Dopo il provvedimento del Garante del 12 marzo 2026, le aziende non possono più negare a un ex dipendente l’accesso integrale alla propria casella e-mail aziendale. Il trattamento dei dati contenuti in quella casella — anche dopo la cessazione del rapporto — resta soggetto al GDPR e allo Statuto dei Lavoratori. Chi assiste imprese deve aggiornare subito le policy interne su backup, retention e controlli a distanza.
Punti chiave
- Punto 1 — Il Garante ha sanzionato un’azienda che ha impedito a un ex dipendente di accedere alla propria casella e-mail aziendale.
- Punto 2 — La casella e-mail aziendale contiene dati personali del lavoratore tutelati dal GDPR anche dopo la fine del rapporto.
- Punto 3 — Le policy aziendali su backup, anonimizzazione e log devono essere aggiornate entro tempi definiti per evitare sanzioni.
Se assisti aziende strutturate o PMI, hai un problema pratico immediato: le policy di gestione della posta elettronica aziendale che hai aiutato a redigere anni fa probabilmente non reggono più al vaglio del Garante. Il provvedimento del 12 marzo 2026 non è una precisazione tecnica — ridisegna il perimetro di ciò che un datore di lavoro può fare con la casella e-mail di un dipendente, anche dopo che il rapporto è finito.
Il Garante per la protezione dei dati personali ha sanzionato un’azienda che, alla cessazione del rapporto di lavoro, aveva impedito all’ex dipendente di accedere alla propria casella e-mail aziendale e di recuperarne il contenuto. Il provvedimento — disponibile sul sito del Garante — ridefinisce obblighi e limiti su backup, anonimizzazione e controlli a distanza, con effetti diretti su tutte le imprese che gestiscono posta elettronica dei dipendenti. La notizia è stata riportata da Agenda Digitale.
Il contesto normativo
Il quadro giuridico si regge su più livelli sovrapposti. Il Regolamento UE 2016/679 (GDPR), agli artt. 5 e 6, impone che ogni trattamento di dati personali — compresi quelli contenuti in una casella e-mail — abbia una base giuridica e rispetti i principi di minimizzazione e limitazione della conservazione. L’art. 4 della L. 300/1970 (Statuto dei Lavoratori), come modificato dal D.Lgs. 151/2015, vieta i controlli a distanza sull’attività del lavoratore salvo accordo sindacale o autorizzazione dell’Ispettorato del Lavoro, e impone un’informativa preventiva adeguata. Il D.Lgs. 196/2003 (Codice Privacy), coordinato con il GDPR, attribuisce all’interessato il diritto di accesso ai propri dati ai sensi dell’art. 15 GDPR, diritto che non si estingue con la fine del contratto di lavoro. Il Garante ha già affrontato il tema delle e-mail aziendali con le Linee Guida del 2007, ma il provvedimento del 2026 aggiorna quella posizione in modo sostanziale.
Cosa cambia per lo studio
- Accesso post-cessazione garantito. L’ex dipendente ha diritto di accedere ai contenuti della propria casella e-mail anche dopo la risoluzione del rapporto. Il datore che blocca l’accesso immediatamente — pratica diffusissima — viola l’art. 15 GDPR e rischia una sanzione amministrativa fino al 4% del fatturato annuo globale.
- Periodo di retention da definire per iscritto. La policy aziendale deve indicare per quanti giorni la casella resta attiva dopo la cessazione e con quale procedura il dipendente può estrarne i dati. Una finestra tra i 15 e i 30 giorni sembra compatibile con il principio di minimizzazione, ma va documentata.
- Backup e log soggetti a limiti precisi. Conservare i backup delle e-mail aziendali per mesi o anni senza una base giuridica specifica espone l’azienda a contestazioni. Ogni sistema di archiviazione va mappato nel Registro dei Trattamenti ex art. 30 GDPR con indicazione della finalità e del termine di conservazione.
- Anonimizzazione non equivale a cancellazione. Sostituire l’indirizzo con un alias generico (es. ufficiocommerciale@azienda.it) non risolve il problema se i contenuti dei messaggi restano accessibili all’azienda senza consenso dell’ex titolare della casella.
- Clausole nei contratti di lavoro da aggiornare. Le lettere di assunzione e i regolamenti aziendali sull’uso degli strumenti informatici devono recepire questi obblighi in modo esplicito, prevedendo la procedura di uscita dalla casella e-mail tra gli adempimenti di fine rapporto.
Attenzione a
Non confondere informativa con consenso. Molte aziende ritengono di essere coperte perché il dipendente ha firmato un’informativa all’assunzione. Ma l’informativa non legittima qualsiasi trattamento successivo: ogni operazione sui dati dopo la cessazione del rapporto richiede una base giuridica autonoma, che nella maggior parte dei casi non esiste se l’accesso ai contenuti della casella serve solo a motivi organizzativi interni.
Il rischio non è solo sanzionatorio. Un ex dipendente che non riesce a recuperare comunicazioni contenenti dati propri — referenze, contratti personali, corrispondenza medica transitata sulla casella aziendale — può agire in giudizio per danno non patrimoniale ex art. 82 GDPR. Alcune Corti di merito hanno già riconosciuto risarcimenti tra 500 e 3.000 euro per violazioni simili, anche in assenza di danni economici dimostrati.
Domande frequenti
Un’azienda può disattivare subito la mail di un dipendente licenziato?
No, non immediatamente. Il dipendente ha diritto di accedere ai propri dati personali contenuti nella casella ai sensi dell’art. 15 GDPR, anche dopo la cessazione del rapporto. L’azienda deve garantire una finestra temporale adeguata — generalmente tra 15 e 30 giorni — durante la quale l’ex dipendente può estrarre il contenuto. La disattivazione immediata espone al rischio di sanzione del Garante.
Quanto tempo può conservare le email dei dipendenti un’azienda dopo la fine del rapporto?
Non esiste un termine legale fisso, ma il principio di limitazione della conservazione ex art. 5 GDPR impone che i dati siano tenuti solo per il tempo strettamente necessario alla finalità dichiarata. In pratica, ogni sistema di backup e archiviazione va mappato nel Registro dei Trattamenti con un termine specifico. Conservare le email per anni senza una finalità documentata è una violazione.
Il dipendente può pretendere la copia di tutte le email aziendali che lo riguardano?
Sì, nei limiti dell’art. 15 GDPR: ha diritto di accesso a tutti i dati personali che lo riguardano, compresi quelli contenuti nelle email scambiate con la casella aziendale. L’azienda può opporre eccezioni solo se la divulgazione lede diritti di terzi o segreti aziendali, ma deve in ogni caso fornire i dati che riguardano esclusivamente l’interessato, senza comprimere arbitrariamente il diritto di accesso.
Fonte di riferimento: AgendaDigitale