CIRCOLARE MONOGRAFICA
Il diritto di accesso ex art. 15 del Codice della Privacy si estende all’intero contenuto della casella e-mail individualizzata
A CURA DI STUDIO TRIBUTARIO GAVIOLI & ASSOCIATI | 21 APRILE 2026
Il lavoratore può accedere ai messaggi del proprio account email aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali. Il diritto di accesso riguarda tutti i dati personali, comprese le comunicazioni intercorse tramite un account aziendale individualizzato. Non è, quindi, legittimo selezionare preventivamente i contenuti da fornire né limitarli o oscurarli sulla base della distinzione tra ambito personale e professionale, così il Garante Privacy con Provvedimento n. 165 del 12 marzo 2026 .
Premessa
Con il Provvedimento n. 165 del 12 marzo 2026 , il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento dei datieffettuato da una società, in relazione alla gestione della posta elettronica aziendale di un ex dipendente.
L’Autorità ha chiarito che il diritto di accesso ex art. 15 del Codice della Privacy si estende all’intero contenuto della casella e-mail individualizzata, senza che il datore possa limitarlo alle sole comunicazioni “personali”.
La questione posta al Garante
Con il reclamo presentato all’Autorità in data 20 luglio 2023, un ex dipendente segnalava una violazione della disciplina in materia di protezione dei dati personali posta in essere dalla sua società, ex datore di lavoro, consistente, in particolare, nel riscontro ritenuto non idoneo all’istanza di esercizio dei diritti formulata ai sensi dell’art. 15 del Regolamento.
In particolare, il reclamante rappresentava che, a seguito della cessazione del rapporto di lavoro con la Società, chiedeva alla stessa di poter accedere ai documenti e alle cartelle personali presenti sul pc e nella casella di posta elettronica aziendale di tipo individualizzato, utilizzata nel corso del rapporto di lavoro.
Nel corso degli incontri avvenuti presso la sede della Società, la stessa consentiva l’accesso al desktop e il recupero dei documenti personali, mentre l’accesso alla posta elettronica non veniva eseguito, a causa di non meglio precisate ragioni tecniche.
Nel corso dell’incontro svoltosi nel giugno 2022, la Società consegnava “la posta solamente personale quali scambi con famigliari, CU personali, rimborsi spese”, mentre non venivano consegnati altri messaggi di posta elettronica afferenti all’attività lavorativa e/o documenti ritenuti dai referenti della società non a contenuto personale.
Il reclamante, pertanto, formulava un’istanza di esercizio dei diritti ai sensi dell’art. 15 del Regolamento, chiedendo formalmente alla Società di ricevere “copia di tutte le e-mail presenti nella casella di posta elettronica (…) dal 1° marzo 2021 in poi” oltre ad altra documentazione inerente al rapporto lavorativo.
La Società, rappresentava che:
- i messaggi che transitano sugli account di posta elettronica dei dipendenti vengono conservati con misure di sicurezza adeguate in esito all’analisi del rischio, come documentate nel Registro dei trattamenti. Il backup della casella e-mail viene conservato per un periodo massimo di 5 anni. Il titolare ha inteso operare una conservazione entro i termini indicati, ritenendoli congrui al rispetto dei principi di necessità, pertinenza e non eccedenza;
- le finalità per le quali si è ritenuto di individuare il tempo di conservazione di cinque anni trovano fondamento nella necessità di preservare il patrimonio informativo della società in relazione all’attività di vigilanza a cui la stessa è sottoposta, considerati i termini di prescrizione di legge derivanti dal core business di un’impresa assicurativa;
- i messaggi di posta, avendo rilevanza giuridico-commerciale, sono quindi solamente conservati, senza che sia realizzato alcun ulteriore diverso trattamento per il tempo necessario ad assicurare la possibilità, laddove richiesto dal Titolare del trattamento, di adempiere alle finalità rappresentate. La sola conservazione in sistemi non on-line, senza ulteriori trattamenti, infatti, garantisce che il contenuto dei messaggi di posta elettronica, così come gli allegati, in quanto forme di corrispondenza assistite da garanzia di segretezza costituzionale, non siano oggetto di accesso, a meno che non ricorrano le necessità di cui alle finalità indicate;
- con riferimento ai controlli sugli account di posta elettronica la società ha precisato che pur avendone prevista nelle policy aziendali la possibilità, non sono mai stati effettuati controlli a distanza volti a verificare l’attività dei lavoratori né in costanza di rapporto di lavoro né successivamente alla conclusione.
La normativa in materia di protezione dei dati personali
Come costantemente affermato dal Garante della privacy, il contenuto dei messaggi di posta elettronica, come pure i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.
Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.
Considerato che l’impiego dei predetti programmi e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili nel contesto lavorativo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4, della Legge 20 maggio 1970, n. 300, nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata.
Il titolare del trattamento è tenuto a rispettare i principi generali del trattamento e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali, anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal Regolamento e di essere pienamente consapevole, prima che il trattamento abbia inizio, delle caratteristiche dello stesso.
Inoltre, in attuazione del principio di “responsabilizzazione”, spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e considerata:
- la natura;
- l’oggetto;
- il contesto;
- le finalità perseguite,
che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.
La disciplina di settore in materia di controlli a distanza
L’art. 4, comma 1, Legge 20 maggio 1970, n. 300, come modificato dal D.Lgs. 14 settembre 2015, n. 151 (c.d. Job Acts), individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).
Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, Legge n. 300/1970).
Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1 , e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del già menzionato quadro normativo.
Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono, quindi, ai limiti e alle garanzie, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.
Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2, dell’art. 4 della Legge n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, il Garante della privacy (Provvedimento Garante Privacy n. 364 del 6 giugno 2024 ) ritiene necessario che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni.
Sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2, dell’art. 4, della Legge n. 300/1970, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5 , par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare.
Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Principio di correttezza e trasparenza
Tutti i titolari del trattamento sono chiamati a verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano.
A questo proposito è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.).
Accesso alle e-mail e la giurisprudenza di legittimità
La giurisprudenza ha ritenuto corretto e legittimo l’accesso alle e-mail del dipendente da parte del datore di lavoro nei casi di c.d. controllo difensivo, ovverosia posto in essere dal datore di lavoro al fine di accertare se il lavoratore abbia o meno posto in essere un comportamento potenzialmente lesivo dell’immagine dell’azienda o del patrimonio aziendale, quindi nell’esercizio del diritto di difesa in sede giudiziaria tutelato anche dall’art. 24 Costituzione, sempre che non venga meno ogni forma di garanzia della dignità e riservatezza del lavoratore (in tal senso Cass. Civ., n. 18302/2016).
In tale contesto, la disciplina del controllo a distanza è stata riscritta dal legislatore con il D.Lgs. n. 151/2015 (c.d. Jobs Act) che nel modificare l’art. 2, dello Statuto dei Lavoratori ha previsto che in presenza di “strumenti di lavoro” (tra i quali rientrano certamente i pc aziendali) non operi più il filtro dell’accordo con le organizzazioni sindacali e che le informazioni così raccolte possano essere utilizzate per “tutti i fini connessi al rapporto di lavoro” a condizione che venga fornita al lavoratore idonea informativa.
La disposizione del Garante
Osserva il Garante, con riferimento al Provvedimento in argomento, che nell’ambito dell’istruttoria svolta, è emerso che la Società effettua una conservazione delle e-mail che transitano sugli account aziendali dei propri dipendenti, mediante un backup della posta elettronica disposta per un periodo di 5 anni, al fine di “preservare il patrimonio informativo della società in relazione all’attività di vigilanza a cui la stessa è sottoposta”.
Occorre, innanzitutto, osservare che la specifica attività di backup, disposta dalla Società sul contenuto delle caselle di posta elettronica assegnate ai dipendenti, non è stata contemplata e disciplinata in nessuno dei documenti informativi predisposti nei confronti dei dipendenti.
Ne deriva, quindi, che gli interessati non sono stati messi in condizione di conoscere l’attività di trattamento effettivamente svolta sulla posta elettronica in transito sui propri account, né i tempi di conservazione, le finalità di tale trattamento e i relativi presupposti di legittimità.
Tale condotta risulta, quindi, contraria al principio di correttezza e trasparenza (art. 5 , par. 1, lett. a) del Regolamento) che, nell’ambito dei rapporti di lavoro, si esplica mediante la predisposizione di un’idonea informativa (art. 13 del Regolamento).
L’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per il Garante il trattamento dei dati personali effettuato dalla società risulta illecito.
La violazione accertata non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento dei dati e le disposizioni più specifiche in materia di controlli a distanza, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l’Autorità di controllo ha preso conoscenza della violazione.
Alla luce delle circostanze del caso concreto, il Garante dispone di:
- consentire all’ex dipendente reclamante l’accesso integrale al contenuto della corrispondenza presente sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di lavoro;
- conformare la policy aziendale e i trattamenti descritti alla disciplina in materia di protezione dei dati personali;
- applicare una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58 , par. 2, lett. i), del Regolamento); si tratta di una sanzione di 50.000 euro da pagare entro 30 giorni dalla notifica del Provvedimento in commento.
Riferimenti normativi:
- Legge 20 maggio 1970, n. 300, art. 4
- D.Lgs. 30 giugno 2003, n. 196
- D.Lgs. 14 settembre 2015, n. 151
- Regolamento UE 27 aprile 2016, n. 2016/679
- “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13
- Garante Privacy, Provvedimento 6 giugno 2024, n. 364
- Garante Privacy, Provvedimento 12 marzo 2026, n. 165
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.
Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise.