Nell’ambiente digitale, la gestione delle email e dei dati dei dipendenti è un terreno delicato per i datori di lavoro. Il recente Provvedimento n. 135 del 13 marzo 2025 del Garante Privacy rafforza le tutele per i lavoratori, introducendo regole stringenti sull’uso dei sistemi cloud aziendali.
Email aziendali e metadati: cosa si può fare
Le aziende devono evitare la raccolta sistematica e non selettiva dei metadati (come orari, indirizzi IP, contenuti email) dei dipendenti. Se si intende conservarli oltre il periodo strettamente necessario, è obbligatorio stipulare un accordo sindacale o ottenere l’autorizzazione dell’Ispettorato del lavoro (art. 4 L. 300/1970).
In assenza di questi adempimenti, il trattamento è illecito.
Il GDPR: approccio sostanziale, non solo formale
Il Regolamento (UE) 2016/679 ha introdotto un approccio basato sulla “responsabilizzazione” del titolare del trattamento. Non basta più adempiere formalità: serve dimostrare di aver adottato misure concrete per tutelare i dati.
Privacy nel rapporto di lavoro: cosa serve
Le aziende devono:
- Mappare i dati trattati (art. 30 GDPR)
- Valutare rischi e misure di sicurezza (artt. 32–35 GDPR)
- Gestire eventuali violazioni entro 72 ore (art. 33 GDPR)
- Fornire informative chiare, aggiornate, personalizzate (artt. 12–14 GDPR)
- Garantire pienamente i diritti degli interessati (accesso, rettifica, cancellazione, opposizione, portabilità — artt. 15–22 GDPR)
Informativa al dipendente: elemento chiave
Ogni lavoratore deve ricevere un’informativa comprensibile, trasparente e coerente con la realtà aziendale. Deve indicare: tipologia di dati trattati, finalità, tempi di conservazione, misure di sicurezza e diritti. L’informativa non è più un mero modulo, ma un documento “vivo” e aggiornato, integrato con CCNL e regolamenti aziendali.
Controlli a distanza e strumenti digitali
Il controllo dei lavoratori con strumenti come GPS, badge, email o videosorveglianza è ammesso solo per esigenze organizzative o di sicurezza, previo rispetto delle garanzie dell’art. 4 dello Statuto dei Lavoratori. La conservazione dei dati deve essere limitata, tracciabile e comunicata in modo chiaro al dipendente.
ESEMPI PRATICI: COSA DICE IL GARANTE
Ecco alcuni casi reali decisi dal Garante che illustrano concretamente come applicare (o non applicare) correttamente il GDPR nel rapporto di lavoro:
🗂 CONSERVAZIONE DEI DATI
Ingiunzione n. 305 del 15 settembre 2022
I dati dei lavoratori per finalità contabili e amministrative devono essere conservati per 10 anni dalla cessazione del rapporto di lavoro.
📍 LOCALIZZAZIONE E DATI GPS
Ingiunzione n. 403 del 14 settembre 2023
Il lavoratore ha diritto ad accedere a tutti i suoi dati, comprese le posizioni GPS tracciate durante l’attività lavorativa.
📞 NO ALLE RISPOSTE TELEFONICHE
Ingiunzione n. 475 del 12 ottobre 2023
Le richieste di accesso ai dati non possono essere gestite oralmente: serve risposta scritta, formale e tracciabile.
📋 ACCESSO AI DATI = RISPOSTA SCRITTA
Ingiunzione n. 303 del 15 settembre 2022
Un colloquio non basta: ogni richiesta va gestita per iscritto, con copia dei dati rilasciata secondo le modalità corrette.
📄 NO ALLA CONSEGNA “BREVI MANU”
Ingiunzione n. 66 del 9 marzo 2023
I dati non devono essere consegnati a mano senza richiesta scritta: va rispettata la procedura formale.
🔁 ACCESSO RIPETUTO AI DATI
Ingiunzione n. 303 del 15 settembre 2022
Il lavoratore può chiedere accesso più volte anche agli stessi dati. Non è un abuso.
📧 CANALE DIVERSO = COMUNQUE VALIDO
Ingiunzione n. 529 del 16 novembre 2023
Il dipendente può inviare la richiesta anche via PEC o canali diversi da quelli indicati dall’azienda, purché tracciabili.
📃 RICHIESTA NON DETTAGLIATA? È VALIDA
Ingiunzione n. 290 del 6 luglio 2023
Non serve l’elenco completo dei documenti per accedere ai dati: la richiesta è legittima anche se generica.
🌐 INDICARE SEMPRE COME REPERIRE I DATI
Ingiunzione n. 529 del 16 novembre 2023
Se i dati sono accessibili tramite piattaforma, il datore deve dirlo al lavoratore e spiegare come accedere.
⚖️ DINIEGO PER RAGIONI DIFENSIVE = MOTIVATO
Ingiunzione n. 529 del 16 novembre 2023
Se il datore nega l’accesso per difendersi in giudizio, deve fornire una motivazione chiara e scritta.
Per approfondire questi temi e scoprire altri casi pratici, clicca qui e leggi l’articolo.
