La mail come strumento aziendale

La casella di posta elettronica aziendale è uno strumento di lavoro, come tale, può essere regolamentata dal datore attraverso policy interne che ne definiscono modalità e limiti di utilizzo.

Ogni forma di controllo sull’uso della mail deve però rispettare i principi di necessità, proporzionalità e trasparenza, nel rispetto del Regolamento UE 2016/679, c.d. “GDPR”, del Codice privacy e dell’art. 4 dello Statuto dei lavoratori.

In via ordinaria, i metadati relativi alla posta elettronica dovrebbero essere conservati per un periodo non superiore a 21 giorni.  in particolare, si fa riferimento a: mittente, destinatario, data e ora, dimensione, l’oggetto del messaggio.

Un’estensione di tale durata è ammessa solo in presenza di motivate esigenze organizzative o di sicurezza, da documentare adeguatamente, e, qualora l’assetto tecnico consenta controlli a distanza sull’attività dei dipendenti, previa osservanza del procedimento autorizzativo previsto dall’art. 4 dello Statuto.

Alla cessazione del rapporto di lavoro, la casella di posta elettronica deve essere disattivata senza ritardo. È buona prassi attivare un messaggio automatico di risposta che informi i mittenti dei nuovi riferimenti aziendali, evitando così l’accesso al contenuto della corrispondenza dell’ex dipendente, che costituirebbe una violazione della privacy.

La giurisprudenza ammette la possibilità di effettuare controlli difensivi solo in presenza di fondati sospetti di comportamenti illeciti e sempre con modalità mirate, proporzionate e limitate nel tempo. Illegittima invece, qualsiasi acquisizione o consultazione di account personali del lavoratore, anche se accessibili tramite dispositivi o server aziendali.

Cosa si intende per mail aziendale

Per mail aziendale si intende l’account di posta elettronica che il datore di lavoro fornisce al lavoratore per lo svolgimento delle proprie mansioni.

Il relativo trattamento dei dati, che comprende contenuti, allegati e metadati (log, mittenti, destinatari, orari, ecc.), rientra nell’ambito di applicazione del Regolamento UE 2016/679, c.d. “GDPR”, e del Codice in materia di protezione dei dati personali (d.lgs. 196/2003 e s.m.i.).

In questo contesto, il datore di lavoro riveste il ruolo di titolare del trattamento, mentre eventuali fornitori esterni che gestiscono i sistemi di posta elettronica o i servizi cloud operano come responsabili del trattamento ai sensi dell’articolo 28 del GDPR.

La disciplina trova applicazione nei confronti dei datori pubblici e privati, sia nell’ambito della disciplina del lavoro subordinato che, per quanto compatibile, nei confronti dei collaboratori che utilizzano strumenti informatici o servizi aziendali. 

I principi cardine del trattamento, ossia liceità, correttezza, trasparenza, limitazione della finalità e minimizzazione dei dati, sono stabiliti dagli articoli 5, 6 e 13 del GDPR e dalle linee interpretative dell’EDPB (Comitato europeo per la protezione dei dati) in materia di titolare e responsabile del trattamento.

Già nel Provvedimento generale del 2007 su posta elettronica e Internet, il Garante per la protezione dei dati personali aveva individuato le prime regole sull’uso corretto degli strumenti digitali in ambito lavorativo. Questi principi sono stati di recente aggiornati e rafforzati nel documento di indirizzo del 2024, dedicato ai programmi e ai servizi di gestione della posta elettronica e al trattamento dei metadati generati nel contesto lavorativo.

Requisiti e condizioni per l’utilizzo della mail aziendale

Il corretto utilizzo della mail aziendale richiede di trovare un equilibrio tra le esigenze organizzative dell’impresa e la tutela dei diritti fondamentali dei lavoratori. Il datore di lavoro è infatti tenuto a fornire un’informativa chiara e trasparente sull’impiego degli strumenti digitali, sulle finalità del trattamento dei dati, sui tempi di conservazione e sulle eventuali verifiche o controlli.

La base giuridica più ricorrente è l’esecuzione del contratto di lavoro (art. 6, par. 1, lett. b, GDPR), eventualmente combinata con il legittimo interesse del titolare (lett. f), purché le attività restino entro i già citati limiti di necessità, proporzionalità e trasparenza previsti dagli articoli 5, 6 e 13 del GDPR.

Quando gli strumenti digitali, come la posta elettronica, possono comportare anche un controllo sull’attività dei lavoratori, si applica l’articolo 4 dello Statuto dei lavoratori. In questi casi, l’introduzione o la modifica degli strumenti è legittima solo se motivata da esigenze organizzative, produttive o di sicurezza del lavoro, e deve avvenire previa stipula di un accordo sindacale o, in mancanza, con autorizzazione dell’Ispettorato del lavoro.

I dati raccolti tramite tali strumenti possono essere utilizzati per tutti i fini connessi al rapporto di lavoro (gestionali, disciplinari, organizzativi), ma sempre nel rispetto delle regole del GDPR e delle garanzie previste per i lavoratori.

Quanto alla conservazione dei metadati di posta elettronica, il Garante per la protezione dei dati personali ha stabilito una regola generale di conservazione pari a 21 giorni, ritenuta adeguata ad esigenze tecniche e di sicurezza. Retention superiori sono ammesse solo in presenza di circostanze eccezionali, adeguatamente documentate e motivate, e comunque coerenti con l’articolo 4 dello Statuto dei Lavoratori. Sono invece sconsigliati e generalmente illeciti i sistemi che effettuano tracciamenti sistematici e non necessari, come la raccolta automatica di oggetti, contenuti o percorsi di instradamento delle e-mail.

Alla cessazione del rapporto di lavoro, la casella di posta deve essere disattivata tempestivamente. È considerata lecita l’attivazione di un messaggio automatico di riposta, c.d. "autorisponditore", che informi i mittenti dei nuovi recapiti o di una casella funzionale aziendale. È invece illecito mantenere attiva la casella o inoltrare automaticamente la corrispondenza verso terzi (altri account aziendali) per periodi prolungati, in assenza di reali necessità operative e di adeguate cautele.

I controlli difensivi sono ammessi solo in presenza di un fondato sospetto di illecito, di violazioni dei doveri fiduciari o di incidenti di sicurezza informatica. Tali verifiche devono inoltre essere mirate, e limitarsi ai dati successivi all’insorgere del sospetto. Devono svolgersi con tracciamento delle operazioni e coinvolgimento delle funzioni competenti (HR, DPO, IT) e nel rispetto del principio di minimizzazione. Sono invece da considerarsi indebitamente invasive e quindi illegittime le ricerche retrospettive massive sui contenuti o le analisi generalizzate delle comunicazioni.

In questo contesto resta in ogni caso fermo un principio: le caselle di posta personali del lavoratore sono inviolabili. La Corte di Cassazione ha più volte dichiarato illegittima l’acquisizione o l’utilizzo in giudizio di e-mail provenienti da account personali, anche se accessibili da dispositivi o server aziendali. L’accesso a tali comunicazioni costituirebbe infatti una grave violazione della corrispondenza privata e del diritto alla riservatezza tutelato dall’art. 15 della Costituzione e dalle norme europee in materia di privacy.

Procedura per la gestione della posta elettronica aziendale

Per garantire una gestione corretta e conforme della posta elettronica aziendale, è fondamentale adottare un approccio strutturato, che armonizzi l’esigenza di chiarezza organizzativa, trasparenza verso i lavoratori e rispetto delle norme sulla protezione dei dati.

Ogni azienda dovrebbe dotarsi di una policy interna sulla posta elettronica e sugli strumenti digitali, che definisca in modo chiaro gli scopi e le finalità legittime dell’utilizzo, gli usi consentiti e i divieti, ad esempio il divieto di inoltri automatici indiscriminati o l’uso personale non occasionale della casella, le regole per la gestione delle assenze e delle cessazioni, i tempi di conservazione dei contenuti e dei metadati. La policy deve essere portata a conoscenza dei lavoratori in modo tracciabile (ad esempio tramite pubblicazione su intranet aziendale con conferma di lettura) e redatta in coerenza con le linee guida e i documenti di indirizzo del Garante.

Il datore di lavoro deve fornire ai lavoratori un’informativa privacy specifica per gli strumenti digitali utilizzati (ad esempio, posta elettronica, piattaforme di collaborazione, dispositivi mobili gestiti), indicando in modo chiaro la base giuridica del trattamento (esecuzione del contratto e/o legittimo interesse), le finalità e i tempi di conservazione dei dati, i destinatari o responsabili esterni del trattamento, l’eventuale trasferimento di dati verso Paesi extra UE e i diritti riconosciuti ai lavoratori (accesso, cancellazione, limitazione, opposizione).

La piattaforma di posta elettronica deve essere configurata per garantire una raccolta minimizzata dei metadati e una retention automatica non superiore a 21 giorni, come indicato dal Garante. Eventuali estensioni dei tempi di conservazione devono essere motivate, temporanee e documentate. Qualora l’assetto tecnico consenta controlli a distanza sull’attività dei lavoratori, devono essere precedute dal percorso autorizzativo previsto dall’articolo 4 dello Statuto dei lavoratori.

In presenza di fondati sospetti di illecito o violazione dei doveri fiduciari, è possibile avviare un controllo difensivo mirato, limitato ai dati successivi all’insorgere del sospetto.Tale attività deve essere supportata da istruzioni operative interne, registrazione delle operazioni svolte, e una verifica giuridica preventiva con il coinvolgimento del DPO e delle funzioni competenti.

Alla cessazione del rapporto di lavoro, sarà necessario disattivare tempestivamente l’account e la casella di posta del lavoratore. È consentito predisporre un messaggio automatico di risposta che informi i mittenti dei nuovi riferimenti aziendali.  L'accesso o la lettura della corrispondenza del lavoratore cessato costituiscono un trattamento illecito dei dati personali.

Per una gestione corretta della posta elettronica aziendale occorrono quindi trasparenza, regole chiare e misure tecniche adeguate, in modo da conciliare le esigenze operative dell’organizzazione con la tutela effettiva della riservatezza dei lavoratori.

La sentenza n. 24204 del 29 agosto 2025

Con la sentenza n. 24204 del 29 agosto 2025, la Corte di Cassazione, Sezione lavoro, ha ribadito che le comunicazioni provenienti da account personali non possono essere acquisite né utilizzate in giudizio, anche se accessibili da dispositivi o server aziendali, in assenza di una specifica informativa preventiva al lavoratore e nel mancato rispetto dei principi di proporzionalità e finalità previsti dal Regolamento 2016/679 (GDPR).

La pronuncia rafforza la netta distinzione, già affermata in precedenti interventi del Garante e della giurisprudenza, tra strumenti aziendali messi a disposizione del datore e caselle private di posta elettronica.

Il Provvedimento n. 364 del 6 giugno 2024

In tema di conservazione dei log e dei metadati, il Garante per la protezione dei dati personali, con il Provvedimento n. 364 del 6 giugno 2024, ha fissato a 21 giorni il termine ordinario di conservazione dei metadati di posta elettronica (mittente, destinatario, data, ora, oggetto, ecc.), consentendo una eventuale estensione solo in presenza di motivate esigenze organizzative o di sicurezza e previo aggiornamento dell’informativa ai lavoratori.

Il provvedimento richiama le aziende all’adozione di misure tecniche e organizzative adeguate, in coerenza con i principi di limitazione della finalità e di accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e tracciatura degli accessi effettuati.