Gestione e conservazione delle email aziendali e dei dati dei dipendenti. Provvedimento del Garante Privacy

da | Mag 7, 2026

Lavoro, PRIMO PIANO

Print Friendly, PDF & Email

Si segnala  un importante provvedimento adottato dal Garante per la protezione dei dati personali , che fornisce indicazioni rilevanti per la gestione degli account di posta elettronica aziendale, dei log di navigazione e, più in generale, dei dati dei lavoratori.

Il caso ha riguardato una società sanzionata per trattamenti non conformi al GDPR nell’ambito della gestione della posta elettronica di un ex dipendente.

 Principali violazioni accertate

Il Garante ha rilevato diverse violazioni della normativa privacy, tra cui:

a) Diritto di accesso ai dati (artt. 12 e 15 GDPR)

  • Il lavoratore ha diritto di accedere a tutti i dati personali contenuti nella propria casella e-mail, anche se utilizzata per fini lavorativi.
  • Non è legittimo:
    • limitare l’accesso alle sole email “personali”;
    • filtrare preventivamente i messaggi da parte del datore di lavoro;
    • oscurare o anonimizzare i contenuti in modo generalizzato senza adeguata motivazione. Il Garante chiarisce che anche le email lavorative possono contenere dati personali del dipendente.

b) Conservazione delle email e dei dati (art. 5 GDPR)

  • È stata ritenuta illecita la conservazione mediante backup per 5 anni dell’intero contenuto delle caselle email aziendali.
  • Violati i principi di:
    • minimizzazione;
    • limitazione della finalità;
    • limitazione della conservazione.

Le email non possono essere usate come archivio documentale aziendale.

c) Trasparenza e informativa (art. 13 GDPR)

  • I dipendenti non erano adeguatamente informati:
    • sulle modalità di backup;
    • sui tempi di conservazione;
    • sulle finalità del trattamento.

d) Controlli a distanza (art. 4 Statuto dei lavoratori)

  • La conservazione di email e log di navigazione è stata considerata potenzialmente idonea al controllo a distanza dei dipendenti:

non ha attivato le procedure sindacali/autorizzative previste; non ha verificato la legittimità delle finalità.

Principi chiave ribaditi dal Garante

Il provvedimento ribadisce alcuni principi fondamentali:

  •  Le comunicazioni email aziendali rientrano nella sfera di “corrispondenza privata” tutelata.
  •  Il lavoratore mantiene diritti sui propri dati anche dopo la cessazione del rapporto.
  •  Il datore non può considerare la posta aziendale come esclusiva proprietà aziendale priva di diritti dell’interessato.
  •  I sistemi email non sono strumenti idonei alla conservazione a lungo termine dei documenti

Sanzioni e misure disposte

Il Garante ha:

dichiarato illecito il trattamento dei dati e ordinato alla società:

di concedere accesso completo alla casella email dell’ex dipendente;

di adeguare policy e trattamenti;

irrogato una sanzione amministrativa di € 50.000.

Impatti operativi per le aziende

Alla luce del provvedimento, si raccomanda alle aziende di verificare:

 Gestione email

  • evitare backup indiscriminati e prolungati delle caselle;
  • definire tempi di conservazione brevi e proporzionati;
  • adottare sistemi documentali alternativi.

 Diritti dei dipendenti

  • garantire risposte complete alle richieste di accesso;
  • evitare filtri o selezioni arbitrarie delle e-mail.

 Informative e policy

  • aggiornare le informative privacy (art. 13 GDPR);
  • descrivere chiaramente:
    • modalità di trattamento;
    • finalità;
    • tempi di conservazione.

 Controlli a distanza

  • verificare la conformità all’art. 4 dello Statuto dei lavoratori;
  • attivare, se necessario:
    • accordo sindacale;
    • autorizzazione dell’Ispettorato.

 Log di navigazione

  • limitare i tempi di conservazione;
  • evitare utilizzi per finalità non strettamente giustificate.

Conclusioni

Il provvedimento conferma l’attenzione del Garante verso:

  • la tutela della riservatezza nel contesto lavorativo;
  • la corretta gestione degli strumenti digitali aziendali;
  • il rispetto effettivo dei diritti degli interessati.

Si tratta di un orientamento particolarmente rilevante, che richiede un’attenta revisione delle prassi aziendali, soprattutto in tema di email e sistemi informativi. Restiamo a disposizione per eventuali approfondimenti o per supporto nell’adeguamento delle policy aziendali.

Per Firenze: s.rinaldo@confindustriatoscanacentroecosta.it; e.masi@confindustriatoscanacentroecosta.it

Per Livorno: e.bartolo@confindustriatoscanacentroecosta.it

Per Massa Carrara: a.biso@confindustriatoscanacentroecosta.it

Allegati

Questo contenuto è riservato ai soci. Accedi per leggere tutto.