La gestione delle email aziendali torna al centro del dibattito giuridico dopo un intervento del Garante per la protezione dei dati personali che chiarisce l’estensione del diritto di accesso ai dati. Il caso prende avvio dal reclamo di un ex dipendente di una compagnia assicurativa, che aveva richiesto copia dei messaggi presenti nella propria casella di posta elettronica e dei file conservati sul computer aziendale utilizzato durante il rapporto di lavoro. L’azienda aveva risposto in modo parziale, limitando l’accesso ai contenuti considerati personali e trattenendo le comunicazioni legate all’attività professionale. Questa scelta è stata ritenuta non conforme alla normativa europea in materia di protezione dei dati.
Diritto di accesso e contenuti delle email aziendali
Il chiarimento fornito dall’Autorità riguarda il perimetro del diritto di accesso previsto dal regolamento europeo sulla protezione dei dati. Secondo questa interpretazione, ogni informazione che può essere ricondotta a una persona fisica rientra nella nozione di dato personale, indipendentemente dal contesto in cui è stata generata o utilizzata. Le email aziendali assegnate a un lavoratore, anche quando utilizzate per attività professionali, contengono elementi che permettono di identificare direttamente o indirettamente l’individuo e quindi devono essere incluse nelle richieste di accesso.
La distinzione tra comunicazioni personali e lavorative perde rilievo operativo, perché il criterio centrale diventa la riferibilità del dato al soggetto interessato. Questo approccio modifica una prassi diffusa nelle organizzazioni, che spesso tendevano a filtrare i contenuti prima di rispondere alle richieste.
Limiti al potere del datore di lavoro
Il provvedimento incide anche sul margine decisionale delle aziende nella gestione delle richieste. Le imprese mantengono la possibilità di limitare l’accesso in presenza di motivazioni specifiche, ma queste devono essere dimostrate in modo concreto e documentato. Tra i casi ammessi rientrano, per esempio, la tutela di informazioni riservate o esigenze organizzative che richiedono una protezione mirata dei dati.
Viene quindi esclusa la possibilità di applicare filtri generici o valutazioni discrezionali basate su criteri interni non verificabili. Questo passaggio comporta un cambiamento operativo rilevante, perché impone una revisione delle procedure utilizzate per gestire le richieste degli interessati, soprattutto nei contesti in cui la distinzione tra dati personali e dati aziendali veniva utilizzata come criterio principale di selezione. Le aziende sono chiamate a costruire processi più strutturati, in grado di giustificare eventuali limitazioni con elementi oggettivi.
Gestione dei dati e tempi di conservazione
Oltre al tema dell’accesso, il Garante ha esaminato il sistema complessivo di gestione dei dati adottato dall’organizzazione coinvolta nel caso. Sono emerse criticità nelle informative fornite ai dipendenti e nei tempi di conservazione delle informazioni, ritenuti non proporzionati rispetto alle finalità dichiarate. In particolare, la conservazione delle email per un periodo di cinque anni e dei dati di navigazione per dodici mesi è stata considerata eccessiva, in assenza di motivazioni specifiche che ne giustifichino la durata. Questo rilievo richiama il principio di proporzionalità, che richiede un allineamento costante tra gli obiettivi dichiarati e le pratiche effettivamente adottate all’interno dell’organizzazione. Le policy interne assumono quindi un ruolo centrale e devono essere costruite in modo coerente, aggiornato e documentato, così da poter dimostrare la conformità alle regole europee. Le imprese, dunque, dovranno rivedere la gestione degli account dei dipendenti cessati, evitando blocchi automatici o accessi selettivi che non trovano una giustificazione concreta.
