l’email aziendale non è solo un mezzo di lavoro

Il Garante Privacy impone alle imprese di garantire il diritto di accesso ai messaggi professionali: ecco come cambia la gestione della posta elettronica.

La casella email aziendale non può più essere considerata un semplice strumento di lavoro di esclusiva proprietà datoriale, ma va trattata come un contenitore di dati personali su cui il lavoratore esercita un pieno diritto di accesso. Una recente decisione del Garante per la protezione dei dati personali ha sancito un principio generale che supera ogni prassi di filtraggio unilaterale: il dipendente ha il diritto di ottenere copia dei messaggi contenuti nella propria posta elettronica, anche se questi hanno una natura prettamente professionale. La distinzione tra sfera privata e lavorativa, dunque, non è più un parametro sufficiente per negare l’ostensione dei documenti richiesti in base al Gdpr.

Il nuovo orientamento del Garante privacy

Il provvedimento n. 10233328 del 12 marzo 2026 emesso dall’Autorità Garante segna un punto di rottura rispetto alla gestione tradizionale della corrispondenza digitale negli uffici. L’intervento nasce dal reclamo di un ex dipendente a cui l’azienda aveva negato l’accesso a parte della propria casella di posta dopo la fine del rapporto. L’impresa aveva infatti operato una selezione preventiva, consegnando solo i messaggi ritenuti “personali” e trattenendo quelli “professionali” per tutelare il proprio patrimonio informativo.

Secondo il Garante, questo comportamento è illegittimo. Il Regolamento Ue 2016/679 (Gdpr) stabilisce che un’email, pur riguardando l’attività lavorativa, può veicolare informazioni che identificano o riguardano il dipendente, come istruzioni operative, valutazioni sulla performance o contestazioni. Di conseguenza, l’articolo 15 del Gdpr impone che l’accesso non possa essere limitato arbitrariamente dal datore di lavoro sulla base di una propria valutazione soggettiva del contenuto.

Il superamento del filtraggio unilaterale

Per le aziende italiane, il rischio maggiore risiede nel metodo utilizzato per rispondere alle istanze dei lavoratori. La gestione “difensiva”, che prevede la lettura preventiva dei messaggi da parte dei vertici aziendali o dei consulenti tecnici per decidere cosa mostrare, viene bocciata. Il diritto di accesso richiede trasparenza e le limitazioni devono essere motivate da ragioni specifiche, documentate e dimostrabili, non da presunzioni generali di riservatezza aziendale.

Non si tratta di una resa incondizionata del datore di lavoro, che mantiene il diritto di proteggere segreti industriali o dati di terzi (clienti e fornitori) presenti nelle conversazioni. Tuttavia, il bilanciamento tra questi interessi contrapposti deve avvenire tramite misure tecniche adeguate, come l’oscuramento di nomi o l’estrazione mirata di dati, invece di una compressione totale del diritto dell’interessato. Il baricentro normativo si sposta così dalla discrezionalità padronale alla cosiddetta accountability, ovvero la responsabilità verificabile dei processi.

La fine dell’email come archivio permanente

Un altro aspetto analizzato dal Garante riguarda l’organizzazione degli archivi digitali. Spesso le imprese utilizzano la posta elettronica come un magazzino infinito di documenti, decisioni e contratti, conservando i messaggi per periodi lunghissimi senza alcun criterio selettivo. Questa pratica si scontra frontalmente con i principi di minimizzazione e limitazione della conservazione dei dati.

L’indicazione che arriva dalle autorità è quella di ripensare radicalmente le policy interne:

• prevedere sistemi alternativi e strutturati per la conservazione documentale che non coincidano con la posta elettronica;

• definire procedure standard per gestire le richieste di accesso ai dati, specialmente al momento della cessazione del rapporto di lavoro;

• limitare temporalmente la conservazione dei metadati relativi alla posta;

• adottare scelte tecniche che permettano di distinguere chiaramente tra comunicazioni e documenti da archiviare;

Il legame con lo Statuto dei lavoratori

La gestione delle caselle di posta elettronica non è solo una questione di protezione dati, ma si intreccia con l’articolo 4 della legge 300/1970, lo Statuto dei lavoratori. L’accesso ai messaggi e la loro analisi possono infatti configurare una forma di controllo a distanza dell’attività lavorativa. Se le procedure di gestione e controllo della posta non sono chiare e condivise, l’azienda espone se stessa a pericoli non solo sanzionatori, ma anche di natura probatoria in eventuali contenziosi legali.

La posta elettronica rappresenta oggi il principale punto di contatto tra i poteri di direzione dell’impresa e i diritti fondamentali del lavoratore. Per evitare pesanti ripercussioni, le società devono muoversi verso una separazione netta: la posta deve tornare a essere uno strumento di comunicazione veloce, mentre la memoria storica dell’azienda deve essere affidata a sistemi di gestione documentale governati centralmente.

Guida alla conformità per le imprese

Per adeguarsi alle novità emerse nella primavera del 2026 e pubblicate anche dalle cronache specializzate del settore, le organizzazioni devono implementare una serie di passaggi operativi:

• adottare una policy formalmente corretta che chiarisca l’uso della posta e le modalità di accesso post-chiusura del rapporto;

• implementare misure organizzative coerenti con l’articolo 5, paragrafo 2 del Regolamento europeo;

• assicurare che ogni limitazione all’accesso sia supportata da una prova specifica di pregiudizio;

• formare il personale addetto alle risorse umane e all’informatica sulla corretta estrazione dei dati personali;

Il messaggio del Garante è perentorio: l’email non è una zona franca. Senza una strategia basata sulla responsabilizzazione e sulla trasparenza, il rischio di un contenzioso ad alto impatto economico diventa una certezza per ogni realtà imprenditoriale.