Il lavoratore mantiene il diritto di accedere ai dati personali contenuti nella propria casella di posta elettronica aziendale anche dopo la cessazione del rapporto di lavoro. È quanto emerge da una recente decisione del Garante per la protezione dei dati personali, riportata da TGCOM24, che ha accolto il reclamo presentato da un ex dipendente di una compagnia assicurativa.
Al centro della vicenda, la richiesta avanzata dall’uomo di ottenere copia delle email presenti nel proprio account aziendale e dei documenti salvati sul computer in uso durante il periodo lavorativo. La società, dopo aver effettuato un accesso alla casella di posta, aveva però deciso di fornire esclusivamente i messaggi ritenuti “strettamente personali”, escludendo quelli collegati all’attività professionale.
Una scelta che l’Autorità ha ritenuto non conforme alla normativa vigente. Secondo il Garante, infatti, il diritto di accesso ai dati personali previsto dal Regolamento generale sulla protezione dei dati (GDPR) si estende a tutte le informazioni che riguardano l’interessato, comprese le comunicazioni contenute in un account aziendale individualizzato. Non è quindi legittimo operare una selezione preventiva dei contenuti né limitarne la trasmissione sulla base di una distinzione tra ambito personale e lavorativo.
Il principio ribadito è chiaro: anche dopo la fine del rapporto di lavoro, l’ex dipendente conserva pieno diritto ad accedere ai propri dati personali. Eventuali restrizioni possono essere ammesse solo in presenza di motivazioni specifiche e comprovate, come la tutela di segreti aziendali o di diritti di terzi, e devono comunque rispettare criteri di proporzionalità e trasparenza.
Nel provvedimento, il Garante ha inoltre evidenziato ulteriori criticità nella gestione dei dati da parte della compagnia assicurativa. In particolare, sono state rilevate carenze nelle informative fornite ai dipendenti e tempi di conservazione giudicati non proporzionati: cinque anni per le email e dodici mesi per i dati di navigazione.
Alla luce delle violazioni accertate, l’Autorità ha disposto una sanzione amministrativa pari a 50mila euro, ordinando contestualmente alla società di consentire l’accesso integrale ai dati richiesti dall’ex dipendente e di adeguare le proprie policy interne alla normativa sulla protezione dei dati personali.
