o autorizzazione amministrativa. L’inquadramento operato dall’Autorità incide sull’interpretazione del rapporto tra normativa privacy e disciplina lavoristica, in particolare rispetto alla nozione di “strumenti di lavoro” e ai limiti entro cui i dati da essi derivanti possano essere trattati e conservati.
Il punto si inserisce nel più ampio dibattito relativo alla portata delle modifiche introdotte dal d.lgs. n. 151/2015, che ha inciso sul regime degli strumenti utilizzati dal lavoratore per rendere la prestazione, lasciando aperte questioni circa i confini tra utilizzo fisiologico dello strumento e potenziale funzione di controllo.
Conclusioni
Il Provvedimento n. 165/2026 offre indicazioni rilevanti in ordine all’estensione del diritto di accesso ai dati contenuti nella posta elettronica aziendale e alla qualificazione dei relativi trattamenti. Esso evidenzia, al contempo, la necessità di un coordinamento sistematico tra principi del GDPR, tutela dei segreti aziendali e disciplina dei rapporti di lavoro.
In termini applicativi, emerge l’esigenza per le imprese di adottare assetti organizzativi e policy interne idonei a definire in modo chiaro le modalità di utilizzo degli strumenti informatici, i tempi di conservazione dei dati e le procedure di gestione delle richieste di accesso, in un’ottica di bilanciamento tra diritti dell’interessato e interessi aziendali meritevoli di tutela.
