Esiste un tema che attraversa ogni rapporto di lavoro — da quando il dipendente firma il contratto a quando lo lascia, e anche dopo — che quasi nessuno gestisce correttamente. Non le aziende, che spesso ignorano i limiti che la legge impone ai controlli. Non i lavoratori, che spesso ignorano i diritti che la legge attribuisce loro.
Il tema è la posta elettronica aziendale nominativa.
Non parliamo di una questione tecnica o burocratica. Parliamo di un'area ad alto rischio per le aziende — sanzioni, prove inutilizzabili, contenziosi — e di un'area ricca di diritti spesso ignorati per i lavoratori. Negli ultimi mesi, il Garante per la protezione dei dati personali e la Cassazione hanno emesso provvedimenti che rendono il punto della situazione molto chiaro. Conviene capirlo bene, da entrambe le parti.
Il punto di partenza: la casella email non è uno strumento neutro
Quando un'azienda assegna a un dipendente un indirizzo del tipo nome.cognome@azienda.it , nasce un'aspettativa legittima di riservatezza. Quella casella contiene dati personali del dipendente e dei terzi che gli hanno scritto. È considerata corrispondenza, tutelata dagli artt. 2 e 15 della Costituzione e dal Regolamento europeo sulla protezione dei dati personali.
Questo non significa che l'azienda non abbia mai il diritto di accedervi. Significa che quel diritto ha confini precisi, e che superarli ha conseguenze concrete su entrambi i fronti.
Cosa è successo di recente
Il Garante per la protezione dei dati personali ha sanzionato un'università per aver conservato la casella email di un ex docente per circa due anni dalla fine del rapporto di lavoro. L'università non aveva letto i messaggi, non aveva usato le informazioni in alcun modo. Aveva semplicemente tenuto la casella attiva, senza disattivarla con la procedura corretta e senza attivare tempestivamente un messaggio automatico che informasse i mittenti.
È bastato questo per la sanzione. Il Garante ha rilevato la violazione dei principi di liceità, correttezza e minimizzazione dei dati — principi che si applicano anche alla mera conservazione, non solo all'accesso o alla lettura. La sanzione complessiva è stata di 8.000 euro, con pubblicazione del provvedimento sul sito del Garante.
Nello stesso periodo, la Cassazione ha esaminato un caso in cui un'azienda aveva scoperto che alcuni ex dipendenti avevano costruito una società concorrente mentre erano ancora in servizio, deviando clienti e operazioni. L'azienda aveva recuperato le loro email dal server aziendale — dove le comunicazioni personali erano confluite — e aveva fondato su quelle email la propria domanda di risarcimento danni. La Corte d'appello aveva dichiarato quelle prove inutilizzabili. La Cassazione ha confermato.
Il motivo: mancava una policy aziendale scritta che prevedesse la possibilità di controllo della corrispondenza, e mancava l'informativa preventiva ai dipendenti. Senza questi elementi, il controllo delle comunicazioni non rispetta i criteri di finalità legittima, proporzionalità e preventiva informazione elaborati dalla giurisprudenza europea, e le prove raccolte non possono essere usate in giudizio.
Per l'azienda: i rischi operativi e come gestirli
Il primo rischio è la sanzione del Garante per gestione scorretta delle caselle email degli ex dipendenti. Il secondo, spesso più costoso, è l'inutilizzabilità delle prove in un contenzioso con ex dipendenti.
Questi due rischi si gestiscono con strumenti semplici, che però vanno predisposti prima — non quando è già in corso una controversia.
La policy informatica aziendale è il documento fondamentale. Deve descrivere come vengono usati gli strumenti informatici aziendali, in quali circostanze l'azienda può accedere alla posta elettronica dei dipendenti, con quali modalità e con quali limiti. Deve essere scritta in modo comprensibile, consegnata a ciascun dipendente e firmata per presa visione. L'assenza di policy non autorizza nessun tipo di controllo.
Alla cessazione del rapporto di lavoro, la procedura è una sola: disattivazione immediata dell'account nominativo, attivazione contestuale di un messaggio automatico che avvisa i mittenti e fornisce contatti alternativi, cancellazione dei messaggi. Nessuna lettura della posta in arrivo. Nessuna conservazione di backup per "sicurezza futura".
Per gestire la continuità operativa senza rischi, la soluzione strutturale sono gli indirizzi condivisi per funzione: un indirizzo per il commerciale, uno per l'amministrazione, uno per l'assistenza clienti. Questi indirizzi non sono personali, possono essere gestiti dall'azienda liberamente, e non creano i problemi legati alle caselle nominative. Chi ha clienti importanti assegnati a un singolo dipendente può affiancare da subito l'indirizzo condiviso a quello nominativo, così da non trovarsi scoperto al momento della cessazione.
Quando esiste un sospetto di condotta illecita da parte di un dipendente in servizio, il controllo della corrispondenza è possibile ma richiede: una policy preesistente, una motivazione specifica e documentata, un accesso proporzionato (limitato a un arco temporale e a un oggetto determinato), e preferibilmente la presenza del DPO o di un rappresentante dei lavoratori. Non si accede in modo massivo. Non si archiviano conversazioni per usi futuri indefiniti.
Per il lavoratore: i diritti che probabilmente non conosci
Se hai lasciato un lavoro e la tua casella email nominativa risulta ancora attiva, hai diritto di chiedere all'azienda di disattivarla e di cancellare tutti i messaggi. La richiesta si fa per iscritto, citando il diritto alla cancellazione previsto dall'art. 17 del Regolamento UE 2016/679 (GDPR). L'azienda ha 30 giorni per risponderti in modo specifico. Se non risponde, o se la risposta è generica e non motivata, puoi presentare un reclamo al Garante per la protezione dei dati personali. Non è necessario un avvocato, non c'è un costo, e il Garante è tenuto ad avviare un'istruttoria.
Se sei ancora in servizio e hai ricevuto un provvedimento disciplinare, o se sei stato licenziato con motivazioni che fanno riferimento a tue email, hai interesse a verificare come quelle comunicazioni sono state acquisite. Se l'azienda non aveva una policy scritta, se non ti aveva mai informato della possibilità di controllo, se l'accesso è avvenuto in modo sistematico senza che ti fosse contestato nulla di specifico — quella prova può essere contestata. La Cassazione ha stabilito chiaramente che prove raccolte senza rispettare questi requisiti non possono essere usate in giudizio contro il lavoratore.
C'è poi un punto che vale la pena tenere a mente in modo autonomo: le email del tuo account personale sono sempre inviolabili. Gmail, iCloud, qualunque altro servizio privato. Anche se le aprivi dal computer dell'ufficio. Anche se transitavano sul server aziendale. L'azienda non può legalmente accedervi in nessuna circostanza ordinaria. La Cassazione ha confermato che anche in questo caso le prove così ottenute non sono utilizzabili in giudizio.
La domanda giusta da farsi
Se sei un responsabile HR o un imprenditore: esiste nella tua azienda una policy informatica scritta, aggiornata e firmata da tutti i dipendenti? C'è una procedura standard per la disattivazione degli account alla fine del rapporto? Se la risposta a una di queste domande è no, il rischio è già attivo.
Se sei un lavoratore, dipendente o ex dipendente: sai se la tua vecchia casella email è ancora attiva? Hai ricevuto contestazioni disciplinari basate su tue comunicazioni? Hai mai firmato una policy aziendale sull'uso degli strumenti informatici?
In entrambi i casi, conoscere le regole prima che il problema si manifesti è l'unica forma di protezione efficace.
