Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

Email aziendali, regole sulla privacy e diritti dipendenti indicati da nuova legge 2025 del Garante della Privacy

di Chiara Compagnucci pubblicato il
aggiornato con informazioni attualizzate il
Quali sono le novit per dipendenti

Regole e diritti dei dipendenti secondo la legge del Garante della Privacy, protezione dei dati e controlli consentiti

Con il nuovo provvedimento del Garante per la protezione dei dati personali emanato nel giugno 2025, sono stati chiariti e rafforzati i principi e le misure da adottare sia nella gestione delle email aziendali sia nel trattamento dei relativi metadati, assicurando il bilanciamento tra le esigenze organizzative delle imprese e i diritti dei dipendenti.

Le nuove regole 2025 del Garante sulla privacy delle email aziendali

Con il provvedimento del 6 giugno 2025, il Garante Privacy ha aggiornato le linee guida su programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo, a seguito di una consultazione pubblica nazionale. Le principali novità riguardano il trattamento dei metadati generati dagli account email dei dipendenti, e si rivolgono a tutte le realtà lavorative, pubbliche e private, che fanno uso di strumenti digitali.

Il documento distingue tra i metadati (informazioni tecniche sui messaggi scambiati quali mittente, destinatario, orario, dimensioni, IP ecc.) e il contenuto vero e proprio delle email. I metadati sono generati dai sistemi server della posta elettronica (MTA) e dai client (MUA), e possono essere registrati e conservati automaticamente anche senza la consapevolezza dell’utente.

Il Garante ha stabilito che:

  • La raccolta e conservazione sistematica dei metadati deve avvenire per un periodo limitato a 21 giorni, salvo casi motivati e documentati in cui può essere esteso fino a 48 ore aggiuntive.
  • Per prolungare ulteriormente la conservazione dei metadati sono necessari specifici accordi sindacali o autorizzazioni dell’Ispettorato Nazionale del Lavoro, come previsto dallo Statuto dei Lavoratori (art. 4 L. 300/1970).
  • I trattamenti non in linea con tali prescrizioni espongono le aziende a sanzioni amministrative e, in caso di accesso non autorizzato alle comunicazioni, anche a responsabilità penali.

Privacy e gestione delle email aziendali: principi generali e obblighi del datore di lavoro

Per garantire il rispetto dei diritti sulla privacy nei confronti dei lavoratori, i titolari del trattamento (datori di lavoro) devono adottare una serie di misure organizzative e tecniche:
  • Trasparenza: il datore di lavoro ha l’obbligo di informare preventivamente i dipendenti sulle modalità di trattamento delle email, la durata di conservazione dei dati (metadati compresi), le finalità del trattamento e l’eventualità di controlli o monitoraggi.
  • Limitazione della conservazione: i dati tecnici sui messaggi e sulle attività email (metadati) devono essere conservati solo per il periodo strettamente necessario alle finalità dichiarate (21 giorni come valore indicativo).
  • Finalità legittime e proporzionalità: i controlli devono essere proporzionati e fondati su esigenze organizzative, di sicurezza informatica o tutela del patrimonio. Non è ammessa alcuna raccolta generalizzata dei dati per finalità diverse da quelle dichiarate.
  • Riservatezza e sicurezza: adottare misure di sicurezza adeguate (cifratura, controllo accessi, backup sicuri ecc.), garantendo che l’accesso ai dati sia riservato solo a personale autorizzato.
  • Informativa ai dipendenti: i lavoratori devono ricevere un’informativa dettagliata ai sensi dell’art. 13 GDPR prima dell’avvio dei trattamenti.
È inoltre obbligatorio adottare le best practice suggerite dal Garante, tra cui la redazione di una policy interna chiara sull’utilizzo degli account email, la cui consultazione sia sempre accessibile ai lavoratori.

Metadati delle email: definizione, rischi e regole di conservazione

I metadati della posta elettronica rappresentano tutte le informazioni generabili e collegate alla trasmissione di una email, escluse le parti testuali del messaggio. Tali dati includono indirizzi di mittente/destinatario, orari di invio, indirizzi IP di server o client, dimensione e allegati, oggetto della comunicazione in alcuni casi.

Il rischio principale consiste nella possibilità, tramite la raccolta eccessiva o conservazione prolungata, di effettuare un controllo indiretto sulla prestazione lavorativa, situazione disciplinata rigorosamente dal GDPR e dallo Statuto dei Lavoratori.

Le aziende sono pertanto tenute a:

  • Limitare la retention dei metadati secondo i criteri previsti dal provvedimento 2025 del Garante (massimo 21 giorni salvo esplicite e documentate esigenze).
  • Configurare i sistemi email aziendali per minimizzare i dati raccolti e impedire la raccolta automatica e indiscriminata dove non necessaria.
  • Garantire l’accesso selettivo solo a soggetti previamente autorizzati e adeguatamente istruiti.
  • Effettuare una valutazione d’impatto privacy (DPIA) per trattamenti potenzialmente rischiosi.
In assenza di tali misure, il datore di lavoro rischia non solo sanzioni amministrative, ma anche l’esclusione dalla possibilità di utilizzare le informazioni raccolte in sede disciplinare o giudiziaria.

Email aziendale tra diritto alla privacy e strumento di lavoro

La posta elettronica aziendale presenta una doppia natura: da un lato è uno strumento essenziale per l’esecuzione della prestazione lavorativa; dall’altro, per gli account nominativi, rappresenta un dato personale del dipendente ai sensi dell’art. 4 GDPR.

Questa dualità comporta implicazioni dirette:

  • L’indirizzo email aziendale formato da nome e cognome è a tutti gli effetti un dato personale, e richiede una gestione conforme a normative privacy rigorose.
  • I messaggi contenuti nell’account aziendale, se non regolamentati tramite policy interne, possono assumere la natura di corrispondenza privata.
  • In assenza di regolamenti, il controllo datoriale sulle email rischia di sfociare nella violazione della libertà e dignità del lavoratore, tutelate da Costituzione, Statuto dei Lavoratori e Codice penale (art. 616 c.p.).
Per ridurre i rischi, il Garante e la recente giurisprudenza consigliano:
  • Prediligere account condivisi (es. info@azienda.it) per funzioni collettive, limitando gli account nominativi agli effettivi casi di necessità.
  • Vietare per policy aziendale l’uso personale delle email aziendali, informando chiaramente i lavoratori dei limiti di utilizzo e delle eventuali forme di controllo.
  • Gestire con attenzione gli accessi alle caselle email durante le assenze prolungate e alla cessazione del rapporto di lavoro, prevedendo risponditori automatici e procedure di delega.
Ulteriori approfondimenti sono disponibili nella sezione Diritti e doveri sul lavoro.

Diritti dei dipendenti: tutele e limiti delle verifiche datoriali

L’ordinamento tutela una vasta gamma di diritti dei lavoratori dipendenti, sia di natura patrimoniale (retribuzione, ferie, indennità) sia personali (privacy, riservatezza, libertà di opinione). La Costituzione (artt. 2, 4, 15, 36 e segg.), lo Statuto dei Lavoratori (L. 300/1970), il GDPR e la contrattazione collettiva rappresentano i pilastri di queste tutele.

In particolare, il lavoratore ha diritto a:

  • Essere informato sulle modalità di trattamento dei dati personali collegati all’account email.
  • Vedere rispettata la segretezza della corrispondenza, tanto nei flussi di comunicazione quanto nei dati tecnici associati.
  • Godere di garanzie specifiche in caso di controlli: questi ultimi devono essere conformi alle procedure di cui all’art. 4 L. 300/1970 e accompagnati da informativa trasparente, motivazione espressa e verifica della proporzionalità.
Non è mai consentito:
  • Effettuare indagini sulle opinioni politiche, religiose o sindacali del dipendente tramite l’analisi delle email o dei relativi metadati (art. 8 Statuto).
  • Mantenere attivi account email di ex-lavoratori per periodi ingiustificatamente lunghi o senza informativa e policy definite.

Gestione email e account alla cessazione del rapporto di lavoro

Un aspetto delicato e spesso fonte di contenzioso riguarda la gestione dell’email aziendale in caso di dimissioni, licenziamento o risoluzione del rapporto di lavoro. Il Garante 2025 ha ribadito che:
  • L’account deve essere tempestivamente disattivato una volta terminato il rapporto di lavoro.
  • È possibile attivare messaggi automatici per informare i corrispondenti del nuovo referente aziendale.
  • Il datore di lavoro può richiedere, in presenza di policy interna, una delega fiduciaria per la gestione di email lavorative urgenti, ma non può accedere indiscriminatamente ai contenuti.
  • La conservazione di copie di backup delle email dell’ex dipendente o l’accesso protratto all’account senza giustificato motivo rappresentano una violazione della normativa e possono esporre l’azienda a sanzioni.
Viene così ribadito il principio di minimizzazione e limitazione della conservazione, in linea con l’art. 5 GDPR. Le policy aziendali dovrebbero prevedere procedure dettagliate per la disattivazione e la cancellazione degli account, nonché per il trattamento di eventuali dati residui.
Leggi anche
Gestione AziendalePrivacy dipendenti e sul luogo di lavoroEmailUso Internet sul lavoro e in azienda
© 2005-2025 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings