Il Garante per la protezione dei dati personali, con provvedimento del 12 marzo 2026, pubblicato nella newsletter del 15 aprile 2026, ha affermato che il lavoratore, dopo la cessazione del rapporto di lavoro, può accedere ai messaggi del proprio account e-mail aziendale e ai documenti presenti nel pc.
In particolare, il Garante è intervenuto in ordine ad un reclamo effettuato da un ex dipendente di una Società che, dopo la cessazione del rapporto di lavoro, aveva chiesto, di accedere alla propria casella aziendale di posta elettronica utilizzata nel corso del rapporto lavorativo, al fine di estrarre copia delle e-mail presenti.
La Società, dopo aver effettuato l’accesso alla stessa aveva fornito al lavoratore esclusivamente i messaggi ritenuti strettamente personali, escludendo quelli legati all’attività lavorativa.
L’Autorità, all’esito dell’istruttoria eseguita, ha rilevato come la Società avesse effettuato operazioni di trattamento non conformi alla disciplina in materia di dati personali, irrogando alla stessa una sanzione di cinquanta mila euro ed ordinando di consentire all’ex dipendente l’accesso integrale ai dati richiesti, nonché di adeguare informative e policy interne.
Il Garante, nel richiamare il prevalente orientamento della Corte Europea dei diritti dell’uomo, ha osservato, infatti, come la linea di confine tra ambito lavorativo e ambito privato non sempre è così netta e come le comunicazioni di tipo elettronico scambiate sul luogo di lavoro rientrino nella nozione di “vita privata” e di “corrispondenza” di cui all’art. 8 della CEDU.
Secondo l’Autorità, la protezione della vita privata si estende anche all’ambito lavorativo in quanto, durante lo svolgimento di attività lavorative, si sviluppano relazioni dove si esplica la personalità del lavoratore ed il contenuto dei messaggi di posta elettronica attiene a forme di corrispondenza assistite da garanzie di segretezza tutelata anche costituzionalmente.
Il Garante ha, inoltre, ritenuto illecita l’ulteriore attività di oscuramento e anonimizzazione effettuata dalla Società sul contenuto della corrispondenza dell’ex dipendente al fine di rispondere alla esigenza di tutelare i diritti dei terzi e i segreti aziendali contenuti nella e-mail, in quanto il Regolamento prevede che il diritto di accesso possa essere limitato solo in caso di richieste manifestatamente infondate o eccessive (art. 12, par. 5 del Regolamento 2016/679).
In particolare, la generica preoccupazione per cui, dando seguito alla richiesta di accesso, i diritti altrui possano essere lesi, non è sufficiente in quanto il titolare del trattamento deve essere in grado di dimostrare, nella situazione concreta, i diritti e le libertà asseritamente violati.
Infine, il Garante ha rilevato criticità nella gestione dei dati, in particolare per la mancanza di trasparenza nelle informative e per i tempi di conservazione delle e-mail, pari a 5 anni e dei dati di navigazione (12 mesi), ritenuti non proporzionati rispetto alle finalità dichiarate.
Il Garante ha, altresì, chiarito che la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale, è assicurata dalla predisposizione di sistemi di gestione dei documenti con cui individuare quali devono essere archiviati con modalità idonee a garantirne le caratteristiche di autenticità, mentre i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tale caratteristica.
A ciò si aggiunga che lo scambio di corrispondenza elettronica estranea o meno all’attività lavorativa su un account aziendale di tipo individualizzato è considerata un’operazione che consente di conoscere anche informazioni personali relative all’interessato e ai terzi mittenti delle comunicazioni, violando così il diritto alla riservatezza con la loro conservazione se non adeguatamente regolato.
Per leggere il Provvedimento clicca qui