
Il principio è chiaro: il contenuto delle email aziendali può rientrare nella nozione di corrispondenza e, come tale, è protetto dal diritto alla segretezza. Questo diritto, sostenuto anche dalla Costituzione, tutela la dignità del lavoratore e la sua libertà di relazione.
Nel recente caso esaminato dall’Autorità, l’amministratore delegato licenziato aveva chiesto all’azienda di disabilitare l’account aziendale, inoltrare i messaggi in arrivo al suo indirizzo personale e attivare un risponditore automatico; la richiesta, formulata ai sensi del GDPR, non è stata esaudita. Al contrario, per circa due mesi le email indirizzate al suo account sono state inoltrate a un altro indirizzo aziendale, superando il limite interno di 30 giorni e determinando accessi indebitamente prolungati anche a contenuti di natura personale.
Dall’istruttoria è emerso che la pratica aziendale aveva comportato non solo la ricezione ma anche la conservazione e la consultazione di messaggi privati: una modalità incompatibile con i principi di liceità, pertinenza e minimizzazione dei dati. Per questo motivo il Garante ha disposto che il lavoratore potesse accedere al proprio account e ha ordinato la cancellazione delle informazioni personali raccolte, comminando una sanzione di 40.000 euro alla società.
La vicenda contiene indicazioni operative chiare per le imprese. Per operare nel rispetto del GDPR, occorre:
![]() | Definire in modo trasparente e trasversale una policy aziendale per la gestione delle caselle di posta al termine del rapporto di lavoro; |
![]() | Stabilire in modo chiaro e per iscritto quali siano le comunicazioni legittimamente rilevanti per l’azienda, e che quindi potranno essere selettivamente conservate; |
![]() | Includere nel protocollo indicazioni precise sui tempi massimi di instradamento, le modalità di accesso limitate e i criteri per la conservazione dei messaggi; |
![]() | Separare, quando possibile, la corrispondenza privata da quella professionale (ad esempio tramite filtri o marcature) e predisporre risposte automatiche che comunichino tempestivamente il nuovo punto di contatto esterno. |
Infine, ricordiamo che le richieste del lavoratore soggette al GDPR devono trovare risposta nei termini e con le garanzie previsti dalla legge: il mancato riscontro aumenta il rischio di contestazioni e sanzioni.
Per tutelare la dignità dei lavoratori e ridurre rischi legali e reputazionali, le aziende devono dotarsi di regole chiare e procedure documentate: un approccio trasparente, proporzionato e tracciabile non è solo obbligo normativo, ma anche leva per una gestione più efficiente e rispettosa delle persone.