Backup delle email aziendali per anni? Il Garante privacy mette un limite

Maggio 09, 2026 - 08:05

lentepubblica.it

La posta elettronica aziendale non è un territorio completamente nella disponibilità del datore di lavoro. Anche quando l’account è fornito dall’impresa e utilizzato per finalità professionali, i messaggi transitati su una casella individuale possono contenere dati personali del lavoratore, informazioni riferite a terzi e comunicazioni protette da garanzie di riservatezza.

È questo uno dei passaggi centrali del provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato ITAS Mutua, contestando diverse violazioni del GDPR e del Codice privacy.

La decisione, adottata il 12 marzo 2026, si chiude con una sanzione amministrativa da 50mila euro, l’ordine di consentire all’ex dipendente l’accesso integrale alla corrispondenza presente nella casella aziendale individualizzata e la prescrizione di adeguare entro 90 giorni policy interne e trattamenti alle regole in materia di protezione dei dati personali.

Il reclamo dell’ex dipendente e la richiesta di accesso alle email

La vicenda nasce dal reclamo presentato da un ex lavoratore, dopo la cessazione del rapporto con la società. L’interessato aveva chiesto di recuperare documenti e cartelle personali presenti sul computer aziendale e nella casella di posta elettronica individuale utilizzata durante il servizio.

In una prima fase, l’azienda aveva consentito l’accesso al desktop e il recupero di alcuni file. Più complesso, invece, si era rivelato il tema della posta elettronica. Secondo quanto ricostruito dall’Autorità, l’accesso alla casella non era stato immediatamente possibile per ragioni tecniche; successivamente, al lavoratore era stata consegnata solo la corrispondenza ritenuta “personale”, come scambi con familiari, certificazioni uniche e rimborsi spese.

Restavano fuori, invece, altre email collegate all’attività lavorativa o considerate dall’azienda non aventi contenuto personale. Da qui la richiesta formale, formulata ai sensi dell’articolo 15 del GDPR, di ottenere copia di tutte le email presenti nella casella a partire dal 1° marzo 2021, oltre ad altra documentazione connessa al rapporto di lavoro.

Perché la posta aziendale contiene dati personali

Il punto decisivo riguarda la nozione stessa di dato personale. Per il Garante, non è corretto distinguere in modo rigido tra email “personali” ed email “lavorative”, come se queste ultime fossero automaticamente sottratte al diritto di accesso dell’interessato.

In una casella aziendale individualizzata, infatti, la corrispondenza è comunque riferibile al soggetto assegnatario dell’account. Anche le comunicazioni professionali possono contenere elementi che identificano il dipendente, descrivono la sua attività, documentano decisioni, comportamenti, rapporti interni o interlocuzioni con soggetti esterni.

Il Garante richiama, in questo senso, un orientamento consolidato: la tutela della vita privata non si arresta sulla soglia dell’ufficio. Le comunicazioni elettroniche scambiate nel contesto lavorativo rientrano nella sfera della corrispondenza e della riservatezza, con garanzie che trovano fondamento anche a livello costituzionale ed europeo.

Per questo motivo, secondo l’Autorità, l’azienda non poteva limitarsi a selezionare preventivamente ciò che riteneva “strettamente personale”, escludendo tutto il resto.

Diritto di accesso GDPR: limiti sì, ma non generici

Un altro passaggio rilevante riguarda l’oscuramento e l’anonimizzazione di parti della corrispondenza. ITAS Mutua aveva sostenuto di dover tutelare dati di terzi, informazioni riservate e segreti aziendali. Una cautela astrattamente comprensibile, ma non sufficiente, secondo il Garante, a giustificare una compressione così ampia del diritto di accesso.

Il GDPR consente di limitare l’accesso quando siano in gioco diritti e libertà altrui, inclusi segreti commerciali o proprietà intellettuale. Tuttavia, questa esigenza deve essere dimostrata in concreto. Non basta richiamare un rischio generico: il titolare deve provare che, in quello specifico caso, l’ostensione dei dati potrebbe arrecare un pregiudizio effettivo.

Nel caso esaminato, l’Autorità ha rilevato che molte informazioni relative a terzi erano già contenute in comunicazioni ricevute e conosciute dall’interessato. Quanto ai segreti aziendali, la società non avrebbe fornito elementi idonei a dimostrare un danno reale derivante dall’accesso dell’ex dipendente alla propria corrispondenza.

Da qui la contestazione della violazione degli articoli 12 e 15 del GDPR, relativi alle modalità di esercizio dei diritti e al diritto di accesso.

Backup delle email per cinque anni: il nodo della conservazione

La decisione affronta anche un tema molto delicato per imprese, enti e pubbliche amministrazioni: la conservazione delle email aziendali tramite backup.

Dall’istruttoria è emerso che i messaggi transitati sugli account dei dipendenti venivano conservati in backup per un periodo massimo di cinque anni. La società ha motivato tale scelta con la necessità di preservare il patrimonio informativo aziendale, anche in relazione all’attività di vigilanza cui è sottoposta come impresa assicurativa.

Il Garante, però, ha ritenuto questa impostazione non conforme ai principi del GDPR. La conservazione, anche se effettuata in ambienti non online e senza consultazione ordinaria, resta comunque un trattamento di dati personali. Non è quindi corretto considerarla un’operazione neutra o irrilevante sotto il profilo privacy.

Inoltre, secondo l’Autorità, la continuità aziendale e la corretta gestione documentale devono essere garantite attraverso strumenti appropriati, non mediante la conservazione generalizzata e prolungata delle caselle di posta. I sistemi email, per loro natura, non sono archivi documentali strutturati: non assicurano automaticamente autenticità, integrità, reperibilità e corretta classificazione dei documenti rilevanti.

Informative non adeguate e policy da correggere

Un ulteriore profilo critico riguarda la trasparenza nei confronti dei dipendenti. Secondo il Garante, l’attività di backup quinquennale della posta elettronica non risultava adeguatamente descritta nei documenti informativi messi a disposizione dei lavoratori.

Le informative e le regole aziendali richiamavano la conservazione dei dati in modo generico e, in alcuni punti, non perfettamente coerente. Mancavano indicazioni chiare su finalità, tempi, basi giuridiche e modalità effettive del trattamento.

Per l’Autorità, questo contrasta con i principi di correttezza e trasparenza, che assumono un peso particolare nel rapporto di lavoro, dove il dipendente si trova in una posizione fisiologicamente meno forte rispetto al datore.

Il provvedimento richiama anche i principi di minimizzazione, limitazione delle finalità e limitazione della conservazione. Conservare in modo esteso l’intero contenuto delle caselle email, per un arco temporale significativo, è stato ritenuto non proporzionato rispetto agli scopi dichiarati.

Log di navigazione e controlli a distanza

La decisione non si ferma alla posta elettronica. Il Garante ha esaminato anche la conservazione dei log relativi alla navigazione Internet, prevista dalle regole aziendali per 12 mesi e collegata non solo a finalità di sicurezza informatica, ma anche alla tutela del patrimonio aziendale e alla difesa dei diritti.

Questo profilo apre il tema dei controlli a distanza. Quando strumenti informatici consentono, anche solo potenzialmente, di ricostruire l’attività dei lavoratori, occorre verificare il rispetto dell’articolo 4 dello Statuto dei lavoratori, richiamato dall’articolo 114 del Codice privacy.

Il datore può impiegare strumenti dai quali derivi la possibilità di controllo solo per esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio aziendale, e nel rispetto delle procedure di garanzia: accordo sindacale o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro.

Nel caso specifico, pur avendo la società dichiarato di non aver svolto controlli sull’attività dei dipendenti, il Garante ha valorizzato il contenuto delle policy interne. Backup delle email e conservazione dei log, così come regolati, sono stati considerati strumenti potenzialmente idonei a consentire un controllo sull’attività lavorativa.

Cosa cambia per aziende e Pubbliche Amministrazioni

Il provvedimento offre indicazioni utili anche oltre il caso concreto. Per amministrazioni pubbliche, società partecipate, enti e imprese private, il messaggio è chiaro: la gestione degli strumenti digitali di lavoro non può essere affidata a clausole generiche o a prassi nate per esigenze organizzative interne.

Le caselle email individuali, i sistemi di backup, i log di navigazione e le policy sugli strumenti informatici devono essere costruiti secondo una logica di proporzionalità. Occorre spiegare ai dipendenti quali dati vengono trattati, per quali finalità, per quanto tempo e con quali garanzie.

Allo stesso tempo, la conservazione dei documenti aziendali rilevanti dovrebbe passare da sistemi di gestione documentale, protocolli interni e archivi strutturati, non dalla replica prolungata e indistinta delle email personali di lavoro.

Il caso conferma anche l’importanza del diritto di accesso: il lavoratore, anche dopo la cessazione del rapporto, può chiedere i dati personali contenuti nella casella aziendale individualizzata. Il datore può valutare eventuali limiti, ma deve farlo in modo puntuale, documentato e proporzionato.

La sanzione e gli obblighi imposti dal Garante

Alla fine dell’istruttoria, il Garante ha dichiarato illecito il trattamento effettuato da ITAS Mutua per violazione di diverse disposizioni del GDPR e del Codice privacy, tra cui gli articoli 5, 12, 13, 15 e 88 del Regolamento, oltre all’articolo 114 del Codice.

La società dovrà pagare una sanzione di 50mila euro e conformarsi entro 90 giorni alle prescrizioni dell’Autorità. In particolare, dovrà consentire all’ex dipendente l’accesso integrale alla corrispondenza presente nell’account aziendale individualizzato usato durante il rapporto di lavoro e adeguare policy e trattamenti alla disciplina privacy.

La vicenda dimostra quanto il confine tra organizzazione aziendale, sicurezza informatica, tutela del patrimonio e diritti dei lavoratori sia sempre più sottile. Nel lavoro digitale, la posta elettronica non è solo uno strumento operativo: è anche un luogo in cui si accumulano dati, relazioni, tracce professionali e frammenti di vita privata. Proprio per questo, non può essere gestita come un archivio qualunque.