La decisione del Garante per la protezione dei dati personali del 12 marzo 2026 apre uno squarcio rilevante su un tema che, troppo spesso, nelle organizzazioni viene trattato con superficialità: la gestione della posta elettronica aziendale e, più in generale, il confine – sempre più labile – tra sfera lavorativa e sfera personale nell’ecosistema digitale. Non si tratta soltanto di un caso tecnico o di una controversia individuale, ma di un precedente che incide direttamente sulla cultura organizzativa delle imprese e sulla tenuta concreta dei principi del GDPR nei luoghi di lavoro.
Il caso nasce dal reclamo di un ex dipendente che, alla cessazione del rapporto, aveva chiesto di accedere al contenuto della propria casella email aziendale. La società, pur consentendo un accesso parziale, aveva selezionato preventivamente i messaggi ritenuti “personali”, escludendo quelli afferenti all’attività lavorativa e procedendo, inoltre, a operazioni di oscuramento e anonimizzazione. Una scelta che, nella logica aziendale, mirava a tutelare segreti industriali e dati di terzi, ma che il Garante ha ritenuto radicalmente incompatibile con il diritto di accesso previsto dal GDPR.
Il punto centrale della decisione è, infatti, di natura culturale prima ancora che giuridica: la posta elettronica aziendale individualizzata non è un contenitore neutro né esclusivamente “proprietà” dell’impresa. È, al contrario, uno spazio ibrido, in cui si intrecciano comunicazioni professionali e dimensione personale del lavoratore. Proprio per questo, il contenuto delle email – anche quando riguarda attività lavorativa – costituisce dato personale dell’interessato. La pretesa aziendale di filtrare preventivamente i messaggi, decidendo cosa sia o meno “personale”, viene quindi smontata alla radice.
Il Garante richiama, in modo significativo, anche la giurisprudenza europea sulla tutela della vita privata, sottolineando come il diritto alla riservatezza non si arresti alle porte dell’ufficio. Le comunicazioni elettroniche sul lavoro rientrano a pieno titolo nella sfera di protezione della persona, e ciò comporta conseguenze operative molto concrete: il lavoratore ha diritto ad accedere ai propri dati senza che il datore di lavoro possa sostituirsi a lui nella selezione dei contenuti. Non è un dettaglio tecnico, ma una presa di posizione che ridisegna i rapporti di forza nella gestione delle informazioni aziendali.
Ancora più rilevante è il passaggio relativo alla conservazione dei dati. La società aveva previsto un sistema di backup delle email per un periodo di cinque anni, giustificandolo con esigenze di continuità operativa e tutela del patrimonio informativo. Anche qui, però, l’Autorità interviene con chiarezza: la conservazione massiva e prolungata della posta elettronica non può essere considerata una pratica neutra, ma costituisce a tutti gli effetti un trattamento di dati personali, soggetto ai principi di minimizzazione, proporzionalità e limitazione della conservazione.
Il messaggio è netto: la posta elettronica non può essere utilizzata come archivio indiscriminato della memoria aziendale. Se un’impresa ha bisogno di conservare documenti rilevanti, deve dotarsi di sistemi di gestione documentale adeguati, non affidarsi a backup generalizzati delle caselle dei dipendenti. Questo passaggio, apparentemente tecnico, ha implicazioni profonde per molte organizzazioni, soprattutto in contesti – come quello italiano – dove la posta elettronica continua a essere utilizzata come strumento improprio di archiviazione.
La decisione affronta poi un ulteriore nodo critico: quello dei controlli a distanza. Le policy aziendali esaminate prevedevano la possibilità di accedere ai contenuti delle email e ai log di navigazione per diverse finalità, inclusa la difesa dei diritti dell’azienda. Anche in assenza di controlli concretamente effettuati, il Garante rileva come tali sistemi siano potenzialmente idonei a monitorare l’attività dei lavoratori, rendendo quindi applicabile la disciplina dello Statuto dei lavoratori. In altre parole, non basta non controllare: è sufficiente predisporre strumenti che rendano possibile il controllo per far scattare le garanzie previste dalla legge.
Questo passaggio è particolarmente significativo perché colpisce una prassi diffusa: molte aziende introducono clausole ampie e generiche nelle policy interne, riservandosi poteri di accesso e verifica senza attivare le procedure sindacali o autorizzative previste dalla normativa. Il Garante chiarisce che questa impostazione non è sostenibile e che la compliance non può essere costruita ex post, ma deve essere progettata a monte.
Il risultato finale è una sanzione da 50.000 euro e, soprattutto, l’obbligo per la società di consentire un accesso integrale alla corrispondenza e di rivedere profondamente le proprie policy. Ma il vero impatto del provvedimento va oltre il singolo caso. Siamo di fronte a un intervento che richiama le imprese a una responsabilità più ampia: quella di ripensare il rapporto tra tecnologia, organizzazione del lavoro e diritti fondamentali.
In un contesto in cui il lavoro digitale rende sempre più indistinguibili i confini tra vita privata e attività professionale, la tentazione di estendere il controllo e la conservazione dei dati è forte. Questa decisione, però, ricorda che il GDPR non è soltanto un insieme di adempimenti formali, ma un sistema di garanzie che incide direttamente sull’equilibrio tra potere d’impresa e dignità del lavoratore. E, come spesso accade, è proprio nei dettagli operativi – una casella email, un backup, una policy interna – che si misura la reale qualità di questo equilibrio.
Per ulteriori informazioni scrivete a info@mtjust.com
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.