1. Il datore di lavoro può leggere le email aziendali dei dipendenti?
Il controllo della posta elettronica aziendale da parte del datore di lavoro è ammesso solo in casi eccezionali e nel rispetto di regole precise, dettate dalla normativa privacy (GDPR) e dall’art. 4 dello Statuto dei lavoratori. L’accesso indiscriminato alla casella email del dipendente è vietato.
Il Garante per la protezione dei dati personali ha chiarito che un controllo non giustificato configura una violazione della riservatezza, sanzionabile fino a 20 milioni di euro o al 4% del fatturato annuo. In questo articolo vediamo quando è lecito controllare le email aziendali e quali misure adottare per evitare sanzioni e contenziosi.
2. La casella e-mail aziendale è un dato personale?
L’indirizzo e-mail aziendale è considerato un dato personale quando è riferibile a una persona fisica identificata o identificabile, come nel caso degli account nominativi del tipo nome.cognome@azienda.it. Anche se utilizzata per finalità esclusivamente lavorative, la casella di posta aziendale è tutelata dal diritto alla riservatezza e può essere controllata solo nel rispetto delle regole previste dal GDPR e dall’art. 4 dello Statuto dei lavoratori.
Al contrario, gli account generici come info@, amministrazione@, reclami@ non sono riconducibili direttamente a una persona fisica specifica. Per questo motivo, questi account di posta non beneficiano delle stesse tutele e possono essere consultati dal datore di lavoro con maggiore libertà, in quanto strumenti funzionali all’attività collettiva.
3. Quando il datore di lavoro può leggere le e-mail del dipendente?
Il datore di lavoro può accedere alla casella e-mail aziendale del dipendente solo se questa possibilità è stata rappresentata in modo chiaro e trasparente. Perché ciò avvenga, è necessario che il lavoratore abbia ricevuto un’informativa completa sul trattamento dei dati personali, che deve essere redatta sensi dell’art. 13 del GDPR.
Il Garante per la protezione dei dati personali ha chiarito che l’informativa deve specificare:
- la tipologia di controlli che possono interessare la posta elettronica;
- in che misura tali controlli possono essere svolti;
- con quali modalità saranno effettuati.
L’assenza di un’adeguata informativa configura una violazione del principio di trasparenza, rende il controllo illegittimo e può esporre l’azienda a sanzioni amministrative anche molto gravi.
Esempio di sanzione applicata dal Garante privacy
Il Garante per la protezione dei dati personali, con provvedimento del 17 luglio 2024, ha ordinato ad una società di pagare la somma di euro 80.000 euro per aver utilizzato delle mail del dipendente nell’ambito di un procedimento giudiziario senza averlo preventivamente informato “sulle caratteristiche e sulle modalità dei trattamenti svolti, con particolare riferimento ai tempi di conservazione dei dati relativi alla posta elettronica e alle modalità e le finalità con cui sono effettuati i controlli da parte della Società in qualità di titolare del trattamento”.
4. Quali controlli sulla posta elettronica non sono ammessi
Non tutti i controlli sull’e-mail aziendale sono consentiti. Anche in presenza di un’informativa preventiva, il datore di lavoro deve rispettare i principi di proporzionalità, necessità e finalità concreta del trattamento.
Il Garante per la protezione dei dati personali ha chiarito che sono tassativamente vietati:
- i controlli generici o immotivati, effettuati senza un fondamento preciso;
- i controlli preventivi, svolti prima ancora che si verifichi un’esigenza concreta;
- i controlli sistematici, cioè costanti, ripetuti o prolungati nel tempo.
Ogni forma di monitoraggio deve essere mirata, temporanea e giustificata da esigenze reali, come la necessità di tutelare il patrimonio aziendale o l’esigenza di tutelare un diritto della società in sede giudiziale.
Videosorveglianza sul lavoro: cosa deve fare il datore di lavoro?
Quali obblighi deve rispettare l’azienda per installare impianti di videosorveglianza senza violare la privacy dei lavoratori
5. Il datore di lavoro può conservare la casella e-mail del dipendente dopo la cessazione?
Al termine del rapporto di lavoro, il datore è tenuto a disattivare la casella e-mail aziendale del dipendente, informando quest’ultimo per iscritto e con congruo preavviso su come verrà gestito l’account. Queste misure servono a tutelare sia i dati personali dell’ex lavoratore sia i diritti dell’azienda.
Secondo il Garante per la protezione dei dati personali, in caso di cessazione per dimissioni o licenziamento:
- l’account deve essere subito disattivato, con l’attivazione di un messaggio automatico che informi terzi dell’indisponibilità dell’indirizzo e indichi un contatto aziendale alternativo;
- l’account deve essere cancellato dopo un periodo ragionevolmente breve, che va indicato chiaramente nella policy interna, per evitare accessi non autorizzati o usi impropri.
Fino alla cancellazione definitiva della casella e-mail del dipendente, il datore di lavoro può accedere alle e-mail del lavoratore, rispettando le condizioni descritte nei paragrafi precedenti. Parallelamente, il dipendente ha diritti di recuperare eventuali dati personali presenti nella casella di posta elettronica.
[2] Esempio di sanzione applicata dal Garante privacy
Il Garante per la protezione dei dati personali, con ordinanza 7 aprile 2022, ha ordinato ad una società di pagare la somma di euro 50.000 euro per non avere “comprovato di aver rilasciato all’interessata alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account di posta elettronica aziendale in costanza di rapporto ed al termine di questo, comprese la gestione dello stesso dopo la cessazione del rapporto e la conservazione dei dati presenti nella casella elettronica.” e per aver “mantenuto attivo, per le ragioni sopra indicate, l’account di posta elettronica individualizzato assegnato alla stessa“.
6. Conclusioni
Il controllo della posta elettronica aziendale è legittimo solo se inserito in un sistema di garanzie trasparenti, coerente con i principi del GDPR e dello Statuto dei lavoratori. Non si tratta di un dettaglio organizzativo, ma di una responsabilità concreta che, se gestita in modo approssimativo, può esporre l’azienda a gravi conseguenze, anche sanzionatorie.
Per questo, è essenziale che ogni datore di lavoro predisponga informative chiare e aggiornate sul trattamento dei dati personali e, soprattutto, definisca per iscritto una policy aziendale sull’uso degli strumenti informatici. Questa policy deve specificare le modalità di utilizzo degli account, le forme di controllo previste e i tempi di conservazione dei dati, garantendo al lavoratore piena consapevolezza dei propri diritti e dei limiti imposti all’azienda.
Quando ci viene affidato questo compito, accompagniamo il datore di lavoro nella definizione di un impianto documentale solido, su misura per l’organizzazione, che riduca i rischi legali e assicuri il rispetto delle norme, anche nei casi più complessi legati alla cessazione del rapporto di lavoro o all’accesso alle e-mail aziendali.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.