Email Aziendali: il Dipendente ha diritto a leggerle tutte 

(e il Garante lo ha appena confermato con 50.000 Euro di multa) 

Le Email Aziendali non sono (solo) Vostre 

Molte imprese gestiscono le caselle di posta elettronica dei dipendenti come se fossero un archivio di proprietà esclusiva dell’Azienda. Una risorsa da proteggere, da filtrare, da consegnare solo in parte. E solo quando fa comodo. È una convinzione radicata, comprensibile dal punto di vista imprenditoriale, ma sempre più pericolosa sul piano legale. Il punto critico è questo: qualsiasi comunicazione che transita su un account email nominativo — cioè intestato al singolo dipendente — è considerata a tutti gli effetti un dato personale di quell’individuo. Non importa se il contenuto riguarda un contratto milionario, una trattativa riservata o un semplice report interno. Se l’account ha il nome del lavoratore, quella posta rientra nella sua sfera di dati personali. Le conseguenze pratiche sono dirompenti. Un ex dipendente può richiedere copia integrale di tutto ciò che è transitato sulla sua casella. E se l’azienda rifiuta, o filtra, o oscura, rischia una sanzione del Garante della Privacy. Non in teoria: nella pratica, è già successo. 

 Svolta: Ingiunzione del Garante n. 165 del 12 Marzo 2026 

Il caso che ha ridefinito le regole del gioco è quello esaminato dal Garante per la protezione dei dati personali con il Provvedimento n. 165 del 12 Marzo 2026. Protagonista: una compagnia assicurativa e un suo ex dipendente. Alla fine del rapporto di lavoro, il lavoratore aveva richiesto copia integrale delle comunicazioni presenti sulla sua casella email aziendale. L’azienda aveva risposto con una selezione unilaterale: consegnato solo i messaggi “strettamente personali” — scambi con familiari, rimborsi spese — e oscurato o trattenuto tutto ciò che riguardava l’attività lavorativa, ritenendolo patrimonio esclusivo dell’Impresa.  

Il Garante ha smontato questa impostazione pezzo per pezzo: 

• Esame preventivo vietato. L’azienda non può aprire e leggere le email del dipendente per decidere cosa consegnare e cosa no. Farlo costituisce già di per sé una violazione della privacy. 

• L’oscuramento generico non basta. Proteggere segreti aziendali è legittimo, ma solo se fatto in modo specifico e documentato. Oscurare a tappeto non è una difesa: è un illecito. 

• Il contenuto lavorativo non è irrilevante. Le email professionali non diventano automaticamente “dell’azienda” solo perché parlano di lavoro. Se transitano su un account nominativo, restano dati personali dell’assegnatario. 

• Conservazione fuori controllo. L’Azienda conservava i backup delle email per 5 anni e i log degli accessi a Internet per 12 mesi: tempi ritenuti sproporzionati e non giustificati da finalità legittime. 

• Assenza di accordi sindacali. La gestione degli strumenti tecnologici e la conservazione dei relativi dati erano prive degli accordi con le rappresentanze sindacali previsti dall’Art. 4 della Legge 300/1970 (Statuto dei Lavoratori). 

Il risultato? Sanzione amministrativa di 50.000 euro e ordine di consegnare all’ex dipendente l’accesso integrale ai propri dati. Un precedente che ogni imprenditore e ogni commercialista dovrebbe tenere sul tavolo. 

La Strategia di Difesa dell’Impresa: cosa fare SUBITO! 

La buona notizia è che il rischio si può gestire. Il Garante non chiede alle imprese di rinunciare alla tutela del proprio know-how: chiede che quella tutela venga esercitata in modo corretto, proporzionato e documentato.  

Ecco le azioni concrete da mettere in campo: 

• Smettere di usare le caselle email come archivio aziendale. Le email dei dipendenti non sono un sistema di gestione documentale. Per conservare il patrimonio informativo dell’impresa — contratti, trattative, procedure — serve un sistema documentale dedicato, separato dalla posta elettronica individuale. 

• Rivedere i tempi di conservazione. Cinque anni di backup email sono troppi. Va definita una retention policy proporzionata alle reali finalità aziendali e verificata con il DPO o con un consulente privacy. 

• Mappare i segreti industriali con precisione. L’unica eccezione legittima al diritto di accesso del dipendente è la tutela di segreti aziendali o industriali, ma devono essere identificati in modo specifico e non genericamente invocati. Serve una lista aggiornata e difendibile. 

• Regolarizzare gli adempimenti sindacali. La gestione della posta elettronica e dei log di navigazione deve essere disciplinata da un accordo con le rappresentanze sindacali o da un’autorizzazione dell’Ispettorato del Lavoro, come previsto dallo Statuto dei Lavoratori. 

• Aggiornare le informative ai dipendenti. Le policy interne sull’uso degli strumenti informatici e sulle modalità di trattamento dei dati devono essere chiare, complete e firmate. L’opacità informativa è stata una delle contestazioni nel provvedimento n. 165/2026. 

Conclusione: il tempo delle Policy “Fatte in Casa” è finito 

Il messaggio del Garante è inequivocabile: le aziende che continuano a trattare le email dei dipendenti come proprietà indisponibile si espongono a sanzioni concrete, contenziosi costosi e danni reputazionali evitabili. Non serve aspettare che arrivi una richiesta di accesso da parte di un ex dipendente per scoprire di essere fuori norma. Ogni impresa con dipendenti che utilizzano caselle email nominative dovrebbe oggi sottoporsi a un audit dei propri sistemi di conservazione dati e verificare la tenuta delle proprie policy alla luce del quadro normativo vigente. Imprenditori, CEO e commercialisti hanno ora tutti gli elementi per agire. Chi aspetta, paga, come ha appena dimostrato l’ingiunzione n. 165/2026. Chi si organizza prima, trasforma un rischio in un vantaggio competitivo: governance solida, compliance documentata e nessuna sorpresa in caso di contenzioso. 

È il momento di fare una revisione seria. Non domani: adesso.