Argomenti trattati
La gestione della posta elettronica aziendale è oggi un tema centrale per chi cura la privacy aziendale. Tra linee guida, provvedimenti del Garante e orientamenti giurisprudenziali, le imprese devono tradurre obblighi normativi in procedure operative chiare. Il rischio, in assenza di regole puntuali, è duplice: violare la normativa sul trattamento dei dati personali o incorrere in contenziosi con i lavoratori per violazione della riservatezza.
Per orientarsi servono tre passaggi preliminari: una mappatura dei trattamenti esaustiva, la redazione di una informativa privacy completa e la predisposizione di una policy aziendale sull’uso degli strumenti IT. Questi elementi devono considerare non solo il contenuto delle mail, ma anche log, metadati, backup e le regole per l’accesso alle cassette postali.
Informativa ai lavoratori e mappatura delle attività
La prima regola pratica è non limitarsi a formulari generici: l’informativa consegnata al lavoratore deve descrivere in modo puntuale tutti i trattamenti effettuati. Occorre specificare, ad esempio, se si registrano metadati e log, la durata della conservazione dei messaggi, le condizioni di accesso alla casella e l’esistenza di strumenti di controllo. La mappatura dei trattamenti non è un adempimento formale: è il documento che permette di valutare il principio di minimizzazione e la reale necessarietà dei trattamenti ai sensi del GDPR.
Modalità di consegna e orientamenti giurisprudenziali
Non esiste uniformità assoluta su come consegnare l’informativa: la Corte d’Appello di Milano (sentenza 1147 del 2026) ha ritenuto insufficiente la sola pubblicazione su intranet, richiedendo una consegna diretta al singolo lavoratore, mentre la Corte di Cassazione (ordinanza 7985 del 2026) ha ammesso la pubblicazione informatica con invio massivo come modalità legittima. Alla luce di tali pronunce, molte aziende scelgono soluzioni pratiche che combinano comunicazione digitale e attestazioni di ricezione per rafforzare la tracciabilità.
Policy operative e limiti dei controlli
La policy sull’uso degli strumenti IT deve tradurre l’informativa in regole concrete: cosa è permesso, cosa è vietato, come vengono gestiti i controlli. Il Garante e la giurisprudenza ricordano che, in assenza di indicazioni chiare, il dipendente può avere una legittima aspettativa di riservatezza. Per questo motivo le regole devono essere specifiche e facilmente reperibili. In particolare bisogna esplicitare le condizioni che giustificano i cosiddetti controlli difensivi (art. 4 Statuto dei Lavoratori) e le modalità di esecuzione.
Quando è ammesso l’accesso alla casella del dipendente
L’accesso ai messaggi è ammesso solo se sussiste un fondato sospetto di illecito e se il controllo è proporzionato e limitato nel tempo: principio confermato dalla giurisprudenza (cfr. Cass. lav. n. 5209/2026; n. 25732/2026; n. 34092/2026) e dalle linee guida del Garante (provv. n. 53/2018, n. 216/2019, ordinanza 29 ottobre 2026). Qualsiasi intervento deve essere adeguatamente documentato: è il datore che deve dimostrare le ragioni del controllo e la sua congruenza rispetto alla tutela degli interessi aziendali.
Log, metadati, backup e limiti di retention
Spesso i trattamenti “accessori” come la conservazione dei backup o dei log sono quelli che creano maggiori problemi. Il Garante ha ricordato che i sistemi di posta non sostituiscono un sistema di gestione documentale e ha censurato retention eccessive: nel provvedimento del 12 marzo 2026 è stata ritenuta sproporzionata una conservazione dei backup per cinque anni. Inoltre, con il provvedimento del 6 giugno 2026 il Garante ha indicato che la raccolta e la conservazione dei soli metadati per finalità di funzionamento dell’infrastruttura può trovare una deroga limitata nel tempo, orientativamente fino a 21 giorni, oltre i quali vanno valutate altre garanzie.
Valutazioni di impatto e responsabilità
Prima di mantenere log e backup per periodi prolungati è opportuno effettuare una valutazione d’impatto e applicare i principi di accountability. Questo processo permette di giustificare tecnicamente la retention, adottare misure di sicurezza adeguate e, se necessario, coinvolgere sindacati o l’ispettorato del lavoro quando si esce dalle semplificazioni previste dalla normativa.
Chiusura degli account e regole in caso di cessazione
Al termine del rapporto di lavoro l’account aziendale deve essere chiuso: è vietato mantenerlo attivo o rimapparlo su un altro dipendente. È consentito impostare un risponditore automatico per reindirizzare i mittenti a contatti alternativi, ma non è ammesso un redirect automatico della posta verso altre caselle, perché ciò violerebbe la legittima aspettativa di riservatezza dei mittenti. Questa regola è semplice ma va trascritta nella policy e nelle procedure di exit management.
Checklist operativa per il datore di lavoro
In concreto, il datore dovrebbe: 1) mappare tutti i trattamenti legati alle e-mail; 2) redigere un’informativa dettagliata e verificarne la consegna; 3) pubblicare una policy operativa chiara; 4) limitare le retention di log e backup dopo adeguata valutazione; 5) documentare qualsiasi controllo difensivo; 6) chiudere gli account al termine del rapporto. Questi passi riducono il rischio di sanzioni e migliorano la governance del dato.