C’è un passaggio che molte aziende hanno sempre dato per scontato: quando finisce il rapporto di lavoro, la posta elettronica aziendale resta nella disponibilità dell’impresa. La decisione del Garante per la protezione dei dati personali mette in discussione proprio questa convinzione.
Il caso nasce dal reclamo di un ex dipendente a cui era stato negato l’accesso completo alla propria email aziendale. L’azienda aveva fornito solo i messaggi considerati “personali”, escludendo quelli legati all’attività lavorativa. Una scelta che il Garante ha ritenuto illegittima.
Il principio è chiaro: i dati personali restano tali anche quando sono contenuti in strumenti di lavoro.
Email di lavoro, dati personali
Il punto più forte della decisione riguarda proprio la natura delle comunicazioni. Secondo il GDPR, il diritto di accesso riguarda tutti i dati personali, senza distinzioni arbitrarie.
Questo significa che anche le email professionali, se riferibili a una persona, rientrano nel diritto di accesso. Non conta se il contenuto è “di lavoro”. Conta che quel contenuto parli di te, delle tue attività, delle tue comunicazioni.
È una svolta culturale prima ancora che giuridica. Perché supera una logica molto diffusa: quella per cui tutto ciò che è aziendale è automaticamente sottratto alla disponibilità del lavoratore.
Cosa non possono più fare le aziende
La decisione ha un effetto molto concreto. Le aziende non possono più selezionare a priori quali email consegnare e quali no. Non possono filtrare i contenuti sulla base di criteri interni o valutazioni discrezionali.
Eventuali limitazioni sono possibili solo in presenza di ragioni specifiche, come la tutela di segreti aziendali, e devono essere motivate in modo preciso e dimostrabile.
In altre parole, cambia il punto di partenza. L’accesso è la regola. Il limite è l’eccezione.
Il vero problema: come vengono gestiti i dati
C’è però un altro aspetto, meno evidente ma ancora più rilevante. Il Garante ha contestato anche la gestione complessiva dei dati da parte dell’azienda, evidenziando carenze nelle informative e tempi di conservazione non proporzionati.
Questo sposta il tema su un piano più ampio. Non si tratta solo di dare accesso a una casella email, ma di dimostrare che l’intero sistema di gestione dei dati è coerente, trasparente e giustificato.
È qui che molte aziende rischiano davvero, perché spesso le policy interne esistono solo sulla carta.
Perché questa decisione riguarda tutti
La portata della decisione va oltre il singolo caso. Chiunque abbia utilizzato un’email aziendale ha lasciato una traccia fatta di messaggi, documenti, relazioni professionali.
Quella traccia, dice il Garante, non può essere “trattenuta” dall’azienda senza regole. Appartiene anche alla persona.
È un cambio di equilibrio. Meno controllo unilaterale da parte dell’impresa, più diritti per il lavoratore.
Cosa succede adesso
Per le aziende si apre una fase di revisione. Sarà necessario ripensare le policy interne, i tempi di conservazione e le modalità di gestione degli account dopo la cessazione del rapporto.
Per i lavoratori, invece, si rafforza uno strumento concreto. Il diritto di accesso non è più solo teorico, ma diventa un mezzo reale per recuperare informazioni, tutelarsi e ricostruire la propria attività.
Non è una rivoluzione normativa. È qualcosa di più sottile e, per questo, più incisivo: la fine di una zona grigia che per anni è stata data per scontata.
