Gestione email aziendali: la “casella individualizzata” è un nuovo fattore di rischio per l’impresa?

 

Avv. Francesco D’amora
Founding Partner QLT Law & Tax

 

 

---

Posta elettronica aziendale: il Garante amplia il diritto di accesso (ma a quale prezzo per le imprese?)

Con il provvedimento del 12 marzo 2026, il Garante per la protezione dei dati personali torna a intervenire sul tema – ormai sempre più delicato – della gestione della posta elettronica aziendale nel contesto lavorativo, offrendo un’interpretazione che, pur muovendosi nel solco della tutela dei diritti dell’interessato, solleva non poche perplessità sotto il profilo operativo.

Il caso riguarda un ex dipendente che, a seguito della cessazione del rapporto di lavoro, ha esercitato il diritto di accesso chiedendo copia integrale delle e-mail contenute nella propria casella aziendale “individualizzata”. La società aveva fornito un accesso selettivo, limitato ai messaggi di natura personale, escludendo quelli inerenti all’attività lavorativa e contenenti informazioni riservate.

Il Garante ha però ritenuto tale approccio non conforme al GDPR, accertando la violazione, tra l’altro, degli artt. 12 e 15 del Regolamento e ordinando alla società di consentire l’accesso integrale alla corrispondenza, oltre a irrogare una sanzione di 50.000,00 euro.

Il passaggio centrale del provvedimento riguarda la qualificazione della casella e-mail nominativa.

Secondo l’Autorità, tutte le comunicazioni che transitano su un account individualizzato sono riconducibili a dati personali del lavoratore, con la conseguenza che quest’ultimo ha diritto ad accedere all’intero contenuto della casella. Non è quindi legittimo, secondo il Garante, che il datore di lavoro operi una selezione preventiva, distinguendo tra e-mail personali e professionali.

Si tratta di un’affermazione che, pur coerente con una lettura ampia del concetto di dato personale, finisce per comprimere in modo significativo il potere organizzativo dell’impresa. In concreto, l’azienda si vede privata della possibilità di filtrare contenuti che, per loro natura, appartengono alla sfera aziendale e possono includere informazioni riservate o strategiche.

Ancora più problematica appare la posizione del Garante rispetto all’anonimizzazione. Anche l’oscuramento dei dati di terzi o di informazioni sensibili viene ritenuto illecito, salvo prova concreta di un pregiudizio effettivo. Un onere probatorio che, nella pratica, rischia di risultare difficilmente sostenibile.

Il provvedimento si fonda su un’impostazione ormai consolidata, secondo cui anche le comunicazioni elettroniche in ambito lavorativo rientrano nella sfera della vita privata, richiamando la giurisprudenza della Corte EDU.

È una prospettiva condivisibile sul piano dei principi, ma che, applicata in modo così estensivo, finisce per sfumare quasi del tutto la distinzione tra sfera personale e professionale. Il rischio è quello di attribuire alla casella aziendale una natura “ibrida” che rende estremamente complessa la sua gestione, soprattutto in contesti in cui la riservatezza delle informazioni è un elemento essenziale.

Il Garante interviene anche sul tema della conservazione dei dati, ritenendo eccessivo il mantenimento dei backup delle e-mail per un periodo di cinque anni.

Secondo l’Autorità, tale prassi viola i principi di minimizzazione e limitazione della conservazione, non essendo necessaria né proporzionata rispetto alle finalità dichiarate. Viene inoltre ribadito che la posta elettronica non dovrebbe essere utilizzata come strumento di archiviazione documentale, invitando le aziende a dotarsi di sistemi più strutturati.

Anche in questo caso, tuttavia, la posizione del Garante appare poco allineata con le esigenze concrete delle imprese, che spesso devono conservare informazioni per periodi significativi per finalità legali, regolatorie o difensive.

Un ulteriore elemento critico riguarda la qualificazione del backup delle e-mail e della conservazione dei log di navigazione.

Il Garante ritiene che tali strumenti siano idonei a consentire un controllo a distanza dei lavoratori e che, pertanto, siano soggetti alle garanzie dell’art. 4 dello Statuto dei lavoratori.

Si tratta di un’impostazione che, di fatto, estende notevolmente l’ambito di applicazione della disciplina sui controlli a distanza, includendo strumenti che, nella prassi aziendale, sono normalmente utilizzati per esigenze di sicurezza informatica e continuità operativa.

Il provvedimento conferma una tendenza del Garante a privilegiare una lettura fortemente orientata alla tutela dell’interessato, anche nel contesto lavorativo.

Se da un lato ciò contribuisce a rafforzare le garanzie individuali, dall’altro lato emergono criticità non trascurabili per le imprese, che si trovano a dover gestire strumenti di lavoro essenziali in un quadro normativo sempre più complesso e, in alcuni passaggi, difficilmente conciliabile con le esigenze operative.

Il rischio, in ultima analisi, è che un’eccessiva estensione del diritto di accesso e una lettura particolarmente rigorosa dei principi di minimizzazione e proporzionalità finiscano per incidere negativamente sulla capacità delle aziende di tutelare il proprio patrimonio informativo.

In questo scenario, diventa fondamentale per le organizzazioni adottare policy chiare, rivedere i sistemi di gestione della posta elettronica e, soprattutto, ripensare l’utilizzo delle caselle individualizzate, che – alla luce di questo orientamento – rappresentano oggi un potenziale fattore di rischio.