top of page
Cerca

Accesso alla casella email del dipendente: la casistica alla luce del provvedimento del Garante n. 754/2025

  • Immagine del redattore: Gabriele De Luca
    Gabriele De Luca
  • 3 ore fa
  • Tempo di lettura: 4 min

La posta elettronica aziendale rappresenta uno degli strumenti più delicati nel rapporto tra datore di lavoro e lavoratore sotto il profilo della protezione dei dati personali e della segretezza della corrispondenza. Il Garante per la Protezione dei Dati Personali è intervenuto ripetutamente su questo tema, ribadendo un principio chiaro: l’accesso indiscriminato o ingiustificato alla casella email assegnata al dipendente costituisce, in linea di massima, un trattamento illecito di dati personali.

Partendo dal provvedimento del 18 dicembre 2025 (Registro dei provvedimenti n. 754), pubblicato con docweb 10213574, analizziamo la casistica, le violazioni più ricorrenti e, soprattutto, le eccezioni in cui l’accesso può ritenersi lecito.


Il provvedimento del 18 dicembre 2025


Nel caso esaminato, un ex dipendente ha segnalato al Garante che l’azienda, dopo il licenziamento, aveva continuato ad accedere alla sua casella di posta elettronica aziendale. Il Garante ha accertato la violazione degli articoli 5, par. 1, lett. a), c) ed e) del GDPR (liceità, minimizzazione e limitazione della conservazione) e ha irrogato una sanzione di 40.000 euro.


Gli elementi chiave del provvedimento sono:

  • La casella email aziendale, anche se formalmente di proprietà del datore di lavoro, contiene spesso dati personali del dipendente e corrispondenza che può avere natura privata o comunque riferibile alla sua sfera individuale.

  • Mantenere attivo l’account e accedervi dopo la cessazione del rapporto, senza necessità concreta e documentata, viola il principio di minimizzazione e di limitazione della conservazione.

  • L’accesso configura un trattamento ulteriore di dati personali non supportato da una base giuridica valida.

Questo provvedimento si inserisce in una giurisprudenza amministrativa ormai consolidata del Garante, che negli ultimi anni ha sanzionato più volte aziende per accessi abusivi o per la mancata disattivazione tempestiva degli account.


Regola generale: l’accesso è vietato


Durante il rapporto di lavoro e, a maggior ragione, dopo la sua cessazione, il datore di lavoro non può accedere liberamente al contenuto della casella email del dipendente per le seguenti ragioni:

  • Tutela della segretezza della corrispondenza (art. 15 Cost. e art. 616 c.p.).

  • Protezione dei dati personali (GDPR): le email contengono dati personali del mittente/destinatario, talvolta categorie particolari (art. 9 GDPR) o dati relativi a terzi.

  • Divieto di controlli a distanza (art. 4 Statuto dei Lavoratori e art. 88 GDPR), salvo che siano rispettate le procedure di accordo sindacale o autorizzazione ITL e sia fornita adeguata informativa.

L’uso di software di backup o monitoraggio che consentano l’accesso sistematico al contenuto delle email è stato più volte ritenuto illecito se non adeguatamente giustificato e limitato ai soli metadati (quando possibile).


Quando è possibile accedere alla mail del dipendente? Le eccezioni


Il Garante riconosce che esistono situazioni eccezionali in cui l’accesso può essere lecito, purché siano rispettati rigorosi requisiti di necessità, proporzionalità e sussidiarietà. Ecco i casi principali:

  1. Necessità di continuità dell’attività aziendale (durante il rapporto di lavoro): in caso di assenza improvvisa e prolungata del dipendente (malattia, ferie non programmate, sospensione), il datore può accedere alla casella solo se:

    • Esiste una procedure scritta preventiva (policy aziendale);

    • L’accesso è limitato al tempo strettamente necessario;

    • Vengono adottate misure tecniche per registrare chi accede, quando e perché (log);

    • Si privilegiano soluzioni alternative (es. re-indirizzamento automatico senza apertura delle email già presenti).

  2. Finalità difensive in sede giudiziaria: il datore di lavoro può conservare ed eventualmente accedere a specifiche email necessarie per tutelare i propri diritti in giudizio. Tuttavia:

    • L’accesso deve essere mirato e non generalizzato;

    • Non può essere utilizzato come “caccia alle prove” indiscriminata;

    • Molti provvedimenti recenti specificano che l’accesso per finalità difensive non giustifica la lettura sistematica della corrispondenza (Cassazione e Garante hanno ribadito limiti molto stringenti).

  3. Obblighi di legge o ordini dell’Autorità: è il caso, ad esempio, della richiesta dell’autorità giudiziaria o in caso di procedimenti penali, amministrativi o ispettivi.

  4. Gestione dell’account dopo la cessazione del rapporto, seguendo però alcune linee guida:

    • l’account deve essere disattivato tempestivamente.

    • è ammesso un periodo transitorio limitato, durante il quale è preferibile attivare un messaggio automatico di risposta che indichi un nuovo contatto, senza accedere al contenuto.

    • l’accesso al contenuto è consentito solo per finalità di tutela dei diritti in sede giudiziaria, per il tempo strettamente necessario e nei limiti del principio di minimizzazione. Successivamente, l’account va cancellato (salva conservazione mirata di singoli elementi probatori).

  5. Diritto di accesso dell’interessato (ex dipendente): il lavoratore (anche ex) ha diritto di ottenere copia dei propri dati personali contenuti nella casella email (art. 15 GDPR). Il Garante ha più volte ordinato alle aziende di consentire tale accesso, ribadendo che non spetta al datore distinguere tra “email aziendali” ed “email personali”.


Cosa deve fare l’azienda per essere compliant?


Per ridurre i rischi di sanzioni, è consigliabile adottare le seguenti misure:

  • Informativa privacy specifica sulla posta elettronica aziendale (da fornire al momento dell’assegnazione dell’account).

  • Policy aziendale scritta, approvata eventualmente con le RSU o il sindacato, che disciplini modalità, limiti e condizioni di eventuale accesso.

  • Misure tecniche: log degli accessi, sistemi di backup che non consentano lettura agevole del contenuto, account “di servizio” o di gruppo dove possibile.

  • Formazione del personale amministrativo e IT.

  • Procedure per la cessazione del rapporto: checklist che preveda disattivazione account, messaggio automatico, eventuale esportazione mirata di dati necessari.


Il provvedimento docweb 10213574 conferma l’orientamento rigoroso del Garante: la casella email del dipendente non è uno spazio liberamente ispezionabile dal datore di lavoro. L’accesso rimane un’eccezione, non la regola, e deve essere sempre giustificato, documentato, proporzionato e, ove possibile, preventivamente regolamentato.


Le aziende che continuano a gestire la posta elettronica in modo “tradizionale” (accesso diretto da parte del responsabile IT o del titolare) espongono se stesse a rischi elevati di sanzioni (da 40.000 a oltre 100.000 euro nei casi più gravi), oltre che a possibili profili penali (violazione di corrispondenza, accesso abusivo a sistema informatico).


La raccomandazione è sempre di aggiornare, approvare o rivedere periodicamente le policy interne sulla gestione delle email aziendali e sulla gestione degli account cessati. In caso di dubbio su un accesso già avvenuto o programmato, è opportuno acquisire un parere legale preventivo e valutare la redazione di un’apposita valutazione d’impatto (DPIA) sui trattamenti ad alto rischio.

--

Se la tua azienda o ente pubblico necessita di un'azione di compliance in materia di privacy e trasparenza, gestione aziendale e mappatura delle procedure interne, oppure la fornitura del DPO - DATA PROTECTION OFFICER, contattaci per sottoporci le tue esigenze.

Per maggiori info consulta il nostro servizio al seguente link:

Commenti

Valutazione 0 stelle su 5.
Non ci sono ancora valutazioni
Aggiungi una valutazione
bottom of page