Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

News

Privacy
torna alle news

Accesso alle email del dipendente cessato e limiti dell'art. 15 GDPR. Sanzione del Garante

Il Garante per la protezione dei dati personali ha recentemente emesso un provvedimento sanzionatorio (provvedimento del 12 marzo 2026 n. 10233328) nei confronti di una compagnia assicurativa per violazione dell’articolo 15 del GDPR.

Il caso trae origine da un reclamo presentato da un ex dipendente della compagnia, il quale, a seguito della cessazione del rapporto di lavoro, esercitava il diritto di accesso sulle sue email aziendali, ai sensi dell’art. 15 del GDPR.

In particolare, l’interessato chiedeva di ottenere copia di tutte le e-mail presenti nella casella di posta elettronica aziendale a lui assegnata durante il rapporto di lavoro, nonché della relativa documentazione connessa.

La società, tuttavia, non accoglieva integralmente la richiesta, limitando l’accesso alle sole comunicazioni ritenute di natura personale e disponendo, inoltre, una preventiva selezione del contenuto della casella di posta elettronica, al fine di escludere:

  • dati riferibili a terzi;
  • informazioni aziendali riservate;
  • contenuti ritenuti non “personali”.

In parallelo, la società consentiva un accesso “controllato” alla casella e-mail, anche mediante selezione diretta da parte dell’interessato, ma sempre all’interno di un perimetro già filtrato e predisposto dal titolare.

L’istruttoria del Garante

All’esito dell’istruttoria, l’Autorità ha esaminato sia le modalità di gestione della richiesta di accesso, sia le policy aziendali relative alla posta elettronica e alla conservazione dei messaggi.

Dalle indagini è emerso, in particolare, che la società:

  • aveva autonomamente selezionato i messaggi da consegnare all’interessato;
  • aveva limitato l’accesso alle sole e-mail qualificate come “personali”;
  • aveva proceduto, in alcuni casi, a forme di oscuramento e anonimizzazione dei contenuti;
  • aveva ritenuto che l’account e-mail fosse nella disponibilità esclusiva del datore di lavoro;
  • non aveva garantito un accesso pieno e diretto alla corrispondenza.

La società giustificava tale impostazione con l’esigenza di tutelare segreti aziendali e dati di terzi, nonché con la necessità di preservare il patrimonio informativo interno.

La decisione del Garante

Il Garante ha, tuttavia, ritenuto tale condotta non conforme alla disciplina in materia di protezione dei dati personali, chiarendo alcuni principi fondamentali.

1. Le e-mail sono dati personali

L’Autorità ha ribadito che le comunicazioni contenute nella casella di posta elettronica aziendale individualizzata costituiscono, a tutti gli effetti, dati personali dell’interessato, anche quando riferite all’attività lavorativa.

Ne consegue che il diritto di accesso ex art. 15 GDPR si estende all’intero contenuto della casella e-mail individuale.

2. Il datore non può selezionare i contenuti

È stata ritenuta illecita la condotta del titolare consistente nel:

  • esaminare preventivamente le e-mail;
  • selezionare solo quelle ritenute “personali”;
  • limitare l’accesso sulla base di una valutazione unilaterale.

Il Garante chiarisce, dunque, che diritto di accesso non può essere “filtrato” dal titolare.

3. Limiti al diritto di accesso: interpretazione restrittiva

L’Autorità ha, dunque, chiarito che le eccezioni al diritto di accesso (art. 15, par. 4 GDPR e art. 12, par. 5) devono essere interpretate in modo rigoroso.

In particolare: la tutela di segreti aziendali o diritti di terzi non giustifica un’esclusione generalizzata; inoltre il titolare deve dimostrare in concreto l’esistenza di un pregiudizio effettivo, in quanto non è sufficiente un generico richiamo alla riservatezza.

4. Il diritto di accesso prevale, salvo bilanciamento caso per caso

Il Garante ha sottolineato che eventuali esigenze di tutela di terzi devono essere gestite mediante l'oscuramento puntuale e che, in ogni caso, occorre operare un bilanciamento caso per caso.

Non è ammessa, quindi, una esclusione preventiva e generalizzata basata su mere interpretazioni del titolare.

5. Violazioni rilevate

Sulla base di quanto è emerso dall’attività istruttoria condotta dal Garante, l'autorità ha ritenuto violati, tra gli altri:

  • art. 15 GDPR (diritto di accesso);
  • art. 12 GDPR (modalità di esercizio dei diritti);
  • art. 5 GDPR (principi di liceità, minimizzazione e trasparenza);
  • art. 88 GDPR e normativa nazionale sul lavoro.

Il provvedimento si inserisce in un orientamento ormai consolidato dell’Autorità che assegna al diritto di accesso una funzione centrale di controllo da parte dell’interessato.

Particolarmente, rilevante è l’affermazione contenuta nel provvedimento del Garante, secondo cui: la casella di posta elettronica individuale costituisce un contenitore di dati personali nella disponibilità giuridica del lavoratore, anche dopo la cessazione del rapporto.

Ne deriva un principio di rilievo pratico significativo: il datore di lavoro non può trasformarsi in “filtro selettivo” del diritto di accesso dell’ex dipendente.

Il provvedimento rafforza, dunque, la posizione dell’Autorità in base alla quale il diritto di accesso ex art. 15 GDPR deve essere garantito in modo pieno, effettivo e non mediato dal titolare del trattamento.

Nel contesto dei rapporti di lavoro, ciò implica che la gestione delle caselle e-mail aziendali e dei dati ivi contenuti richiede una governance chiara e strutturata, tale da consentire il rispetto dei diritti dell’interessato senza compromettere le esigenze organizzative e la tutela dei dati di terzi.