Con il provvedimento n. 754 del 18 dicembre 2025, il Garante per la protezione dei dati personali ha riaffermato principi fondamentali nella gestione della posta elettronica aziendale dopo la cessazione del rapporto di lavoro, chiarendo i limiti entro cui un datore di lavoro può trattare i dati personali dell’ex dipendente.
Il caso emblematico affrontato dal Garante nasce dal reclamo di un ex amministratore delegato, la cui casella di posta elettronica aziendale era rimasta attiva per oltre due mesi dopo il licenziamento. Durante questo periodo, l’azienda aveva gestito e inoltrato i messaggi ricevuti, senza fornire alcuna informativa al lavoratore e senza adottare misure adeguate a impedirne l’accesso. In tale occasione, l’azienda non solo aveva omesso di fornire un’adeguata informativa all’interessato, ma ha anche gestito e inoltrato i messaggi in arrivo, configurando un trattamento illecito di dati personali in violazione dei principi di liceità, minimizzazione e limitazione della conservazione sanciti dal GDPR.
Questo episodio specifico funge da punto di partenza per esaminare una questione giuridica più ampia e complessa, che si colloca al crocevia tra la normativa sulla privacy e il diritto del lavoro. La problematica non si esaurisce nella gestione degli account post-cessazione del rapporto, ma si estende al potere di controllo che il datore di lavoro può esercitare sugli strumenti informatici forniti ai dipendenti durante l’intera vigenza del contratto.
Ma procediamo con ordine.
Il quadro normativo giuslavoristico
Il fulcro della disciplina dei controlli a distanza sull’attività dei lavoratori è l’articolo 4 della Legge n. 300/1970, la cui versione attuale è il risultato delle modifiche introdotte dal Jobs Act. Questa norma rappresenta il punto di equilibrio tra il potere di controllo del datore di lavoro, espressione dell’iniziativa economica privata, e la tutela della libertà e dignità del lavoratore.
L’articolo 114 del Codice Privacy stabilisce in modo inequivocabile che il rispetto delle disposizioni dell’art. 4 dello Statuto è una condizione di liceità per qualsiasi trattamento di dati personali effettuato in ambito lavorativo: ciò significa che un controllo effettuato in violazione dell’art. 4 non è solo illegittimo dal punto di vista giuslavoristico, ma costituisce anche un trattamento illecito di dati personali.
Cosa prevede l’articolo 4:
“Art. 4
(Impianti audiovisivi)
È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori .
Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.
Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l’Ispettorato del lavoro provvede entro un anno dall’entrata in vigore della presente legge, dettando all’occorrenza le prescrizioni per l’adeguamento e le modalità di uso degli impianti suddetti.
Contro i provvedimenti dell’Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale.”
Da questa architettura normativa discendono due obblighi fondamentali per il datore di lavoro che intenda utilizzare i dati della posta elettronica per contestare un illecito disciplinare:
- il lavoratore deve essere messo a conoscenza, in modo chiaro e dettagliato, di quali controlli possono essere effettuati, per quali finalità, con quali modalità e per quanto tempo i dati vengono conservati;
- il controllo deve essere necessario, proporzionato e non eccedente rispetto alla finalità perseguita: un monitoraggio massivo, costante e indiscriminato dell’attività del lavoratore tramite la sua posta elettronica è quasi sempre considerato sproporzionato e, quindi, illecito.
Un software che permette di ricostruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale è stato considerato dal Garante idoneo a realizzare un controllo illecito sull’attività lavorativa, in violazione dell’art. 4, pena: l’inutilizzabilità delle prove raccolte ai fini del procedimento disciplinare e del successivo giudizio.
La giurisprudenza del lavoro è ormai consolidata nel ritenere che le prove acquisite in violazione di norme fondamentali poste a tutela della dignità del lavoratore, come l’art. 4, non possano essere poste a fondamento della decisione del giudice.
L’inutilizzabilità della prova fa crollare l’intero impianto accusatorio del datore di lavoro. Se il licenziamento si fonda esclusivamente o in via prevalente su fatti accertati tramite un controllo illegittimo, il giudice non potrà fare altro che dichiarare l’insussistenza del fatto contestato: una volta accertata l’insussistenza degli addebiti, il licenziamento è comunque illegittimo anche a prescindere da ogni ulteriore violazione del procedimento disciplinare.
La tutela della privacy
Il Garante ha qualificato tale condotta come trattamento illecito di dati personali, in violazione dei principi di liceità, correttezza, minimizzazione e limitazione della conservazione previsti dal GDPR (art. 5). Sono state inoltre accertate violazioni del diritto dell’interessato ad accedere ai propri dati e ottenere informazioni sul trattamento (artt. 12 e 15 del Regolamento).
Un punto centrale riguarda la natura della posta elettronica aziendale individualizzata: anche se fornita dall’azienda, l’account contiene corrispondenza personale del lavoratore. Pertanto, la cessazione del rapporto di lavoro non legittima il datore di lavoro ad accedere, leggere, conservare o inoltrare i messaggi. Eventuali esigenze organizzative devono essere gestite con soluzioni meno invasive, ad esempio disattivando l’account e attivando un messaggio automatico di risposta.
Alla luce delle violazioni riscontrate, il Garante ha dichiarato illecita la gestione dei dati personali, ordinando all’azienda di fornire le informazioni richieste dall’ex dipendente e irrogando una sanzione di 40.000 euro.
Il provvedimento ribadisce un principio ormai consolidato: l’interesse aziendale non può giustificare un accesso indiscriminato ai dati personali del lavoratore, nemmeno dopo la cessazione del rapporto. La decisione sottolinea l’importanza di adottare policy interne chiare e conformi alla normativa privacy, che prevedano procedure precise per la gestione degli account aziendali e la protezione dei dati personali in fase di transizione.
Una regolamentazione preventiva non tutela solo i diritti degli ex dipendenti, ma riduce anche il rischio di contenziosi e sanzioni, garantendo una gestione dei dati personali conforme, sicura e consapevole anche nelle delicate fasi successive alla fine del rapporto di lavoro.
Conclusione: la prevenzione come unica strategia efficace
L’analisi della normativa e della giurisprudenza delinea un quadro in cui il potere di controllo del datore di lavoro sugli strumenti digitali è strettamente circoscritto da garanzie procedurali e sostanziali. La violazione di queste garanzie non è un mero vizio formale, ma un errore che può invalidare l’intero procedimento disciplinare, la prevenzione resta dunque, l’unica strategia difensiva.
