L’ex dipendente ha diritto di accesso all’intera corrispondenza aziendale a lui riferibile, non solo alle email classificate come ‘personali’. Il Garante Privacy, con il provvedimento n. 165/2026, ha dichiarato illegittima la prassi aziendale di filtrare preventivamente i contenuti e ha censurato la conservazione dei backup per cinque anni. Chi assiste datori di lavoro deve rivedere subito le policy di data retention e i regolamenti interni sull’uso degli strumenti informatici.
Punti chiave
- Punto 1 — Limitare l’accesso alle sole email ‘personali’ è illegittimo secondo il Garante Privacy.
- Punto 2 — Il backup quinquennale delle email aziendali viola il principio di minimizzazione del GDPR.
- Punto 3 — Il controllo preventivo del contenuto delle email prima dell’accesso è una pratica sanzionabile.
Se assisti datori di lavoro, questo provvedimento ti impone una verifica urgente: la policy aziendale sulla gestione delle email degli ex dipendenti regge al vaglio del Garante? Nella maggior parte degli studi, la risposta è no. La prassi di selezionare solo la posta «personale» prima di consentire l’accesso espone direttamente il cliente a sanzioni amministrative e a contenziosi in sede lavoristica.
Il Garante Privacy, con il provvedimento n. 165/2026, ha sanzionato un’azienda che aveva consentito a un ex dipendente l’accesso alla sola corrispondenza ritenuta «personale», escludendo quella professionale. L’Autorità ha censurato anche la conservazione dei backup per cinque anni e il controllo preventivo dei contenuti prima di rendere disponibili le email. La notizia è riportata da GazzettaEntiLocali.
Il contesto normativo
Il diritto di accesso ai dati personali trova la sua base nell’art. 15 del Regolamento UE 2016/679 (GDPR), che riconosce all’interessato il diritto di ottenere copia di tutti i dati personali che lo riguardano, senza distinzione tra ambito professionale e personale. Sul fronte lavoristico, l’art. 4 dello Statuto dei Lavoratori (l. 300/1970), come riscritto dal d.lgs. 151/2015, disciplina i controlli a distanza e impone un accordo sindacale o un’autorizzazione ispettiva prima di utilizzare dati ricavati da strumenti di lavoro. Il combinato disposto dei due testi non lascia spazio a selezioni unilaterali da parte del datore: o si conservano i dati nel rispetto del principio di minimizzazione ex art. 5, par. 1, lett. c) GDPR, o si garantisce accesso integrale a chi ne fa richiesta.
Cosa cambia per lo studio
- Revisionare la durata dei backup aziendali: cinque anni sono considerati eccessivi dal Garante; la policy di retention deve essere calibrata sulla finalità concreta e documentata nel registro dei trattamenti ex art. 30 GDPR.
- Eliminare qualsiasi procedura di «cernita» preventiva delle email prima di rispondere a una richiesta di accesso: il filtro sui contenuti costituisce di per sé un trattamento ulteriore non autorizzato.
- Predisporre o aggiornare il regolamento aziendale sull’uso degli strumenti informatici, rendendolo conforme sia all’art. 4 St. Lav. sia alle Linee guida del Garante del 2015 sul trattamento dei dati dei lavoratori.
- Nei contenziosi in corso tra ex dipendenti e aziende, valutare se l’accesso limitato o ritardato alle email costituisce un ostacolo alla prova, azionabile anche ai sensi dell’art. 116 c.p.c. sull’ordine di esibizione.
- Inserire clausole specifiche nei contratti di lavoro e nei patti di riservatezza che regolino espressamente la gestione delle caselle email alla cessazione del rapporto, riducendo il contenzioso a valle.
Attenzione a
Il rischio più sottovalutato è la doppia esposizione del cliente: da un lato la sanzione amministrativa del Garante, dall’altro un’azione risarcitoria dell’ex dipendente per danno non patrimoniale ex art. 82 GDPR, che la giurisprudenza di merito sta progressivamente riconoscendo anche in assenza di danni materiali dimostrati. Non basta adeguarsi dopo il provvedimento; occorre che l’adeguamento sia documentato e antecedente alla richiesta di accesso.
Un secondo errore frequente è confondere la legittimità della conservazione con la legittimità dell’accesso: tenere i backup per finalità di sicurezza informatica può essere giustificato, ma questo non autorizza il datore a vagliarli prima di trasmetterli all’interessato. Le due questioni seguono logiche distinte e vanno trattate separatamente nella documentazione interna.
Domande frequenti
L’ex dipendente può chiedere tutte le email aziendali che lo riguardano o solo quelle personali?
Può chiedere tutte le email che contengono suoi dati personali, indipendentemente dal contenuto professionale o personale. Il Garante Privacy, con il provvedimento n. 165/2026, ha dichiarato illegittima la distinzione operata unilateralmente dal datore di lavoro tra corrispondenza ‘personale’ e ‘professionale’ ai fini dell’accesso ex art. 15 GDPR.
Per quanti anni un’azienda può conservare le email di un ex dipendente?
Non esiste un termine fisso, ma il Garante ha censurato esplicitamente la conservazione quinquennale dei backup come sproporzionata. La durata deve essere giustificata da una finalità specifica, documentata nel registro dei trattamenti ex art. 30 GDPR, e rispettare il principio di minimizzazione dell’art. 5, par. 1, lett. c) GDPR.
Il datore di lavoro può controllare il contenuto delle email prima di darle all’ex dipendente che ne fa richiesta?
No. Il controllo preventivo dei contenuti prima di rispondere a una richiesta di accesso costituisce un trattamento ulteriore non autorizzato. Il provvedimento n. 165/2026 del Garante lo ha espressamente sanzionato. Il datore deve trasmettere copia dei dati senza filtri di merito sul contenuto.
Cosa rischia concretamente un’azienda che limita l’accesso alle email di un ex dipendente?
Rischia una sanzione amministrativa da parte del Garante Privacy fino a 20 milioni di euro o il 4% del fatturato mondiale annuo ex art. 83 GDPR, oltre a un’azione risarcitoria del lavoratore per danno non patrimoniale ex art. 82 GDPR, sempre più riconosciuta dalla giurisprudenza di merito anche senza prova di un danno materiale.
Fonte di riferimento: GazzettaEntiLocali