L’art. 15 GDPR attribuisce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, l’accesso a tali dati e alle informazioni sul trattamento. Nel contesto lavorativo, questo diritto assume una dimensione particolarmente delicata: i dati personali del lavoratore sono spesso contenuti in documenti, comunicazioni e strumenti che appartengono all’organizzazione aziendale e che possono includere anche informazioni riservate dell’impresa.
Il punto critico è il bilanciamento. Da un lato, il lavoratore, anche dopo la cessazione del rapporto, conserva il diritto di accedere ai propri dati personali. Dall’altro, l’azienda può avere un interesse legittimo a proteggere segreti aziendali, informazioni commerciali riservate, dati di terzi e il proprio patrimonio informativo. Il provvedimento del Garante per la protezione dei dati personali del 12 marzo 2026 nei confronti di ITAS Mutua offre un’occasione importante per chiarire dove si colloca questo equilibrio quando l’istanza di accesso riguarda una casella di posta elettronica aziendale di tipo individualizzato.
La questione giuridica non è se il datore di lavoro sia proprietario dei sistemi informatici o se possa disciplinare l’uso degli strumenti aziendali. È se tale potere consenta di trattare la casella individualizzata come un archivio esclusivamente aziendale, sottraendo le comunicazioni ivi contenute alla disciplina del GDPR. La risposta del Garante è negativa.
Art. 15 GDPR e casella e-mail individualizzata
L’art. 15 GDPR non attribuisce all’interessato un diritto generalizzato a ottenere qualsiasi documento aziendale. Il suo oggetto sono i dati personali. Tuttavia, proprio questa distinzione rende problematica l’idea secondo cui le e-mail di lavoro sarebbero escluse dal diritto di accesso perché contenute in una casella aziendale.
Nel caso ITAS, un ex dipendente aveva chiesto copia delle e-mail presenti nella casella di posta elettronica utilizzata durante il rapporto di lavoro. La società aveva sostenuto che la richiesta di ricevere copia di tutte le e-mail eccedesse il diritto di accesso, poiché i dati e le informazioni presenti nella casella sarebbero stati di proprietà aziendale. Secondo la ricostruzione dei fatti contenuta nel provvedimento, la società aveva consegnato soltanto un insieme limitato di comunicazioni ritenute di natura personale, come scambi con familiari, documentazione fiscale personale e rimborsi spese, escludendo invece le e-mail connesse all’attività lavorativa del dipendente in quanto non considerate comunicazioni personali.
Il Garante ha respinto questa impostazione. Alla luce delle definizioni di “dato personale” e di “trattamento” di cui all’art. 4 GDPR, le comunicazioni in transito su un account individualizzato sono inevitabilmente riconducibili anche a dati personali dell’assegnatario dell’account. Tale riconducibilità non viene meno solo perché il contenuto della comunicazione riguarda l’attività lavorativa. Un messaggio relativo a una pratica, a un cliente, a un’organizzazione interna o a una decisione aziendale può contenere informazioni sul ruolo, sulle valutazioni professionali, sulla condotta, sulle responsabilità o sulle relazioni del lavoratore nel contesto aziendale.
Questo è il passaggio centrale del provvedimento. La proprietà dello strumento non determina, da sola, il regime giuridico dei dati. La casella può essere aziendale, ma i dati personali contenuti nelle comunicazioni restano soggetti alle garanzie del GDPR. Ne consegue che il datore di lavoro non può effettuare una previa disamina della corrispondenza con l’obiettivo di consegnare solo ciò che considera “strettamente personale”, se tale selezione si fonda sull’idea che le comunicazioni lavorative siano, per definizione, estranee al diritto di accesso.
Il provvedimento si colloca in continuità con un orientamento più ampio. Le Linee guida del Garante del 2007 su posta elettronica e Internet avevano già chiarito che il contenuto dei messaggi di posta elettronica, i dati esteriori delle comunicazioni e gli allegati riguardano forme di corrispondenza assistite da garanzie di segretezza. Anche la giurisprudenza della Corte europea dei diritti dell’uomo, richiamata dal Garante, riconosce che nel luogo di lavoro la linea di confine tra sfera professionale e sfera privata non è sempre netta. Le comunicazioni elettroniche scambiate in ambito lavorativo possono quindi rientrare nelle nozioni di vita privata e corrispondenza di cui all’art. 8 CEDU.
Il diritto di accesso incontra dei limiti, ma questi devono essere dimostrati
Il fatto che le e-mail di lavoro possano contenere dati personali dell’interessato non significa che il diritto di accesso sia assoluto. L’art. 15, par. 4 GDPR prevede che il diritto di ottenere una copia non debba ledere i diritti e le libertà altrui. Il Considerando 63 chiarisce che tra tali interessi possono rientrare anche il segreto industriale e aziendale e la proprietà intellettuale, in particolare il diritto d’autore che tutela il software.
Questo limite è importante per le imprese. Un messaggio di posta elettronica può contenere strategie commerciali, informazioni su trattative riservate, dati personali di altri dipendenti, valutazioni interne, documenti protetti da obblighi di confidenzialità o informazioni che non dovrebbero essere diffuse oltre un determinato perimetro. Il GDPR non impone al titolare del trattamento di ignorare tali interessi.
Tuttavia, il provvedimento ITAS chiarisce che la riservatezza aziendale non può essere invocata in modo generico. Il Garante richiama le Linee guida 1/2022 del Comitato europeo per la protezione dei dati, secondo cui la generica preoccupazione che l’accesso possa ledere diritti e libertà altrui non è sufficiente per applicare l’art. 15, par. 4. Il titolare, in questo caso il datore di lavoro, deve essere in grado di dimostrare che, nella situazione concreta, tali diritti o libertà sarebbero effettivamente lesi.
Nel caso esaminato, questa dimostrazione mancava. I dati riferiti a terzi erano contenuti in comunicazioni già ricevute e conosciute dall’interessato, circostanza che rendeva non necessaria l’attività di oscuramento effettuata su tali informazioni. Quanto ai segreti aziendali, la società non aveva prodotto elementi di fatto idonei a dimostrare che dall’accesso alla corrispondenza potesse derivare un pregiudizio serio, come la conoscibilità o la sottrazione di informazioni riservate.
Il principio che emerge è di particolare rilievo per la gestione delle istanze di accesso. L’azienda può valutare l’esistenza di limiti, ma deve farlo caso per caso. L’oscuramento, l’anonimizzazione o l’esclusione di alcune parti della documentazione non possono essere strumenti automatici o difensivi. Devono essere necessari, proporzionati e fondati su un rischio concreto e documentabile. Diversamente, il riscontro fornito all’interessato rischia di non essere idoneo e completo ai sensi degli artt. 12 e 15 GDPR.
Conservazione delle e-mail e controlli a distanza: un problema organizzativo più ampio
Il provvedimento ITAS non si limita alla risposta all’istanza ex art. 15. Il diritto di accesso ha fatto emergere anche un problema più strutturale: la conservazione prolungata dei messaggi di posta elettronica e dei log di navigazione.
La società conservava mediante backup le e-mail transitate sugli account aziendali dei dipendenti per un periodo massimo di cinque anni e i log della navigazione in Internet per dodici mesi. La finalità dichiarata era preservare il patrimonio informativo della società in relazione all’attività di vigilanza cui essa era sottoposta, tenendo conto dei termini di prescrizione propri dell’attività assicurativa. Il Garante ha ritenuto il trattamento illecito sotto diversi profili.
Anzitutto, la conservazione in backup costituisce trattamento di dati personali anche quando avviene in sistemi non online e anche quando non vi sia accesso quotidiano al contenuto. La mera conservazione rientra nella nozione di trattamento. Di conseguenza, il titolare deve rispettare i principi di liceità, correttezza, trasparenza, minimizzazione, limitazione della finalità e limitazione della conservazione. Nel caso ITAS, il trattamento non risultava adeguatamente disciplinato nelle informative e nelle policy aziendali, con conseguente violazione anche dell’art. 13 GDPR.
In secondo luogo, il Garante ribadisce un principio già espresso in precedenti provvedimenti: le esigenze di conservazione della documentazione necessaria all’ordinario svolgimento dell’attività e alla continuità aziendale devono essere soddisfatte, in via primaria, mediante sistemi di gestione documentale. La posta elettronica non è, per sua natura, lo strumento più idoneo a garantire autenticità, integrità, affidabilità, leggibilità e reperibilità della documentazione aziendale. Conservare per anni l’intera casella individualizzata del dipendente significa trattenere non solo documenti utili all’impresa, ma anche un insieme molto più ampio di comunicazioni e dati personali.
Infine, vi è il profilo dei controlli a distanza. Il Garante ha ritenuto che sia il backup delle e-mail sia la conservazione dei log di navigazione possano costituire strumenti idonei a consentire un controllo sull’attività dei lavoratori. Per questo, il Garante ha richiamato l’art. 4 della legge n. 300/1970, ossia lo Statuto dei lavoratori, cui rinvia l’art. 114 del Codice privacy, nonché l’art. 88 GDPR. Non è decisivo soltanto che un controllo sia stato effettivamente svolto. Rileva anche che lo strumento, per come configurato e disciplinato nelle policy aziendali, consenta tale possibilità.
Questo profilo è coerente con il Documento di indirizzo del Garante del 6 giugno 2024 sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati. Anche la conservazione dei metadati e dei log necessari al funzionamento dell’infrastruttura deve essere limitata, normalmente a pochi giorni e, a titolo orientativo, non oltre 21 giorni, salvo particolari condizioni adeguatamente comprovate. Una raccolta generalizzata o prolungata può invece trasformarsi in uno strumento di monitoraggio indiretto.
Implicazioni operative per le imprese
La decisione non impone alle imprese di rinunciare alla tutela della riservatezza o alla continuità aziendale. Impone, piuttosto, di organizzarle correttamente.
Sul piano dell’art. 15 GDPR, le istanze dei dipendenti e degli ex dipendenti devono essere gestite come vere istanze di esercizio dei diritti. Il titolare deve individuare i dati personali oggetto di trattamento, valutare l’eventuale incidenza su diritti e libertà altrui, motivare le limitazioni e fornire un riscontro idoneo e completo. La formula secondo cui la casella è aziendale non è sufficiente per negare o comprimere l’accesso.
Sul piano della riservatezza aziendale, le imprese dovrebbero predisporre criteri interni per valutare, caso per caso, quando una specifica informazione possa essere oscurata o esclusa dalla copia. La tutela del segreto aziendale è giuridicamente rilevante, ma deve essere concreta. Occorre poter spiegare quale informazione riservata sarebbe esposta, quale pregiudizio potrebbe derivarne e perché non sia possibile una soluzione meno limitativa del diritto di accesso.
Sul piano organizzativo, la continuità dell’attività non dovrebbe dipendere dalla conservazione delle caselle individualizzate. Indirizzi funzionali, sistemi di gestione documentale, procedure di archiviazione dei documenti rilevanti e messaggi automatici in caso di cessazione del rapporto sono strumenti più coerenti con i principi richiamati dal Garante. Le policy aziendali e le informative privacy devono poi descrivere con chiarezza trattamenti, finalità, tempi di conservazione, soggetti autorizzati all’accesso e possibili controlli, valutando se siano necessarie le garanzie previste dall’art. 4 dello Statuto dei lavoratori.
Conclusioni
Il provvedimento ITAS non afferma che il dipendente possa ottenere indiscriminatamente qualsiasi documento aziendale né che l’impresa debba sacrificare la propria riservatezza. Afferma però un principio essenziale: il controllo dell’infrastruttura informatica non elimina il diritto dell’interessato di accedere ai propri dati personali e non consente di qualificare la casella di posta individualizzata come patrimonio aziendale pienamente disponibile.
Il GDPR protegge le e-mail di lavoro quando esse contengono dati personali riferibili al lavoratore. La tutela della riservatezza aziendale e dei diritti di terzi può limitare l’accesso, ma solo sulla base di una valutazione concreta, proporzionata e documentabile. Il bilanciamento non può essere sostituito da formule generiche, né da una selezione preventiva delle sole comunicazioni ritenute “personali” dal datore di lavoro.
Per le imprese, la lezione è chiara. La conformità non si costruisce conservando indefinitamente le caselle dei dipendenti o gestendo le richieste di accesso come questioni meramente interne. Si costruisce con procedure di accesso strutturate, policy trasparenti, retention proporzionata, sistemi documentali adeguati e una valutazione puntuale dei limiti derivanti dalla riservatezza aziendale. La casella e-mail individualizzata è uno strumento di lavoro, ma anche uno spazio nel quale si intrecciano dati personali, corrispondenza e poteri datoriali. Proprio per questo richiede un equilibrio giuridico più attento.
