Il Garante Privacy, con provvedimento n. 165 del 12 marzo 2026, ha sanzionato un’impresa di assicurazione per non aver consegnato all’ex dipendente copia dei messaggi della propria casella di posta elettronica aziendale, ed aver conservato estensivamente e senza adeguata base giuridica il contenuto della posta elettronica e dei log di accesso ad internet dei dipendenti.
Sul diniego all’accesso dell’ex dipendente alla propria casella di posta elettronica aziendale
Il Garante richiama preliminarmente il costante orientamento della Corte europea dei diritti dell’uomo che, in alcune pronunce ha osservato come la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, motivo per cui deve ritenersi applicabile, anche all’ambito lavorativo, l’art. 8 della CEDU posto a tutela della vita privata: anche le comunicazioni di tipo elettronico scambiate sul luogo di lavoro rientrano, quindi, nelle nozioni di “vita privata” e di “corrispondenza”, di cui all’art. 8.
Pertanto, il trattamento dei dati, effettuato mediante tecnologie informatiche, nell’ambito del rapporto di lavoro, deve conformarsi al rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, a tutela di lavoratori e di terzi.
Nelle Linee guida per posta elettronica e Internet del Garante, si osserva infatti che il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali.
Pertanto, il Garante ha ritenuto contraria ai principi in materia di protezione dei dati personali la condotta, posta in essere dalla società, consistente nella decisione di esaminare preventivamente il contenuto delle e-mail presenti sull’account di posta elettronica individualizzato dell’interessato, al fine di limitare l’accesso dello stesso alle sole comunicazioni di carattere “strettamente personale”, sull’erroneo convincimento che lo scambio di corrispondenza, intrattenuto sull’account aziendale, sia di piena ed esclusiva disponibilità dell’azienda.
Alla luce delle definizioni di “dato personale” e “trattamento”, di cui all’art. 4, n. 1 e 2, del GDPR, infatti – che ricomprendono necessariamente anche i dati relativi all’attività lavorativa – le comunicazioni in transito su un account individualizzato sono inevitabilmente riconducibili a dati personali dell’assegnatario dell’account.
Deve ritenersi illecita peraltro anche l’ulteriore attività di oscuramento e anonimizzazione effettuata dalla Società sul contenuto della corrispondenza, per rispondere all’esigenza di tutelare i diritti dei terzi e i segreti aziendali contenuti nelle e-mail: viste le ipotesi tassativamente previste dal GDPR in cui il diritto di accesso può essere limitato solo in caso di richieste manifestamente infondate o eccessive (art. 12, par. 5) e di tutela dei diritti dei terzi (art. 15, par. 4), nel caso di specie non ricorra nessuna delle circostanze previste dalla norma.
In particolare, per quel che riguarda la tutela dei diritti e delle libertà altrui, il considerando 63 precisa che tra questi va compreso anche il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software; tuttavia, la generica preoccupazione che, dando seguito alla richiesta di accesso, i diritti e le libertà altrui possano essere lesi, non è sufficiente per fare appello all’art. 15, par. 4, GDPR.
Il titolare del trattamento dev’essere in grado di dimostrare che, nella situazione concreta, i diritti o le libertà altrui sarebbero effettivamente lesi (V. Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, punto 172).
Nel caso di specie, tra l’altro, il Garante osserva come i dati riferiti ai terzi erano contenuti nelle comunicazioni ricevute e conosciute dallo stesso interessato, motivo per cui l’attività di oscuramento, effettuata su tali informazioni, appariva non necessaria; per quel che riguarda la conoscibilità dei segreti aziendali, la società non aveva prodotto alcun elemento di fatto utile a dimostrare che, dall’accesso alla corrispondenza da parte dell’interessato, potesse effettivamente derivare un pregiudizio serio per i diritti e le libertà, quali appunto la conoscibilità o la sottrazione di segreti aziendali.
Il Garante conferma quindi la violazione delle disposizioni di cui agli artt. 12 e 15 del GDPR.
Sulla conservazione per 5 anni delle e-mail dei dipendenti
Nell’ambito dell’istruttoria svolta, è emerso poi che la società effettuava una conservazione delle e-mail che transitano sugli account aziendali dei propri dipendenti, mediante un backup della posta elettronica disposta per un periodo di 5 anni, al fine di preservare il patrimonio informativo della società in relazione all’attività di vigilanza a cui la stessa è sottoposta
Tuttavia, tale attività non è risultata contemplata e disciplinata in nessuno dei documenti informativi predisposti nei confronti dei dipendenti, non mettendo in condizione gli interessati di conoscere l’attività di trattamento effettivamente svolta sulla posta elettronica in transito sui propri account, né i tempi di conservazione, le finalità di tale trattamento e i relativi presupposti di legittimità.
Ciò, in violazione del principio di correttezza e trasparenza (art. 5, par. 1, lett. a) GDPR) che, nell’ambito dei rapporti di lavoro, si esplica mediante la predisposizione di un’idonea informativa (art. 13).
Quanto alla motivazione addotta dalla società, ovvero la necessità di salvaguardare il patrimonio informativo in relazione all’attività di vigilanza a cui è sottoposta, il Garante ricorda, che – come già ribadito – la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l’adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche.
È opportuno quindi che la società predisponga delle misure e tecniche che garantiscano una ordinaria ed efficiente gestione dei flussi documentali aziendali, in conformità alle disposizioni vigenti, che siano meno invasive per il diritto alla riservatezza degli interessati, con ciò evitando di effettuare attività di accesso al contenuto delle comunicazioni pervenute sugli account assegnati ai dipendenti e collaboratori.
Ciò, anche sul presupposto che lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, su un account aziendale di tipo individualizzato è un’operazione che consente di conoscere anche informazioni personali relative all’interessato e ai terzi mittenti delle comunicazioni la cui aspettativa di riservatezza è, nel caso concreto, non adeguatamente tutelata (v. le Linee guida del Garante per posta elettronica e Internet).
L’attività di conservazione della posta elettronica aziendale mediante backup del contenuto delle e-mail, contrariamente a quanto ritenuto, costituisce un’operazione di trattamento dei dati personali, sulla base della definizione di “trattamento” che si ricava dall’art. 4, n. 2 del GDPR: ritenere, quindi, che la conservazione della posta elettronica aziendale in modalità “non on-line” non rappresenti un trattamento di dati personali, è un’interpretazione errata che non tiene conto della nozione più ampia di trattamento che è data dal GDPR.
Ciò posto, considerato che tale trattamento viene effettuato per un esteso periodo di tempo (pari a 5 anni), il Garante rileva l’illiceità dello stesso per violazione dei principi di minimizzazione, di limitazione delle finalità e di limitazione della conservazione (art. 5, par. 1, b), c) ed e) del GDPR), in quanto attività protrattasi per un periodo di tempo notevole, non necessaria né proporzionata rispetto allo scopo di garantire la continuità dell’attività.
Sulla conservazione dei log di navigazione internet
Nel caso di specie, le regole aziendali prevedevano un periodo di conservazione dei file di log relativi alla navigazione in Internet per un periodo di 12 mesi, per finalità connesse al corretto funzionamento del sistema informatico, per la tutela del patrimonio aziendale, ma anche per la difesa dei propri diritti contro gli abusi previsti dalla legge.
Come messo in evidenza in numerose circostanze dal Garante (provv. n. 613/2025), se la conservazione dei file di log è finalizzata ad assicurare la sicurezza informatica, il titolare del trattamento, in applicazione del principio di limitazione della conservazione, deve individuare un arco temporale congruo, rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.
Risulta quindi illecito, in quanto contrario ai principi di minimizzazione, di limitazione delle finalità e di limitazione della conservazione di cui all’art. 5, par. 1, lett. b), c) ed e) del GDPR, anche il trattamento effettuato dalla società in relazione alla conservazione dei file di log della navigazione in Internet.
Inoltre, aggiunge il Garante, la conservazione dei file di log finalizzata alla difesa dei diritti in giudizio è uno strumento a disposizione del datore di lavoro idoneo a realizzare un controllo sull’attività dei dipendenti e, pertanto, rileva anche sotto il profilo del rispetto della disciplina di cui alla L. 300/1970.
L’art. 4 della L. 300/1970 prevede una specifica procedura di garanzia in caso di impiego di strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, i quali “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali” o, in mancanza di accordo, “previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”.
Nel caso in esame, sia il backup della posta elettronica aziendale sia la conservazione dei log della navigazione in Internet rappresentano degli strumenti che sono potenzialmente idonei a realizzare un controllo sull’attività dei dipendenti in quanto consentono di trattare (ovvero di raccogliere nell’ambito del rapporto di lavoro e di conservare per un esteso periodo di tempo) informazioni e dati personali riferiti ai lavoratori, in assenza delle garanzie stabilite dalla legge.
Considerato, quindi, che la Società non risulta aver verificato la sussistenza, in concreto, delle tassative finalità indicate dall’art. 4 della legge citata (con particolare riferimento ai cd. scopi difensivi) né che abbia, all’esito di tale verifica, attivato la procedura di garanzia prevista dalla richiamata disciplina di settore, deve ritenersi confermata la violazione degli artt. 5, par. 1, lett. a) e 88 del GDPR, che è richiamata dall’art. 114 del Codice (“Garanzie in materia di controllo a distanza”) come condizione di liceità dei trattamenti di dati personali effettuati nel contesto del rapporto di lavoro.
