“Il lavoratore può accedere ai messaggi del proprio account e-mail aziendale e ai documenti presenti nel pc dopo la fine del rapporto di lavoro. Eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali”. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali con un provvedimento dello scorso 12 marzo 2026 reso noto il successivo 15 aprile 2026.
A seguito della cessazione del proprio rapporto di lavoro, l’ex lavoratore chiedeva alla società di accedere ai propri documenti e cartelle personali presenti sul PC e nella casella di posta elettronica aziendale individualizzata. Inizialmente, la società consentiva un accesso parziale, permettendo il recupero di file dal desktop ma non dalla casella e-mail per presunte ragioni tecniche. In un incontro successivo, la società consegnava solo la corrispondenza ritenuta “strettamente personale” (scambi con familiari, CU, rimborsi spese), escludendo tutte le comunicazioni relative all’attività lavorativa.
Di fronte a questa limitazione, l’interessato formalizzava un’istanza di accesso ai sensi dell’art. 15 del Regolamento (UE) 2016/679 (GDPR), chiedendo copia di tutte le e-mail presenti sul proprio account aziendale a partire da una certa data. La società rispondeva sostenendo che la richiesta esulasse dal diritto di accesso, in quanto le informazioni nella casella di posta erano di sua proprietà, e che l’accesso dovesse limitarsi ai soli dati personali dell’interessato.
L’Autorità ha ritenuto tale comportamento non conforme alla normativa, ribadendo che il diritto di accesso dell’interessato si estende a tutti i dati personali che lo riguardano, indipendentemente dalla loro qualificazione come personali o professionali:
“Il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali”.
Pertanto, le comunicazioni in transito su un account individualizzato, anche se di natura lavorativa, sono dati personali dell’assegnatario dell’account. La pretesa della società di considerare tali comunicazioni di sua “piena ed esclusiva disponibilità” è stata giudicata un “erroneo convincimento”.
È stata considerata illecita anche l’attività di oscuramento e anonimizzazione effettuata dalla società. Sebbene il GDPR preveda limitazioni al diritto di accesso per tutelare i diritti e le libertà altrui (inclusi i segreti aziendali), il titolare del trattamento deve dimostrare un pregiudizio effettivo e concreto. Nel caso di specie, la società non ha fornito elementi a supporto di tale rischio e l’oscuramento dei dati di terzi è apparso non necessario, dato che erano informazioni già note al reclamante.
Il provvedimento evidenzia inoltre ulteriori criticità sotto il profilo della conformità alla normativa. Il Garante ha infatti rilevato carenze in termini di trasparenza delle informative e ha ritenuto non proporzionati i tempi di conservazione adottati dalla società (pari a 5 anni per le e-mail e 12 mesi per i dati di navigazione), in relazione alle finalità dichiarate.
Alla luce delle violazioni accertate, l’Autorità ha irrogato una sanzione amministrativa pari a 50.000 euro, ordinando altresì alla società di consentire l’accesso integrale ai dati richiesti e di adeguare le proprie informative e policy interne.
Need information? Write to us and our team of experts will respond as soon as possible.
Fill in the form