Il Garante Privacy ha chiarito che il dipendente può esercitare il diritto di accesso ex art. 15 GDPR anche sulle email aziendali conservate dal datore di lavoro. Il datore che nega o ritarda l’accesso rischia una sanzione amministrativa fino a 20 milioni di euro o il 4% del fatturato mondiale annuo. Gli studi legali che assistono aziende devono aggiornare le policy interne e i modelli di risposta alle richieste di accesso.
Punti chiave
- Punto 1 — L’art. 15 GDPR si applica alle email aziendali: il dipendente può chiederne copia al datore.
- Punto 2 — Il datore di lavoro deve rispondere entro 30 giorni, prorogabili di altri 60 in casi complessi.
- Punto 3 — Ignorare o ritardare la richiesta espone l’azienda a sanzioni fino al 4% del fatturato globale.
Se assisti aziende come DPO esterno o consulente giuslavoristico, devi aggiornare subito i modelli di risposta alle richieste di accesso dei dipendenti. Il Garante ha chiarito che le email conservate sui server aziendali rientrano nel perimetro dei dati personali trattati dal datore di lavoro, e che il dipendente ha pieno diritto di accedervi ex art. 15 GDPR. Ignorare questa posizione oggi espone il cliente a una contestazione concreta, non solo teorica.
Il Garante Privacy italiano ha adottato un provvedimento — riportato da Diritto.it — in cui estende esplicitamente l’ambito applicativo dell’art. 15 GDPR (Reg. UE 679/2016) alle comunicazioni email conservate dal datore di lavoro, sanzionando un’azienda che aveva negato al lavoratore l’accesso alla propria corrispondenza elettronica aziendale.
Il contesto normativo
L’art. 15 GDPR attribuisce all’interessato il diritto di ottenere dal titolare del trattamento conferma dell’esistenza di dati personali che lo riguardano e copia degli stessi. Nel rapporto di lavoro, il datore agisce come titolare del trattamento ai sensi dell’art. 4, n. 7, GDPR, e le email — anche se transitate su un account aziendale — contengono dati personali del dipendente riconducibili a lui. Il Garante richiama anche l’art. 88 GDPR, che consente agli Stati membri di introdurre norme specifiche per il trattamento nel contesto lavorativo, ma non di derogare al diritto di accesso dell’interessato. Sul piano nazionale, il d.lgs. 196/2003 (Codice Privacy), come novellato dal d.lgs. 101/2018, conferma l’impianto sanzionatorio: fino a 20 milioni di euro o il 4% del fatturato mondiale annuo per le violazioni più gravi (art. 83, par. 5, GDPR).
Cosa cambia per lo studio
- Rivedi i modelli di risposta alle richieste di accesso che usi per i clienti datori di lavoro: devono coprire esplicitamente la posta elettronica aziendale, non solo i dati anagrafici o le buste paga.
- Ricorda al cliente che il termine di risposta è 30 giorni dalla ricezione della richiesta (art. 12, par. 3, GDPR), prorogabile fino a 90 giorni solo per richieste complesse, con obbligo di comunicare la proroga entro il primo mese.
- Verifica che le policy aziendali di conservazione delle email siano coerenti con i tempi indicati nel Registro dei Trattamenti: conservare le email più a lungo del necessario aumenta l’esposizione al rischio in caso di richiesta di accesso.
- Segnala al cliente che il diritto di accesso non è illimitato: se le email contengono dati di terzi (colleghi, clienti), il datore può oscurare quelle informazioni prima di consegnare la copia, ma non può usare questo come pretesto per negare l’accesso in blocco.
- Considera di includere una clausola specifica nei contratti di consulenza privacy: l’assistenza nella gestione delle richieste di accesso ex art. 15 GDPR è un servizio distinto e fatturabile, non un’attività residuale.
Attenzione a
Il rischio più frequente è quello del diniego motivato con il segreto aziendale o la riservatezza delle comunicazioni commerciali. Il Garante ha chiarito che questi interessi non prevalgono automaticamente sul diritto di accesso dell’interessato: serve una valutazione caso per caso, documentata e proporzionata. Un diniego generico equivale a un diniego illegittimo.
Secondo errore comune: il cliente ritiene che, cessato il rapporto di lavoro, l’ex dipendente non abbia più diritto di accesso. Sbagliato. Il GDPR non subordina l’esercizio dei diritti dell’interessato alla sussistenza del rapporto contrattuale: finché i dati esistono e il datore li conserva, l’obbligo di risposta rimane.
Domande frequenti
Il dipendente può chiedere copia delle email aziendali inviate da un account aziendale?
Sì. Il Garante ha chiarito che le email conservate sui server del datore di lavoro contengono dati personali del dipendente e rientrano nel perimetro dell’art. 15 GDPR. Il datore, in qualità di titolare del trattamento, deve fornire copia dei dati entro 30 giorni dalla richiesta, salvo proroga motivata fino a 90 giorni.
Il datore di lavoro può negare l’accesso alle email per tutelare il segreto aziendale?
Non in via automatica. Il datore può oscurare i dati di terzi eventualmente presenti nelle email, ma non può opporre un diniego generico basato sul segreto aziendale. La limitazione al diritto di accesso richiede una valutazione proporzionata e documentata caso per caso, come previsto dall’art. 23 GDPR.
Dopo la cessazione del rapporto di lavoro il dipendente può ancora chiedere accesso alle sue email aziendali?
Sì. Il diritto di accesso ex art. 15 GDPR prescinde dall’esistenza di un rapporto contrattuale in corso. Finché il datore conserva i dati personali del dipendente — comprese le email — l’obbligo di rispondere a una richiesta di accesso rimane pienamente operativo.
Fonte di riferimento: Diritto.it