COMMENTO
DI FRANCESCA BICICCHI – STUDIO NEVIO BIANCHI & PARTNERS | 11 MAGGIO 2026
Il Garante Privacy ha stabilito che l’ex dipendente può accedere a email e dati presenti negli strumenti aziendali utilizzati durante il rapporto di lavoro. La decisione impone alle imprese una revisione di policy e tempi di conservazione dei dati; con il Provvedimento del 12 marzo 2026 , il Garante per la protezione dei dati personali ha affrontato in modo diretto questo equilibrio complesso.
Premessa
La gestione delle email aziendali successivamente alla cessazione del rapporto di lavoro è da anni uno dei temi più delicati per imprese, uffici Risorse Umane e responsabili privacy. La trasformazione digitale ha infatti reso la posta elettronica uno strumento centrale dell’attività professionale: dentro una casella email si concentrano relazioni, documenti, decisioni operative, informazioni commerciali e dati personali.
Con il Provvedimento 12 marzo 2026 , il Garante per la protezione dei dati personali ha affrontato in modo diretto questo equilibrio complesso, affermando un principio destinato ad avere un impatto concreto sulle organizzazioni: l’ex dipendente ha diritto ad accedere ai dati contenuti nella propria casella email aziendale e nei dispositivi utilizzati durante il rapporto di lavoro.
La decisione riguarda una compagnia assicurativa sanzionata con 50.000 euro per aver limitato l’accesso richiesto da un ex lavoratore ai soli messaggi ritenuti “strettamente personali”, escludendo invece le comunicazioni considerate di natura professionale.
Secondo il Garante, una distinzione di questo tipo non è compatibile con il GDPR.
Il caso: accesso consentito solo alle email “personali”
La vicenda nasce dal reclamo presentato da un ex dipendente che, dopo la cessazione del rapporto, aveva chiesto copia dei messaggi presenti nella propria casella email aziendale e dei documenti salvati sul pc in uso.
L’azienda aveva effettuato un accesso preventivo all’account, analizzando il contenuto delle comunicazioni e selezionando soltanto quelle considerate personali. Tutto ciò che riguardava l’attività lavorativa era stato escluso dalla consegna, motivando tale scelta con la necessità di tutelare informazioni aziendali riservate, dati riferibili a terzi e possibili segreti commerciali.
Il Garante ha però ritenuto questa impostazione illegittima.
Secondo l’Autorità, il diritto di accesso previsto dall’articolo 15 del GDPR riguarda tutti i dati personali riferibili all’interessato, comprese le comunicazioni professionali transitate attraverso un account aziendale individualizzato. In altre parole, il fatto che una email abbia contenuto lavorativo non la priva automaticamente della natura di dato personale.
Cosa dice il GDPR sul diritto di accesso
Il provvedimento richiama uno dei principi fondamentali del Regolamento europeo sulla protezione dei dati: ogni persona ha diritto di sapere quali dati vengano trattati e di ottenerne copia.
Il diritto di accesso non riguarda soltanto documenti amministrativi o informazioni anagrafiche, ma comprende qualsiasi dato riferibile a una persona fisica identificata o identificabile.
Nel contesto lavorativo questo concetto assume una portata molto ampia; le email inviate o ricevute tramite un account nominativo raccontano attività, relazioni professionali, interlocuzioni, decisioni e comportamenti riconducibili al lavoratore.
Per questo motivo il Garante ha chiarito che il titolare del trattamento non può decidere unilateralmente quali comunicazioni consegnare e quali escludere sulla base della distinzione tra “vita privata” e “attività professionale”. Una selezione preventiva dei contenuti, se non supportata da motivazioni specifiche e documentate, viola il diritto di accesso dell’interessato.
I limiti possibili: segreti aziendali e diritti dei terzi
La decisione del Garante non significa che il diritto di accesso sia assoluto; il GDPR consente, infatti, di limitare l’accesso quando sia necessario tutelare diritti e libertà altrui, segreti commerciali o proprietà intellettuale.
Tuttavia, il punto centrale del provvedimento è un altro: tali limitazioni non possono essere generiche né automatiche. L’azienda deve dimostrare concretamente quali informazioni necessitano di protezione, perché la loro divulgazione potrebbe creare un danno e quali specifici interessi debbano essere salvaguardati.
Secondo il Garante, nel caso esaminato questa dimostrazione non è stata fornita in modo adeguato, la semplice presenza di informazioni aziendali nelle email non basta quindi a giustificare una limitazione generalizzata del diritto di accesso.
Il problema della trasparenza
Oltre alla gestione dell’istanza di accesso, il Garante ha contestato anche la qualità delle informative privacy adottate dalla compagnia assicurativa e fornite ai dipendenti che sono state considerate insufficientemente chiare e non pienamente conformi ai principi di trasparenza previsti dagli articoli 12 e 13 del GDPR.
Il tema è particolarmente rilevante nel mondo del lavoro. Difatti, molte aziende utilizzano strumenti digitali sofisticati – sistemi di logging, piattaforme collaborative, monitoraggio degli accessi, backup automatizzati – senza spiegare in modo comprensibile quali dati vengano raccolti, per quali finalità, per quanto tempo siano conservati, chi possa accedervi equali diritti spettino ai lavoratori. Il provvedimento ricorda invece che la trasparenza non è un adempimento formale, ma un elemento essenziale della correttezza del trattamento.
Tempi di conservazione sotto osservazione
Un altro profilo particolarmente importante riguarda la conservazione dei dati.
La compagnia assicurativa conservava le email per 5 anni e i dati di navigazione internet per 12 mesi. Secondo il Garante, tali periodi non risultavano proporzionati rispetto alle finalità dichiarate. La decisione richiama il principio di minimizzazione previsto dal GDPR: i dati devono essere conservati soltanto per il tempo realmente necessario.
Questo tema interessa oggi praticamente tutte le organizzazioni, tenendo conto che le infrastrutture digitali moderne consentono archiviazioni massive e backup prolungati, ma la disponibilità tecnologica non può trasformarsi in una conservazione indefinita delle informazioni.
Le imprese devono quindi essere in grado di motivare e documentare i propri criteri di retention.
Le conseguenze per aziende e uffici Risorse Umane
Il provvedimento del Garante avrà inevitabilmente effetti concreti sulle procedure interne delle aziende.
Molte organizzazioni, alla cessazione del rapporto di lavoro, disattivano immediatamente gli account oppure ne mantengono l’accessibilità per esigenze operative interne. In alcuni casi vengono attivati inoltri automatici, accessi condivisi o consultazioni da parte di superiori gerarchici.
La decisione del Garante impone però maggiore attenzione. Le imprese devono definire procedure chiare e documentate per la gestione degli account dopo la cessazione del rapporto, i tempi di disattivazione, la conservazione delle email, le modalità di esercizio dei diritti privacy, l’eventuale recupero di informazioni aziendali e la tutela della riservatezza delle comunicazioni.
Anche il ruolo degli amministratori di sistema assume un’importanza centrale; gli accessi tecnici alle caselle email devono essere autorizzati, tracciati e limitati alle finalità strettamente necessarie.
Privacy e rapporto di lavoro: un equilibrio sempre più delicato
La decisione del Garante si inserisce in un contesto più ampio, caratterizzato dalla crescente digitalizzazione delle attività lavorative in cui il confine tra dimensione personale e professionale è sempre meno netto.
Attraverso gli strumenti aziendali transitano comunicazioni operative, relazioni umane, valutazioni, documenti e informazioni che spesso riflettono direttamente l’identità professionale del lavoratore. Per questo motivo il GDPR impone alle organizzazioni un approccio fondato su proporzionalità, trasparenza e accountability. La protezione dei dati non può più essere considerata soltanto un tema tecnico o burocratico, ma è diventata parte integrante della governance aziendale e della gestione delle relazioni di lavoro.
Un segnale forte alle imprese
La sanzione da 50.000 euro inflitta alla compagnia assicurativa rappresenta certamente un elemento significativo, ma il valore più importante del provvedimento è probabilmente un altro. Il Garante ha inviato un messaggio chiaro alle imprese: gli strumenti digitali utilizzati nel contesto lavorativo non possono essere gestiti esclusivamente secondo logiche organizzative interne.
Le esigenze aziendali devono essere bilanciate con i diritti fondamentali della persona e ciò significa rivedere policy, informative, sistemi di conservazione, procedure HR e modalità di gestione degli account aziendali.
Conclusioni
Il Provvedimento 12 marzo 2026 segna un passaggio importante nell’evoluzione della tutela dei dati personali nel mondo del lavoro.
Il Garante ha chiarito che le email professionali contenute in un account individualizzato rappresentano dati personali dell’interessato e che il diritto di accesso non può essere limitato attraverso selezioni preventive operate unilateralmente dal datore di lavoro. La decisione richiama, inoltre, le imprese a una maggiore attenzione su trasparenza, tempi di conservazione e governance dei dati.
In un contesto in cui il lavoro è sempre più digitale, la gestione corretta delle informazioni personali diventa non solo un obbligo normativo, ma anche un elemento essenziale di fiducia e responsabilità organizzativa.
Riferimenti normativi:
- Regolamento 27 aprile 2016 n. 2016/679
- Garante Privacy, Provvedimento 12 marzo 2026
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.
Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise.