Il caso oggetto del Provvedimento n. 165/2026 del Garante per la protezione dei dati personali trae origine dalla richiesta di accesso alla casella di posta elettronica formulata da un ex dipendente a seguito della cessazione del rapporto di lavoro.

Il lavoratore presentava una richiesta alla società al fine di recuperare i documenti e i contenuti presenti sia sul computer aziendale sia nella casella di posta elettronica personale Alla richiesta, la società rispondeva però solo parzialmente consentendo l’acceso ai soli documenti salvati in locale e a quelli classificati come personali con conseguente esclusione dei messaggi collegati all’attività lavorativa.

A fronte di tale impostazione, il lavoratore amplia la propria richiesta e, mediante istanza di accesso ai sensi dell’art. 15 del GDPR, richiede copia integrale delle e-mail presenti nella casella aziendale a partire da un determinato arco temporale, insieme ad ulteriore documentazione relativa al rapporto di lavoro.

La società, quindi, organizza un ulteriore incontro e consegna parte della documentazione su supporto informatico, riservando ad un momento successivo la trasmissione delle e-mail, previa attività di selezione e trattamento del contenuto.

Parallelamente, emerge un ulteriore profilo rilevante, relativo alla gestione tecnica della casella di posta elettronica. L’account del dipendente viene disattivato pochi giorni dopo la cessazione del rapporto e successivamente cancellato dai sistemi attivi, mentre i dati restano conservati nei sistemi di backup aziendali per un periodo dichiarato di cinque anni. 

Fase istruttoria

Nel corso dell’istruttoria si ricostruiscono anche le modalità operative adottate dall’azienda in occasione delle richieste di accesso. L’accesso alla casella avviene in presenza di personale aziendale, con affiancamento finalizzato a evitare la conoscenza di informazioni ritenute riservate e con un controllo sul contenuto delle comunicazioni prima della loro consegna.

Il quadro fattuale si completa con l’esame delle policy interne, dalle quali emerge una disciplina che prevede il blocco della casella alla cessazione del rapporto, la possibilità di accesso da parte del titolare del trattamento per esigenze legate alla tutela dei diritti e una conservazione dei dati che varia in funzione delle finalità dichiarate, senza una indicazione univoca e coerente dei tempi. 

Su queste basi prende avvio il procedimento dinanzi al Garante, che si trova a valutare la legittimità sia delle modalità di gestione della richiesta di accesso, sia delle più ampie prassi aziendali in materia di utilizzo, conservazione e controllo della posta elettronica dei dipendenti.

Procedimento

Nel corso del procedimento, la società ha sostenuto di avere fornito un riscontro adeguato all’istanza dell’interessato entro i termini previsti dal Regolamento, tenuto conto di come la richiesta di accesso sia stata seguita da comunicazioni e da un incontro in presenza reso necessario dalla quantità dei dati richiesti. 

Invero, la società ha sostenuto che una simile richiesta eccede l’ambito del diritto di accesso previsto dal GDPR, in quanto i dati e le informazioni contenuti nella casella aziendale costituirebbero patrimonio dell’impresa e non potrebbero essere messi integralmente a disposizione del lavoratore.  In questa prospettiva si colloca anche la scelta di organizzare l’accesso attraverso incontri in presenza, con affiancamento da parte di personale aziendale. Tale modalità, secondo la società, risponde all’esigenza di evitare la diffusione di informazioni riservate e di garantire la tutela dei diritti di terzi, nonché dei segreti aziendali.

Quanto alle modalità di conservazione dei dati, la società ha giustificato il mantenimento dei backup delle caselle di posta elettronica per un periodo di cinque anni con la necessità di preservare il patrimonio informativo aziendale, anche in relazione agli obblighi di vigilanza e ai termini di prescrizione connessi all’attività svolta. In questa prospettiva, la conservazione dei dati assume una funzione di garanzia per l’operatività dell’impresa e per la tutela dei propri diritti. 

In continuità con la giurisprudenza precedente, l’Autorità riconduce tali contenuti alla nozione di dato personale del lavoratore, anche quando le comunicazioni si inseriscono nello svolgimento dell’attività lavorativa. La posta elettronica aziendale non costituisce, quindi, un contenitore neutro riferibile esclusivamente all’organizzazione, ma rappresenta uno spazio nel quale si realizza la personalità del lavoratore, attraverso relazioni, scambi e attività che mantengono una dimensione individuale. Da ciò discende che il diritto di accesso ex art. 15 del GDPR si sarebbe dovuto conseguentemente estendere a tutti i dati personali contenuti nella casella. La scelta della società di limitare la consegna alle sole comunicazioni personali si pone, quindi, in contrasto con la logica del diritto di accesso, che attribuisce all’interessato la possibilità di conoscere integralmente i dati che lo riguardano.

Il Garante affronta poi il tema, spesso evocato nella prassi, della tutela dei diritti di terzi e dei segreti aziendali. Il provvedimento chiarisce che tali esigenze non assumono un valore automatico tale da comprimere il diritto di accesso, ma richiedono una dimostrazione concreta di un pregiudizio effettivo. In assenza della stessa, un intervento di oscuramento o di anonimizzazione del contenuto delle comunicazioni non trova giustificazione, soprattutto quando i dati risultano già conosciuti dall’interessato in quanto parte della corrispondenza. 

Per quanto riguarda la conservazione dei dati il Garante ha evidenziato un contrasto con i principi di limitazione delle finalità, minimizzazione e limitazione temporale della conservazione, poiché il mantenimento dei dati per un periodo esteso, pari a cinque anni, non presenta un adeguato rapporto di proporzionalità rispetto alle finalità dichiarate. La semplice esigenza di tutela del patrimonio informativo non giustifica una conservazione generalizzata e prolungata del contenuto delle comunicazioni.

Il Garante ha altresì sottolineato come la corretta gestione del patrimonio informativo imponga l’adozione di aziendale sistemi documentali dedicati, al fine di selezionare e conservare i dati rilevanti con le finalità perseguite per evitare di trasformare la posta elettronica in un archivio generalizzato di informazioni.

Il provvedimento riconosce che strumenti come il backup delle e-mail e la conservazione dei log di navigazione presentano un potenziale intrinseco di controllo sull’attività dei lavoratori, poiché consentono di ricostruire comportamenti, abitudini e attività svolte nel contesto lavorativo. Da tale qualificazione deriva l’applicazione dell’art. 4 dello Statuto dei lavoratori, che impone la presenza di specifiche garanzie, quali l’accordo sindacale o l’autorizzazione dell’autorità competente, oltre alla verifica delle finalità legittime del trattamento.

Alla luce delle violazioni riscontrate, l’Autorità ha ordinato l’accesso integrale alla casella di posta elettronica e ha applicato una sanzione pecuniaria pari a 50.000 euro.

Fonte: Garante Privacy Provv. 165/2026