Il Garante della privacy, dopo i controversi interventi degli ultimi due anni in materia di conservazione dei metadati, torna ad occuparsi di posta elettronica aziendale, ancora una volta imponendo una lettura delle norme che, in nome di un’estrema (quanto discutibile) forma di protezione dei dati personali, rischia di compromettere pesantemente l’operatività aziendale. Si tratta di un provvedimento adottato il 12 marzo 2026, sul reclamo di un ex dipendente di una società che, dopo la cessazione del rapporto di lavoro, ha presentato un’istanza di accesso a tutto il contenuto della casella di posta elettronica aziendale “individualizzata” (ossia nome.cognome@azienda.it) assegnatagli e utilizzata per svolgere l’attività lavorativa  . In pratica, ha chiesto che gli venisse consegnata tutta la corrispondenza scambiata attraverso tale account (di proprietà aziendale) durante il rapporto, senza distinzione alcuna. La società ha selezionato le e-mail a contenuto personale e ne ha consegnato copia all’ex dipendente, contestando la richiesta di avere copia di tutte le altre, afferenti l’attività lavorativa e contenenti informazioni di carattere riservato. ll lavoratore, ritenendo che l’ex datore di lavoro non gli avesse consentito di esercitare appieno il diritto di accesso ai dati, si è rivolto al Garante. Quest’ultimo ha (incredibilmente) accolto le prospettazioni dell’ex dipendente e, rilevata sotto vari profili la violazione del Gdpr e del Codice Privacy, ha ordinato alla società di consentire all’ex dipendente «l’accesso integrale al contenuto della corrispondenza presente sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di lavoro», irrogando altresì una sanzione amministrativa di 50mila euro. Il ragionamento del Garante muove dal presupposto (errato) che la casella di posta elettronica fornita dall’azienda e utilizzata durante il rapporto di lavoro, in quanto “individualizzata”, rientrerebbe, nella sostanza, nella piena ed esclusiva disponibilità del lavoratore. Di qui il suo diritto ad avere copia di tutti i messaggi scambiati, con l’unica eccezione di quelli in relazione ai quali il datore di lavoro sia eventualmente in grado di fornire la prova (invero diabolica) che  contengano segreti industriali e aziendali. E siccome, secondo il Garante, «le comunicazioni in transito su un account individualizzato sono inevitabilmente riconducibili a dati personali dell’assegnatario dell’account», non sarebbe consentito esaminarne il contenuto, neppure per limitare l’accesso, come aveva fatto la società, alle sole comunicazioni di carattere personale. Non è dato di sapere se, nel caso di specie, una policy aziendale vietasse l’utilizzo personale dell’account di posta aziendale. Tuttavia, una disposizione del genere, pur assolutamente raccomandabile ed anzi necessaria, forse non sarebbe stata considerata decisiva dal Garante, posto che nel provvedimento si afferma apoditticamente che «anche le comunicazioni di tipo elettronico scambiate sul luogo di lavoro rientrano …nelle nozioni di “vita privata” di “corrispondenza” di cui all’art. 8 [della Cedu]», in quanto «la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza». Certamente, dato il rilievo che il Garante attribuisce al carattere “individualizzato” della casella e-mail, va attentamente considerata l’opportunità, per salvaguardare il patrimonio e il know how aziendale ed impedire la diffusione incontrollata di dati e informazioni di carattere riservato, di adottare caselle e-mail collettive, in cui al nominativo del dipendente si sostituisca la funzione o il team. Il provvedimento del Garante ravvisa poi ulteriori violazioni nella conservazione delle e-mail per un periodo di 5 anni (considerato eccessivo), così come nella conservazione dei log di navigazione in internet per 12 mesi, un arco temporale ritenuto anch’esso incongruo. Infine, il Garante rileva che sia il back up della posta elettronica, sia la conservazione dei log della navigazione in internet, in quanto strumenti che consentono un controllo a distanza dell’attività lavorativa, sarebbero soggetti all’obbligo di preventivo accordo sindacale o autorizzazione dell’Ispettorato del lavoro (articolo 4, primo comma dello Statuto dei lavoratori). Si tratta di una posizione, già espressa in altre occasioni dal Garante, che nella sostanza ripropone una lettura dell’articolo 4 dello Statuto che riporta le lancette dell’orologio a prima del 2015, ignorando di fatto che la riforma operata dal Jobs Act ha inteso sottrarre gli strumenti di lavoro (e non si vede come la posta elettronica non possa essere considerata tale) alla procedura di autorizzazione preventiva. Ancora una volta, insomma, le conclusioni del Garante sollevano più di una perplessità, anche rispetto ai limiti del potere di un’autorità che, sempre più, sembra travalicare le proprie prerogative, fornendo interpretazioni che sconfinano in ambiti, come quello del diritto del lavoro, che forse sarebbe più opportuno riservare ad altre sedi

Fonte: SOLE24ORE