Con il provvedimento del 12 marzo 2026, il Garante per la protezione dei dati personali interviene su un tema centrale per le imprese: gestione della posta elettronica aziendale, conservazione dei dati e controlli sui lavoratori. Il caso riguarda un ex dipendente a cui l’azienda aveva consentito solo un accesso parziale alla casella email, limitato ai contenuti ritenuti “personali”, oltre a conservare i dati per un periodo prolungato. L’Autorità ha ritenuto il trattamento illecito, applicando una sanzione di 50.000 euro .
Il Garante chiarisce che le email aziendali costituiscono dati personali del lavoratore e che il diritto di accesso deve riguardare l’intero contenuto della casella, senza possibilità per il datore di lavoro di selezionare o filtrare preventivamente i messaggi. Anche le comunicazioni di carattere professionale rientrano infatti nella sfera della vita privata e della corrispondenza, con la conseguenza che non è legittimo limitare l’accesso alle sole email “private” o oscurare informazioni già nella disponibilità dell’interessato.
Sul piano della conservazione, viene ribadito che non è conforme al GDPR mantenere backup integrali delle caselle di posta per lunghi periodi, come nel caso esaminato (5 anni), né utilizzare la posta elettronica come sistema di archiviazione documentale. I principi di minimizzazione e limitazione della conservazione impongono invece di ridurre tempi e quantità dei dati trattati e di adottare strumenti specifici per la gestione documentale aziendale .
Analoghe criticità riguardano i log della navigazione Internet, che devono essere conservati solo per il tempo strettamente necessario a garantire la sicurezza informatica e non per finalità generiche o difensive. Una conservazione estesa o non adeguatamente giustificata può infatti risultare sproporzionata rispetto alle finalità perseguite.
Particolare rilievo assume il tema dei controlli a distanza: la possibilità di accedere a email e log rende tali strumenti potenzialmente idonei al controllo dell’attività dei lavoratori, con conseguente applicazione dell’art. 4 dello Statuto dei lavoratori. Ciò comporta la necessità di un accordo sindacale o, in alternativa, dell’autorizzazione dell’Ispettorato del lavoro, anche quando il controllo non venga concretamente esercitato ma sia solo astrattamente possibile.
Infine, il Garante evidenzia l’importanza della trasparenza: le informative ai dipendenti devono essere chiare, complete e coerenti rispetto ai trattamenti effettivamente svolti, indicando in modo puntuale finalità, modalità e tempi di conservazione. Informazioni generiche o non allineate alle prassi aziendali non soddisfano i requisiti del GDPR.
