Accesso del lavoratore alle email aziendali dopo la cessazione del rapporto: cosa cambia davvero per le imprese

Accesso ai dati post-rapporto: nuovi obblighi per HR, Legal e IT

Una recente decisione del Garante per la protezione dei dati personali introduce un chiarimento operativo rilevante per le funzioni HR, Legal e IT: l’ex lavoratore ha diritto ad accedere ai propri dati personali anche dopo la fine del rapporto di lavoro, inclusi quelli contenuti nella casella email aziendale e ad aver accesso anche ai documenti salvati nel pc.

La pronuncia di cui sopra, che ha portato a una sanzione di 50.000 euro nei confronti di una compagnia assicurativa, evidenzia criticità diffuse nelle prassi aziendali.

Il caso: selezione dei contenuti non ammessa

Un ex dipendente aveva richiesto accesso, come anticipato:

ai messaggi della propria email aziendale
ai documenti presenti sul PC assegnato

L’azienda, dopo aver analizzato i contenuti, aveva fornito solo le email ritenute “personali”, escludendo quelle legate all’attività lavorativa.

Errore sostanziale secondo il Garante:
il diritto di accesso ai dati personali non può essere filtrato unilateralmente. Dall’Azienda ed eventuali limitazioni devono essere motivate da specifiche e comprovate ragioni, come la tutela di segreti aziendali.

Il principio chiave: accesso integrale ai dati personali

Il Garante chiarisce un punto spesso frainteso:

Il diritto di accesso riguarda tutti i dati personali
Include anche le comunicazioni contenute in account aziendali individuali
Non è legittimo per l’Azienda:
- selezionare preventivamente i contenuti
- oscurare informazioni
- distinguere arbitrariamente tra ambito personale e professionale

In altre parole, se un dato è riconducibile alla persona, rientra nel suo perimetro di accesso.

Le criticità rilevate: un tema di governance dei dati

Oltre alla gestione della richiesta di accesso, l’Autorità ha evidenziato ulteriori non conformità:

1. Carenza di trasparenza e informazione

Informative e Policy privacy interne incomplete o poco chiare

2. Tempi di conservazione non proporzionati alle finalità dichiarate

Email conservate per 5 anni
Dati di navigazione per 12 mesi

Tempistiche ritenute eccessive, quindi non conformi ai principi di minimizzazione e limitazione della conservazione del dato.

Impatti operativi per le aziende

Questa decisione ha ricadute concrete su più funzioni:

HR/LEGAL/Compliance

Allineamento delle policy di offboarding
Aggiornamento delle informative
Ridefinizione dei tempi di conservazione del dato
Verifica della base giuridica dei trattamenti

IT & Security

Revisione delle procedure di gestione delle richieste di accesso
Gestione corretta degli account dismessi e del rispetto delle tempistiche di conservazione del dato
Tracciabilità e accessibilità dei dati associati all’utente

Il commento legale della dott.ssa Barbati

“Questa decisione rafforza un orientamento già presente, ma spesso sottovalutato nelle organizzazioni: il dato personale non cambia natura in funzione dello strumento utilizzato. Le aziende devono superare una logica ‘proprietaria’ dei sistemi e adottare un approccio preventivo e pienamente conforme ai principi del GDPR, soprattutto in fase di cessazione del rapporto di lavoro, quando spesso di trascurano alcuni passaggi di tutela, come in questo caso. Il rischio non è solo sanzionatorio, ma anche reputazionale.

E’ opportuno quindi predisporre Policy chiare e trasparenti sull’uso degli strumenti informatici e degli account email aziendali, informando espressamente i lavoratori che i dati trattati possono rientrare nell’ambito dei dati personali esercitabili anche dopo la cessazione del rapporto e che, eventuali limitazioni, possono esserci solo in presenza di comprovate ragioni giuridiche, adeguatamente motivate e documentate da parte dell’Azienda.

Occorre inoltre, sempre nelle Policy/informative, definire tempi di conservazione coerenti con i principi di proporzionalità e minimizzazione, evitando archiviazioni generalizzate e di lunga durata non giustificate da specifiche finalità”.

— Dott.ssa Emilia Barbati, Deputy Legal Manager di ERSG, Senior Legal Consultant, ROdV (Responsabile Organismo di Vigilanza)

Come ridurre il rischio: azioni prioritarie

Per evitare esposizioni simili, è opportuno:

Mappare i dati personali presenti nei sistemi aziendali (email, file, log)
Definire idonee procedure di accesso e trattamento dei dati
Definire retention policy coerenti e documentate
Aggiornare le informative privacy in ottica di trasparenza
Formare HR e IT sui limiti operativi nella gestione dei dati ex dipendenti

Un cambio di paradigma

La decisione del Garante impone un passaggio culturale:
la gestione dei dati dei lavoratori, anche dopo la cessazione del rapporto, non è un tema meramente tecnico o amministrativo, ma un ambito strategico di Compliance.

Per le aziende strutturate, questo significa una sola cosa:
integrare realmente privacy, organizzazione e tecnologia nei processi interni.

Adegua ora la tua organizzazione al GDPR

Le criticità emerse in questo caso sono comuni a molte realtà aziendali e spesso rimangono latenti fino a un reclamo o a un’ispezione.

Compliance privacy senza lacune: il metodo operativo ERSG

ERSG supporta le imprese nella gestione completa della compliance privacy attraverso il servizio Privacy – GDPR, con un approccio operativo e integrato: