Ex dipendente e accesso alla email aziendale: cosa dice il Garante privacy

Un recente provvedimento del Garante per la protezione dei dati personali ha riportato al centro dell’attenzione un tema molto delicato nei rapporti di lavoro: il diritto dell’ex dipendente ad accedere ai dati contenuti nella propria casella di posta elettronica aziendale e nel computer utilizzato durante il rapporto. Nel caso deciso con provvedimento del 12 marzo 2026, n. 165, l’Autorità ha ritenuto illecito il comportamento della società che aveva filtrato i messaggi, consegnando all’ex lavoratore soltanto quelli ritenuti “strettamente personali”, e ha ordinato l’accesso integrale al contenuto della corrispondenza presente sull’account aziendale individualizzato, applicando inoltre una sanzione amministrativa di 50.000 euro.

Il caso esaminato dal Garante

La vicenda nasce dalla richiesta di un ex dipendente che, dopo la cessazione del rapporto di lavoro, aveva domandato di poter recuperare documenti, cartelle personali e contenuti presenti nella propria casella email aziendale. La società aveva consentito il recupero di parte dei documenti dal desktop, ma non aveva inizialmente permesso l’accesso alla posta elettronica; successivamente aveva consegnato solo una selezione di email considerate personali, escludendo altri messaggi collegati all’attività lavorativa. Il Garante ha ritenuto illegittima questa scelta, affermando che il datore di lavoro non può esaminare preventivamente il contenuto delle email per decidere unilateralmente quali comunicazioni rendere accessibili all’interessato.

Il diritto di accesso ai dati personali dell’ex dipendente

Il punto centrale è che anche nel contesto lavorativo il dipendente, e dopo la cessazione del rapporto anche l’ex dipendente, mantiene il diritto di accedere ai dati personali che lo riguardano trattati dal datore di lavoro. Questo diritto trova fondamento nell’art. 15 del GDPR e riguarda non solo i dati anagrafici o amministrativi, ma anche le informazioni contenute negli strumenti di lavoro quando tali informazioni si riferiscono alla persona interessata. Il provvedimento del Garante si muove precisamente in questa direzione, riconoscendo che il contenuto della corrispondenza presente sull’account aziendale individualizzato rientra nell’ambito del diritto di accesso.

La email aziendale non è un’area sottratta alla tutela dei dati personali

Uno degli aspetti più interessanti del provvedimento è il rigetto dell’idea secondo cui la posta elettronica aziendale, essendo messa a disposizione dal datore di lavoro, sarebbe nella piena ed esclusiva disponibilità dell’azienda. Il Garante ha chiarito che questo convincimento è errato. Anche quando l’account è aziendale, il contenuto della corrispondenza può includere dati personali del lavoratore e quindi non può essere sottratto alle garanzie previste dalla normativa privacy. Proprio per questo è stata ritenuta contraria ai principi del GDPR la condotta della società che aveva esaminato preventivamente le email per limitare l’accesso alle sole comunicazioni ritenute personali.

I limiti del datore di lavoro

Ciò non significa che il datore di lavoro sia privo di poteri di organizzazione, controllo e tutela del patrimonio aziendale. Significa però che tali poteri devono essere esercitati entro confini precisi. Il trattamento dei dati personali del lavoratore deve rispettare i principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione. Inoltre, nel contesto lavorativo, si applicano anche le garanzie specifiche previste dall’art. 88 del GDPR e dall’art. 114 del Codice privacy, in collegamento con l’art. 4 dello Statuto dei lavoratori. Lo stesso Garante, nel provvedimento del 12 marzo 2026, ha contestato alla società violazioni degli artt. 5, 12, 13, 15 e 88 del GDPR, oltre che dell’art. 114 del Codice.

Il problema del filtraggio preventivo delle email

Il datore di lavoro non può sostituirsi all’interessato nella selezione dei messaggi da consegnare, decidendo cosa sia personale e cosa non lo sia. Un simile filtraggio comporta infatti un’ulteriore attività di consultazione e trattamento dei dati, che deve essere giustificata e conforme ai principi del GDPR. Nel caso esaminato dal Garante, proprio questa attività di esame preventivo è stata considerata una delle ragioni dell’illiceità del trattamento.

La tutela dei dati di terzi

Resta naturalmente il tema dei dati riferiti a soggetti terzi eventualmente presenti nella corrispondenza. Ma anche questo profilo non autorizza una compressione indiscriminata del diritto di accesso. La tutela dei terzi deve essere perseguita con misure proporzionate, non con la soppressione arbitraria di intere categorie di messaggi o con la consegna parziale e selettiva del contenuto della casella email. Il provvedimento, infatti, ha ordinato l’accesso integrale al contenuto della corrispondenza presente sull’account individualizzato.

L’importanza delle policy aziendali

La decisione del Garante richiama anche un altro profilo fondamentale: la necessità che il datore di lavoro adotti policy aziendali chiare, aggiornate e conformi alla disciplina in materia di protezione dei dati personali. Nel caso esaminato, l’Autorità non si è limitata a ordinare l’accesso integrale alle email, ma ha anche prescritto alla società di conformare le proprie policy e i trattamenti descritti alla normativa privacy. Questo passaggio mostra con chiarezza che la gestione degli account aziendali, dei log di navigazione e degli strumenti informatici non può essere lasciata a prassi interne vaghe o discrezionali.

Cosa insegna questo provvedimento

La decisione del Garante offre un’indicazione molto netta: la cessazione del rapporto di lavoro non fa venir meno il diritto dell’ex dipendente ad accedere ai propri dati personali. Se tali dati sono contenuti nella casella email aziendale o nel computer assegnato durante il rapporto, il datore di lavoro non può opporre un diniego generico né consegnare soltanto ciò che ritiene unilateralmente “personale”. Occorre invece garantire un riscontro effettivo, completo e conforme alla disciplina europea e nazionale in materia di protezione dei dati personali.

Le conseguenze per le imprese

Per le aziende il messaggio è molto chiaro. La gestione della posta elettronica aziendale del personale, sia durante il rapporto sia dopo la sua cessazione, deve essere disciplinata con attenzione. Servono informative adeguate, regole interne trasparenti, tempi di conservazione proporzionati e procedure che consentano di gestire le richieste di accesso senza indebite compressioni dei diritti degli interessati. In caso contrario, il rischio non è soltanto quello di un reclamo al Garante, ma anche quello di prescrizioni correttive e di sanzioni amministrative, come avvenuto nel caso deciso il 12 marzo 2026 e richiamato anche nella newsletter del Garante del 15 aprile 2026.

Conclusioni

Il rapporto di lavoro non sospende la tutela dei dati personali, e la fine del rapporto non cancella i diritti dell’interessato. La casella email aziendale individualizzata e i dati contenuti negli strumenti informatici di lavoro non possono essere gestiti dal datore come uno spazio totalmente sottratto alle garanzie del GDPR. Il recente provvedimento del Garante lo conferma con chiarezza: l’ex dipendente ha diritto a un accesso reale e non meramente apparente, mentre l’azienda è tenuta a organizzare i propri trattamenti in modo trasparente, proporzionato e conforme alla legge.

Consulenza legale anche online

Oltre ad offrire assistenza legale, mettiamo a disposizione un servizio di consulenza online nei nostri ambiti di intervento. Contattaci per fissare un appuntamento in videoconferenza su Skype o su altre piattaforme.

Contatta l'Avvocato Pisanello per
Assistenza Legale Specializzata

Se stai affrontando situazioni di violenza o discriminazione, non esitare a contattarci per una consulenza legale specializzata.