Email aziendali: I miei diritti, i miei doveri e i rischi che correvo senza saperlo

Cosa mi ha insegnato il provvedimento del Garante del 12 marzo 2026

Per anni ho creduto, come molti lavoratori, che la casella di posta elettronica aziendale fosse una cosa dell’azienda. Uno strumento di lavoro, niente di più. Che i messaggi lì contenuti non mi appartenessero davvero.

Poi ho letto il provvedimento del Garante della Privacy n. 10233328 del 12.03.2026. E ho capito di aver sbagliato.

Il caso è quello di un ex dipendente che, dopo la fine del rapporto di lavoro, ha chiesto accesso alle email presenti sul proprio account aziendale. L’azienda ha risposto consegnando solo le email “personali” — scambi con familiari, cedolini, rimborsi spese — e ha trattenuto tutta la corrispondenza professionale, ritenendola di sua esclusiva proprietà.

Il Garante ha dichiarato questa condotta illegittima, ha ordinato la consegna integrale delle email e ha comminato una sanzione di 50.000 euro.

In questo articolo racconto ciò che ho scoperto leggendo quel provvedimento e la giurisprudenza collegata. Perché le regole che pensavo di conoscere erano molto diverse da quelle reali.

1. I miei diritti sulle email aziendali: più di quanto pensassi

Il diritto di accesso esiste, ed è più ampio di quanto creda

L’art. 15 del GDPR — il Regolamento UE 2016/679 — riconosce a ciascun lavoratore il diritto di ottenere copia dei propri dati personali trattati dal titolare del trattamento.

Nel rapporto di lavoro, questo significa che posso chiedere accesso alle email presenti sull’account aziendale personalizzato che mi è stato assegnato. Non solo quelle private. Anche quelle di lavoro.

Il motivo è semplice: anche le email professionali possono contenere dati personali che mi riguardano. Valutazioni sul mio operato, istruzioni ricevute, contestazioni disciplinari, riferimenti alla mia posizione in azienda. Sono dati miei, tutelati come tali.

La protezione vale anche dopo la fine del contratto

Una cosa che non sapevo: questo diritto non si esaurisce con la cessazione del rapporto di lavoro.

Finché l’azienda conserva i miei dati — anche in un sistema di backup — posso esercitare il mio diritto di accesso. Il Garante ha chiarito che la conservazione delle email, anche “offline”, costituisce trattamento di dati personali e non interrompe i miei diritti.

Nel caso esaminato, il backup delle email era conservato per cinque anni. Cinque anni durante i quali il dipendente poteva chiedere e ottenere l’accesso.

Come esercitare concretamente il diritto di accesso

La procedura è più semplice di quanto sembri. Devo inviare un’istanza scritta — meglio via PEC o raccomandata A/R — indicando che si tratta di una richiesta ai sensi dell’art. 15 del GDPR.

Specifico il periodo di interesse e l’oggetto: la casella di posta elettronica aziendale personalizzata a mio nome.

Il datore ha trenta giorni per rispondere. Se non risponde, o risponde in modo parziale, posso presentare un reclamo gratuito al Garante della Privacy oppure ricorrere al Tribunale del lavoro. In casi urgenti, posso chiedere un provvedimento cautelare ex art. 700 c.p.c.

Ho diritto anche a sapere come vengono trattati i miei dati

L’art. 13 del GDPR garantisce il mio diritto a ricevere un’informativa chiara su come il datore tratta i miei dati: finalità, base giuridica, tempi di conservazione, diritti esercitabili.

Nel caso del provvedimento 2026, l’informativa era generica e contraddittoria. Indicava dieci anni di conservazione in un documento, termini variabili in un altro. Il backup quinquennale non era menzionato da nessuna parte.

Questo ha integrato una violazione del principio di trasparenza previsto dall’art. 5 del GDPR. Significa che, se la mia informativa è incompleta o assente, posso contestarlo sia al Garante sia in giudizio.

2. I miei doveri: cosa non posso fare, anche se ne avrei la possibilità

Devo rispettare la riservatezza degli altri

Il fatto che io abbia diritti sulla mia casella email non mi dà carta bianca. Le email aziendali contengono spesso dati personali di colleghi, clienti, fornitori.

Se accedo a quei dati nell’esercizio del mio lavoro, sono tenuto a trattarli con riservatezza. Non posso diffonderli fuori dai contesti autorizzati. Non posso usarli per scopi personali.

Farlo può costare caro: responsabilità civile, responsabilità penale ai sensi degli artt. 167 e seguenti del Codice Privacy, e persino il licenziamento per giusta causa.

Non posso portarmi via i dati aziendali

L’art. 2105 del codice civile impone al lavoratore il rispetto del segreto aziendale. Questo vale anche per i dati.

Se reinoltro email di lavoro al mio indirizzo personale con l’intenzione di trasmettere informazioni riservate a un concorrente, commetto un illecito. Se uso dati di clienti acquisiti nel mio lavoro per finalità extralavorative, rispondo dei danni causati.

La linea di confine non è sempre semplice da tracciare. Per questo, quando si tratta di gestire email e dati nel contesto di una vertenza lavorativa, il confronto con un avvocato del lavoro e con altri professionisti del diritto è spesso indispensabile per capire cosa si può fare e cosa no.

L’uso personale degli strumenti aziendali ha limiti precisi

Un uso moderato e occasionale degli strumenti aziendali per fini personali è generalmente tollerato. Ma non crea zone franche.

Le email inviate o ricevute su un account aziendale — anche quelle personali — transitano su infrastrutture dell’azienda. Se voglio una privacy assoluta, devo usare i miei strumenti personali.

3. I rischi che correvo senza saperlo

Il rischio disciplinare: un controllo illegittimo non mi protegge automaticamente

Uno dei rischi che ho scoperto è sottile. Se il datore ha effettuato controlli illegittimi sulle mie email, i dati così ottenuti sono in linea di principio inutilizzabili. Ma la Cassazione non offre una garanzia automatica.

La giurisprudenza distingue tra tipi diversi di controllo e tipi diversi di violazione. Gli esiti non sono sempre prevedibili. Ciò significa che, anche in presenza di un controllo illegittimo, il licenziamento potrebbe non essere annullato se non contesto tempestivamente la legittimità del controllo.

La contestazione va sollevata subito, già nella fase disciplinare. Non dopo, in giudizio. Un’eccezione tardiva rischia di non essere accolta.

Il rischio di essere io l’autore di una violazione privacy

Non sono solo titolare di diritti: posso essere autore di violazioni. Se tratto in modo improprio dati personali di terzi, rispondo in prima persona.

La produzione in giudizio di documenti aziendali contenenti dati di colleghi o clienti può essere lecita, se strettamente necessaria alla mia difesa. Ma non se è indiscriminata. La giurisprudenza è chiara su questo punto, e le conseguenze possono essere gravi.

4. La giurisprudenza recente: i casi che mi hanno colpito di più

Quando il controllo del datore è lecito: il fondato sospetto

La Cassazione ha elaborato la categoria dei “controlli difensivi in senso stretto”. Sono leciti, anche senza accordo sindacale, solo se ricorrono tre condizioni: fondato sospetto di condotte illecite, controllo mirato e limitato, natura ex post rispetto al sorgere del sospetto.

Con l’ordinanza n. 807/2025, la Cassazione ha ribadito che il sospetto deve essere concreto e documentabile. Un alert di sicurezza, un’anomalia nei log di sistema: questo può bastare. Il malessere gestionale o la semplice curiosità no.

E i dati raccolti prima del sospetto — come un backup archiviato negli anni precedenti — non possono essere usati retroattivamente per giustificare un licenziamento. Questo principio colpisce direttamente la prassi del backup quinquennale dichiarata illegittima nel provvedimento del 2026.

Il reinoltro di email al mio indirizzo personale: quando è lecito

Ho trovato molto interessante la pronuncia di merito sul reinoltro di email aziendali all’indirizzo personale del lavoratore. Il datore aveva licenziato il dipendente per “sottrazione di dati aziendali”.

La Corte ha stabilito che il reinoltro di email non è di per sé un illecito. Per configurare la giusta causa, il datore deve dimostrare che il reinoltro era finalizzato a uno scopo contrario agli interessi aziendali e che ne è derivato un danno concreto.

La conservazione di copie di email di lavoro sul dispositivo personale, in assenza di divieti espliciti nella policy aziendale, non costituisce da sola violazione dell’obbligo di fedeltà. E la produzione in giudizio di email aziendali, se limitata a quanto necessario alla difesa, è considerata lecita.

Attenzione però: la simmetria non è perfetta

Ho letto anche la pronuncia della Corte d’Appello di Milano che ha confermato il licenziamento per giusta causa di un dipendente che aveva usato il numero di cellulare di una candidata — estratto da un curriculum ricevuto in ufficio — per contattarla per ragioni personali.

La Corte ha ritenuto il licenziamento proporzionato, nonostante fosse un singolo episodio. Il motivo: il dipendente era stato formato sulla normativa privacy nell’ambito del suo ruolo. Non poteva invocare l’ignoranza. E la violazione aveva compromesso irreversibilmente il rapporto di fiducia con il datore.

Un caso che mi ha ricordato quanto sia importante conoscere le regole, non solo per difendersi, ma anche per non sbagliare.

Conclusione: conoscere le regole è il primo passo per tutelarsi

Quello che ho imparato dal provvedimento del Garante n. 10233328 del 12.03.2026 e dalla giurisprudenza collegata si può riassumere in tre punti.

Primo: ho più diritti di quanto pensassi. Le mie email aziendali contengono dati personali che mi appartengono. Posso richiederli, anche dopo la fine del contratto, e il datore non può filtrarli discrezionalmente.

Secondo: ho anche doveri precisi. La riservatezza dei dati di terzi mi riguarda direttamente, e le violazioni possono costare molto più di un richiamo disciplinare.

Terzo: i rischi sono concreti e spesso sottovalutati. Contestare un controllo illegittimo al momento giusto, capire cosa posso produrre in giudizio, sapere quando il reinoltro di un’email è lecito: sono tutte questioni che richiedono competenza specifica.

Per questo, quando mi trovo davanti a situazioni complesse che riguardano email aziendali, dati personali e rapporto di lavoro, ritengo che affidarsi a professionisti esperti sia la scelta più consapevole che un lavoratore possa fare.