Email aziendale: limiti dei controlli, conservazione dei dati e corretto uso da parte del lavoratore

Oggi la rete Internet rappresenta un pilastro operativo importante per qualsiasi realtà produttiva, indipendentemente dal settore di appartenenza. Nel quotidiano svolgimento delle mansioni, i dipendenti fanno costante ricorso alla posta elettronica. All'interno dell'organizzazione aziendale compete al datore di lavoro delineare il corretto impiego della mail aziendale e della navigazione Internet, definendo le modalità d'uso e le condizioni di controllo. Di fronte a questo scenario, sorge spontaneo un interrogativo cruciale: quali azioni deve adottare il datore di lavoro per gestire i controlli e la conservazione dei dati nel rispetto dello Statuto dei lavoratori e del GDPR?

 

Introduzione e quadro normativo generale

Nel lavoro contemporaneo, e‑mail e accesso a internet sono il canale principale per gestire clienti, fornitori, colleghi e stakeholder, e non più semplici strumenti accessori. Ogni messaggio inviato, ogni allegato scambiato, ogni sito visitato genera dati che riguardano il lavoratore e terzi, e incide sulla sicurezza del patrimonio informativo aziendale. 

Per il datore di lavoro questo significa muoversi su un doppio binario: 

• da un lato garantire l’efficienza e la sicurezza dei sistemi;
• dall’altro rispettare in modo rigoroso le regole in materia di privacy e controlli a distanza per il lavoratore.

In assenza di regole chiare su uso, controlli e conservazione dei dati, l’azienda si espone a tre rischi principali: violazioni di dati personali, contenziosi con i lavoratori (anche in sede disciplinare) e interventi sanzionatori dell’Autorità Garante. 

Il doppio obiettivo: controllo lecito e tutela dei diritti del lavoratore 

La gestione di e‑mail e internet in azienda richiede di conciliare due esigenze che possono entrare in tensione: il potere di controllo del datore di lavoro sulla prestazione e l’attività del lavoratore, e la tutela della sua sfera privata e dei suoi dati personali. 

Il datore di lavoro ha un interesse legittimo a:

• verificare il corretto adempimento della prestazione;
• prevenire abusi e usi impropri degli strumenti aziendali;
• proteggere sistemi e informazioni da attacchi informatici e condotte illecite. 

Al tempo stesso, il lavoratore conserva diritti fondamentali – in particolare alla riservatezza, alla protezione dei dati personali e a condizioni di lavoro rispettose della sua dignità – che non possono essere compressi attraverso controlli invasivi, occulti o sproporzionati sugli strumenti digitali.

L’assetto corretto è quindi quello di un controllo regolato, basato su strumenti tecnici e organizzativi progettati ex ante, comunicati in modo trasparente, e sorretti da una solida base normativa. 

Il quadro normativo di riferimento: le principali fonti

La disciplina dell’uso di e‑mail e internet in azienda si colloca all’incrocio di più fonti, che vanno lette in modo coordinato:

Regolamento (UE) 2016/679 (GDPR): definisce principi, basi giuridiche, diritti degli interessati, obblighi del titolare e del responsabile, misure di sicurezza e strumenti di accountability applicabili a tutti i trattamenti di dati personali, inclusi quelli derivanti dall’uso degli strumenti informatici aziendali;

• D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018: integra e specifica il quadro europeo nel contesto nazionale, mantenendo in vigore – ove compatibili – alcuni provvedimenti del Garante, tra cui le Linee guida su posta elettronica e internet;
• Art. 4 L. 300/1970 (Statuto dei lavoratori): come riformato: disciplina l’uso di impianti e strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori, distinguendo tra strumenti di controllo “dedicati” e strumenti di lavoro che generano dati utilizzabili anche a fini di controllo. 
• Art. 8 CEDU e giurisprudenza della Corte EDU: riconoscono la tutela della vita privata anche nell’ambito lavorativo, fornendo criteri interpretativi sul bilanciamento tra poteri datoriali e diritti fondamentali del lavoratore;
  Provvedimenti e Linee guida del Garante per la protezione dei dati personali, in particolare quelle su posta elettronica e internet e i più recenti interventi su metadati, log e conservazione dei dati negli ambienti di lavoro digitali. 

A queste si affiancano ulteriori fonti settoriali rilevanti, come la disciplina sulla responsabilità amministrativa degli enti (D.Lgs. 231/2001), che rende centrale la gestione corretta dei sistemi informatici anche ai fini di prevenzione dei reati informatici, e la normativa sulla trasparenza delle condizioni di lavoro, che impone obblighi informativi rafforzati sui sistemi digitali utilizzati nel rapporto di lavoro. 

Dalle regole astratte alla gestione concreta in azienda

La casella email aziendale come strumento di lavoro e dato personale 

La casella di posta aziendale, soprattutto quando è nominativa (ad es. nome.cognome@azienda.it), è al tempo stesso uno strumento di lavoro e un contenitore di dati personali riferibili al lavoratore e ai terzi con cui interagisce. 

Ogni operazione effettuata sulla casella (invio, ricezione, archiviazione, ricerca, cancellazione, esportazione) costituisce un trattamento di dati personali e deve rispettare i principi e gli obblighi previsti dal GDPR e dalla normativa nazionale. 

Per il datore di lavoro ciò comporta alcune ricadute pratiche immediate: 

• individuare in modo chiaro finalità e basi giuridiche dei trattamenti connessi all’uso della posta elettronica (esecuzione del contratto di lavoro, adempimento di obblighi
• legali, legittimo interesse alla sicurezza e alla tutela del patrimonio); 
• descrivere tali trattamenti nell’informativa ai lavoratori e nel registro dei trattamenti, con indicazione di categorie di dati, destinatari e tempi di conservazione; 
• definire regole interne su chi può accedere alle caselle, in quali casi (assenze prolungate, indagini interne, cessazione del rapporto), con quali limiti e per quanto tempo i
• dati possono essere conservati. 
   

Controlli sulla posta elettronica: quadro di liceità 

I controlli sull’uso della posta elettronica si collocano nell’intersezione tra poteri datoriali e limiti posti dall’art. 4 dello Statuto dei lavoratori e dalla disciplina privacy. 

In linea di principio: 

• la casella email rientra tra gli strumenti di lavoro che il datore può utilizzare per verificare la corretta esecuzione della prestazione, senza bisogno di accordo sindacale o autorizzazione amministrativa, purché le verifiche siano coerenti con la natura dello strumento e non si traducano in una sorveglianza massiva e continua; 
• quando si introducono funzionalità o applicativi aggiuntivi che consentono un monitoraggio sistematico dell’attività del lavoratore (report puntuali per utente, tracciamento esteso delle operazioni, analisi comportamentali), si entra nell’ambito degli impianti di controllo di cui al comma 1 dell’art. 4, con la necessità di attivare le relative garanzie (accordo sindacale o autorizzazione amministrativa, oltre al rispetto del GDPR).

In ogni caso, l’utilizzabilità dei dati raccolti, anche a fini disciplinari, è subordinata al rispetto dei principi di liceità, correttezza, trasparenza, proporzionalità e minimizzazione dei trattamenti.

No. Anche se l'account è di proprietà aziendale, il controllo non può mai tradursi in una verifica costante, capillare e "a tappeto" dell'attività lavorativa. Un controllo indiscriminato violerebbe la dignità del lavoratore e le tutele dello Statuto dei Lavoratori.

La criticità sorge quando l'integrazione tecnologica (es. sistemi di log, filtri anti-phishing avanzati) permette al datore di monitorare l'attività del dipendente. In questo caso, la posta elettronica non è più solo uno strumento di lavoro, ma diventa uno strumento di controllo indiretto. La conseguenza operativa è chiara: il datore non può procedere senza un'informativa preventiva, trasparente e dettagliata che chiarisca al lavoratore cosa viene tracciato, come e perché.

Metadati delle e‑mail e tempi di conservazione 

Oltre al contenuto dei messaggi, i sistemi di posta generano e conservano una serie di metadati (mittente, destinatario, orario, indirizzi IP, dimensione) che, se riferibili a persone identificabili, costituiscono dati personali a tutti gli effetti. 

Sul piano operativo, il datore di lavoro deve distinguere tra la conservazione tecnicamente necessaria al funzionamento del sistema e la conservazione prolungata che può tradursi in una forma di monitoraggio indiretto delle attività dei lavoratori. 

Le recenti pronunce del Garante hanno ribadito con forza il principio di limitazione della conservazione: con l’ordinanza n. 409/2022, l’Autorità ha chiarito che anche i metadati delle email devono essere trattati solo se sussiste una finalità specifica e documentata; con l’ordinanza del 7 aprile 2022 n. 9771545 è stata sanzionata una società per la gestione irregolare dell’account di una collaboratrice esterna, ricordando che le tutele privacy si estendono a chiunque collabori con l’azienda, indipendentemente dalla forma contrattuale. 

La raccolta e la conservazione dei metadati e dei log necessari al funzionamento tecnico delle infrastrutture di posta elettronica sono legittime se limitate a un massimo di 21 giorni. Entro questo termine, i log sono considerati "strumenti di lavoro" ai sensi dell'art. 4, comma 2 dello Statuto dei Lavoratori e non richiedono autorizzazioni preventive. 

Se il datore di lavoro ha la necessità di estendere la conservazione dei dati oltre i 21 giorni (ad esempio per motivate esigenze di sicurezza informatica o tutela del patrimonio aziendale), il trattamento si configura come un monitoraggio a distanza. 

In questo caso, l'azienda ha l'obbligo tassativo di attivare le garanzie dell'art. 4, comma 1 dello Statuto dei Lavoratori, procedendo a: 

• Stipulare un accordo con le rappresentanze sindacali (RSA/RSU); 
• Richiedere, in mancanza di accordo, l'autorizzazione amministrativa all'Ispettorato Nazionale del Lavoro (INL). 

Indipendentemente dalla durata, la conservazione automatica e generalizzata dei metadati "a tempo indeterminato" è considerata illecita. I lavoratori devono sempre essere informati preventivamente sul funzionamento del sistema e sulle esatte modalità di controllo.

Per evitare contenziosi e sanzioni, il titolare del trattamento deve rigorosamente adempiere a quanto previsto dalla normativa europea:

• Informativa: Deve essere fornita al lavoratore per garantire la piena trasparenza sulle modalità di gestione dei dati;
• Registro dei trattamenti: Va costantemente aggiornato per riflettere le attività di gestione della posta;
• Nomina dei responsabili: Nel caso in cui l'infrastruttura di posta sia gestita in outsourcing, è obbligatorio formalizzare la nomina dei fornitori esterni a Responsabili del trattamento;
• Analisi dei rischi: È necessario svolgere una valutazione preventiva dei rischi legati all'utilizzo degli strumenti informatici.
   

Cessazione del rapporto: come gestire gli account e ridurre il rischio di contenzioso 

La gestione delle caselle e‑mail alla cessazione del rapporto è una delle aree in cui più frequentemente emergono criticità in sede ispettiva o davanti al Garante. 

È legittimo conservare i messaggi di posta sui server aziendali dopo le dimissioni o il licenziamento? In linea generale, no. Il mantenimento dei contenuti sui server aziendali per periodi prolungati — come un anno dalla fine del rapporto — è considerato dall'Autorità contrario ai principi di pertinenza e necessità. Spesso le aziende invocano ragioni di archiviazione o continuità operativa per giustificare tale conservazione, ma il Garante ha chiarito che, in assenza di regole chiare e trasparenti a tutela della riservatezza del lavoratore, tale trattamento è da ritenersi illecito. Un errore ricorrente, inoltre, è la mancanza di indicazioni specifiche su questo tema all'interno della policy aziendale fornita al dipendente, che risulta dunque lacunosa e non conforme.

Alla chiusura del rapporto di lavoro, è necessario procedere alla disattivazione e alla tempestiva rimozione degli account in uso all'ex dipendente. Contemporaneamente, l'azienda deve implementare sistemi automatici per informare i mittenti della cessazione dell'account, fornendo loro riferimenti alternativi per proseguire l'attività professionale. È opportuno sottolineare che il Garante ha dichiarato l'illegittimità della pratica di reindirizzamento automatico dei messaggi destinati all'ex dipendente verso le caselle di posta di altri collaboratori.

La disattivazione deve avvenire entro un periodo di tempo congruo per permettere le necessarie operazioni di transizione, e non può in alcun caso essere prolungata oltre quanto strettamente necessario al raggiungimento delle finalità di continuità operativa. A tal proposito, la giurisprudenza del Garante è stata molto severa: in un caso specifico, è stata dichiarata illegittima la condotta di una società che aveva mantenuto l'account di posta elettronica attivo per un periodo superiore a un anno e sette mesi dalla cessazione del rapporto.

Diritto di accesso del lavoratore

Le decisioni del Garante hanno ribadito che le informazioni contenute nella casella e‑mail e nel PC aziendale, quando riconducibili al lavoratore, sono dati personali e rientrano nell’ambito del diritto di accesso previsto dal GDPR. 

Questo implica la necessità di:

• far comprendere all’azienda che non è possibile escludere in via generale dall’accesso tutte le comunicazioni “professionali”, solo perché attinenti all’attività lavorativa; 
  supportare la definizione di procedure interne per rispondere alle richieste di accesso che riguardano casella e PC, coordinandosi con il DPO e con l’IT. 

No. Il Garante, con il provvedimento n. 165/2026, ha sanzionato con 50.000 euro una società che ha adottato proprio questa condotta. L’Autorità ha chiarito che:

• L’e-mail è un "dato personale": La posta elettronica aziendale non è solo uno strumento di lavoro, ma uno spazio in cui si manifesta la dimensione individuale del dipendente. Pertanto, il diritto di accesso (ex art. 15 GDPR) si estende a tutti i dati presenti, senza che il datore di lavoro possa effettuare filtri arbitrari tra comunicazioni personali e lavorative.
• Tutela dei segreti aziendali: Il datore di lavoro non può invocare genericamente la protezione dei segreti industriali o dei diritti di terzi per negare l'accesso. Tale limitazione è lecita solo a fronte della prova concreta di un pregiudizio effettivo, non attraverso una compressione generalizzata del diritto dell'interessato.
   

Check list operativa

Per garantire piena conformità allo Statuto dei Lavoratori (art. 4) e al GDPR, la policy deve includere i seguenti punti cardine:

Elemento da definire	Dettaglio Operativo
Natura degli strumenti	Dichiarare esplicitamente la natura aziendale di email, PC e dispositivi, destinati esclusivamente o prevalentemente a scopi lavorativi.
Uso personale	Stabilire il perimetro: Vietato, Tollerato entro limiti definiti (es. pausa pranzo), o Consentito solo in casi specifici.
Divieti specifici	Elencare i comportamenti proibiti: contenuti offensivi/discriminatori, attività illecite, o divulgazione non autorizzata di dati riservati.
Modalità di controllo	Descrivere in modo trasparente come e quando l'azienda interviene (es. controlli a campione, log tecnici, verifiche su segnalazione di anomalie).
Limiti di riservatezza	Esplicitare che l'aspettativa di privacy del lavoratore è limitata e soggetta alle modalità di controllo sopra descritte.
Conseguenze	Informare chiaramente il dipendente che la violazione delle policy comporterà l'avvio di un procedimento disciplinare.

La policy dovrebbe essere consegnata al lavoratore, illustrata in maniera comprensibile e, ove possibile, richiamata nella lettera di assunzione o nel regolamento aziendale, così da rafforzarne la conoscibilità ed efficacia. 

Riferimenti normativi 

• Art. 4 L. 300/70
• D.Lgs. 101/2018
• Artt. 5, 13, 29, 32, 88 GDPR
• Linee guida del Garante posta elettronica e Internet 10 marzo 2007
• "Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” 21 dicembre 2023.