Privacy​

Controllo delle email del dipendente

foto di Giacomo Manfrini
AUTORE: Giacomo Manfrini
g.manfrini@studiolegally.com
icona di linkedin

Controllo delle email del dipendente e degli altri strumenti di comunicazione aziendale

Il datore di lavoro può controllare email e chat dei dipendenti solo in casi eccezionali e con limiti molto stretti; altrimenti rischia sanzioni severe e inutilizzabilità delle prove.

controllo email aziendale

TL;DR: 
  • L’email nominativa aziendale (nome.cognome@azienda.it) è corrispondenza privata protetta dalla Costituzione: il datore non può accedervi liberamente.
  • Accesso alle email o chat (Teams/Slack) consentito solo in casi gravi, con sospetto fondato e in modo proporzionato.
  • Al termine del rapporto di lavoro: disattivare subito l’account, vietato il forward automatico. Solo auto-risponditore temporaneo (max 30 gg).
  • Controlli difensivi leciti solo ex post e su anomalie specifiche.
  • Rischi per l’azienda: sanzioni GDPR pesanti, prove inutilizzabili e possibili reati penali.

L’evoluzione tecnologica ha reso posta elettronica, Microsoft Teams, Slack e altre piattaforme di collaborazione strumenti essenziali della prestazione lavorativa. 

Questo cambiamento ha acuito la tensione tra il potere direttivo e di controllo del datore di lavoro e i diritti fondamentali del lavoratore alla riservatezza e alla segretezza della corrispondenza .

Il fondamento del potere di controllo datoriale mediante impianti audiovisivi e altri strumenti di controllo risiede nell’articolo 4 della Legge n. 300/1970 (c.d. Statuto dei Lavoratori). Tale norma è stata oggetto di una profonda revisione ad opera del d.lgs. n. 151/2015 – parte del pacchetto di riforme denominato Jobs Act – che ha cercato di adeguare i limiti al controllo a distanza all’inarrestabile progresso tecnologico.

 

Indice dell’articolo

E-mail aziendali

La qualificazione giuridica della posta elettronica aziendale nominativa è stata oggetto di importanti precisazioni giurisprudenziali. La Suprema Corte (cfr. Cass., Sez. Lav., sentenza 29 agosto 2025, n. 24204) ha recentemente sancito un principio fondamentale: l’indirizzo email assegnato a un lavoratore con formato nome.cognome@azienda.it costituisce corrispondenza privata, rientrando pertanto nella sfera di protezione offerta dall’articolo 15 della Costituzione e, a livello sovranazionale, dall’art. 8 CEDU. Questo significa che il fatto che la casella sia fornita dall’azienda e risieda su un server di proprietà del datore di lavoro non conferisce a quest’ultimo un diritto di accesso indiscriminato.

Accesso all’e-mail

Qualsiasi accesso al contenuto dei messaggi di posta elettronica deve essere considerato un’eccezione, giustificabile solo da motivi gravissimi e specifici, come il fondato sospetto di un illecito o la necessità di tutela del patrimonio aziendale, e sempre dopo aver esperito modalità meno invasive. Il controllo deve essere mirato, proporzionato e circoscritto temporalmente.

Da ricordare:

  • L’e-mail aziendale nominativa (es. nome.cognome@azienda.it) è considerata corrispondenza privata ed è tutelata dall’art. 15 della Costituzione e dall’art. 8 CEDU.
  • Il datore di lavoro non può accedere liberamente alla casella di posta del dipendente solo perché il server o l’account appartengono all’azienda.
  • L’accesso al contenuto delle e-mail è ammesso solo in situazioni eccezionali, come in presenza di un fondato sospetto di illecito o per la tutela del patrimonio aziendale.

 

Chat aziendali come Teams e Slack

Le piattaforme di collaborazione sincrona e asincrona come Microsoft Teams e Slack presentano sfide peculiari. Essendo nate per favorire l’interattività costante, esse raccolgono una quantità di dati comportamentali superiore a quella di una casella email tradizionale. Tuttavia, i meccanismi di tutela non cambiano: il datore di lavoro deve distinguere tra canali pubblici – destinati a comunicazioni operative visibili al gruppo – e messaggi diretti (Direct Messages), che mantengono una natura confidenziale e privata.

L’accesso ai messaggi diretti su queste piattaforme segue le stesse regole rigorose della posta elettronica. Il Garante per la protezione dei dati personali ha recentemente sanzionato una società per l’uso illecito di chat private in ambito disciplinare, ribadendo che la natura privata del canale di comunicazione deve prevalere sul diritto di proprietà del dispositivo.

L’acquisizione di screenshot di chat, anche se forniti volontariamente da un partecipante alla conversazione, costituisce comunque un trattamento di dati personali che deve trovare una solida base giuridica nel GDPR. Il solo “interesse legittimo” del datore di lavoro non è sufficiente se non accompagnato da un bilanciamento degli interessi che dimostri l’impossibilità di tutelare il diritto aziendale con mezzi meno intrusivi.

 

I controlli difensivi

La giurisprudenza ha elaborato la nozione di “controlli difensivi” per indicare quelle verifiche poste in essere dal datore di lavoro per tutelare il patrimonio aziendale o prevenire illeciti gravi.

Il sospetto fondato

Affinché un controllo sia considerato “difensivo” e lecito, non può essere generalizzato, preventivo o sistematico. Deve scattare ex post, cioè solo a seguito di una segnalazione o del sorgere di un sospetto fondato circa il verificarsi di un’anomalia o di un comportamento infedele (es. furto di segreti industriali, accessi abusivi a database riservati). 

Importante è la distinzione tra beni aziendali e prestazione lavorativa: i controlli difensivi sono ammessi per proteggere beni estranei al mero adempimento della mansione (come i dati di terzi o il software aziendale), ma non per monitorare se il dipendente lavora con la dovuta diligenza. Anche in questo caso, l’azienda deve informare preventivamente che tali controlli sono possibili, pur senza la necessità di indicare il momento esatto in cui avverranno per non vanificarne, evidentemente, l’efficacia.

 

Cosa fare quando un dipendente lascia l’azienda

Il momento della cessazione del rapporto di lavoro è la fase più critica sotto il profilo della protezione dei dati. Molte aziende commettono l’errore di mantenere attivi gli account email per mesi o di attivare reindirizzamenti automatici verso colleghi, pratiche sistematicamente sanzionate dal Garante Privacy.

Disattivazione e reindirizzamento delle email

Al termine del rapporto di lavoro, il datore di lavoro ha l’obbligo di disattivare tempestivamente la casella email nominativa dell’ex dipendente. La prassi di attivare un inoltro automatico (forward) verso un altro dipendente è considerata illecita in quanto viola la segretezza della corrispondenza e il principio di minimizzazione dei dati. Tale sistema, infatti, consente all’azienda di prendere visione di messaggi potenzialmente privati indirizzati all’ex collaboratore, travalicando i limiti di necessità.

La procedura maggiormente corretta sarebbe quella di impostare un sistema di risposta automatica (auto-responder) per un periodo di tempo limitato (generalmente non superiore a 30 giorni). Questo messaggio dovrebbe informare i mittenti della cessazione del rapporto di lavoro e fornire un indirizzo alternativo di funzione (es. commerciale@azienda.it o amministrazione@azienda.it) a cui inviare le comunicazioni future. Trascorso tale periodo, l’account dovrà essere rimosso definitivamente.

Accesso ai file sul computer aziendale

Il computer fornito dall’azienda rimane una proprietà aziendale e il datore ha il diritto di rientrarne in possesso. I file lavorativi in esso contenuti appartengono al patrimonio aziendale e possono essere recuperati per garantire la continuità operativa. Tuttavia, l’azienda deve fornire al dipendente la possibilità di rimuovere eventuali dati personali memorizzati sul dispositivo prima della restituzione. Qualora vi sia la necessità di recuperare file da un PC già riconsegnato, l’azienda deve evitare l’accesso a cartelle chiaramente private e agire con la massima prudenza.

In caso di contestazioni gravi (es. cancellazione dolosa di dati aziendali prima delle dimissioni), il datore di lavoro può acquisire le informazioni dal PC per finalità difensive, ma deve documentare ogni passaggio per dimostrare che l’intervento è stato limitato a quanto strettamente necessario alla tutela in giudizio.

 

Azione di off-boarding Stato di liceità Raccomandazione operativa
Disattivazione Account Email Obbligatoria Entro pochi giorni dall’uscita
Redirezione Automatica (Forward) Illecita Da evitare assolutamente
Auto-risponditore Lecito (temporaneo) Massimo 30 giorni; riferire ad account di funzione
Recupero file lavorativi da PC Lecito In presenza del dipendente o con garanzie di riservatezza
Revoca Accessi Cloud/VPN Obbligatoria Istantanea al momento della cessazione

 

Sanzioni e rischi penali

Le conseguenze connesse al mancato rispetto delle normative sopra descritte operano a diversi livelli e possono impattare significativamente sulla stabilità finanziaria e reputazionale di un’azienda.

Per le imprese il rischio non è solo teorico: un controllo effettuato in violazione della normativa può comportare:

  • l’eccezione di inutilizzabilità, in sede disciplinare o giudiziale, delle prove raccolte;
  • l’irrogazione di sanzioni amministrative, anche molto elevate, da parte del Garante Privacy;
  • in alcuni casi anche profili di responsabilità penale.

 

Sanzioni Amministrative del Garante

Il GDPR prevede sanzioni che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale annuo per le violazioni più gravi, tra cui rientrano i trattamenti illeciti di dati dei dipendenti. Recentemente, il Garante ha irrogato sanzioni per decine di migliaia di euro anche a carico di piccole e medie imprese, con questo dimostrando come nessuna realtà possa considerarsi esente da controlli.

Inutilizzabilità delle prove

In sede di contenzioso, l’acquisizione illecita di email o chat può comportare il rifiuto, da parte del giudice, di esaminarla quale prova, essendo esposta a un’eccezione di inutilizzabilità, motivata dalla lesione di un diritto fondamentale, potenzialmente insanabile e rilevabile d’ufficio in ogni stato e grado del procedimento. 

Reati Configurabili

L’accesso non autorizzato alle comunicazioni del dipendente non è solo un illecito civile, ma può integrare anche gravi fattispecie di reato.

  • Accesso abusivo a sistema informatico (Art. 615-ter c.p.): questo reato scatta quando ci si introduce in un sistema protetto da misure di sicurezza (password) o vi si mantiene contro la volontà del titolare. Le Sezioni Unite della Cassazione hanno chiarito che il reato si configura anche se il soggetto possieda le credenziali per accedere al sistema, ma le utilizzi per finalità “ontologicamente estranee” alle ragioni di servizio o in violazione delle disposizioni organizzative interne.
  • Violazione, sottrazione e soppressione di corrispondenza (Art. 616 c.p.): poiché la casella email nominativa (nome.cognome@azienda.it) e le chat sono ormai equiparate alla corrispondenza privata, l’apertura e la lettura dei messaggi senza il rispetto delle garanzie legali può integrare questo reato.
  • Sanzioni penali previste dallo Statuto dei Lavoratori: la violazione dell’art. 4 dello Statuto (controlli a distanza senza accordo o informativa) è penalmente sanzionata dall’art. 171 del Codice Privacy, che rimanda alle pene previste dall’art. 38 dello Statuto stesso.

 

FAQ

1. Il datore di lavoro può controllare le mail dei dipendenti?

Sì, ma solo a condizioni molto stringenti. La casella email aziendale nominativa (es: nome.cognome@azienda.it) è considerata dalla Cassazione come “corrispondenza privata” e gode della tutela costituzionale dell’articolo 15 e convenzionale dell’art. 8 CEDU.

2. È legale controllare il PC di un dipendente?

Sì, poiché il computer è uno strumento di proprietà aziendale fornito per rendere la prestazione lavorativa. Ai sensi dell’articolo 4 dello Statuto dei Lavoratori, per questi strumenti non è necessario l’accordo sindacale per l’installazione, ma l’utilizzo dei dati raccolti è legittimo solo se:

  • Il dipendente ha ricevuto un’informativa adeguata sulle modalità d’uso e di effettuazione dei controlli.

L’azienda può effettuare “controlli difensivi” (anche senza preavviso specifico nel singolo caso) solo ex post, ovvero dopo che è sorto un fondato sospetto di un illecito che leda il patrimonio aziendale (es: furto di dati o concorrenza sleale).

 

3. Il datore di lavoro può controllare la cronologia?

Sì, ma entro limiti rigorosi definiti dal Garante della Privacy e dalla giurisprudenza:

  • Necessità di Policy: Il controllo è lecito solo se previsto da una policy aziendale scritta che chiarisca se e come la navigazione può essere monitorata.
  • Divieto di sorveglianza massiva: è vietato il monitoraggio sistematico e prolungato di tutti i siti visitati da tutti i dipendenti.
  • Finalità specifiche: il datore può verificare la cronologia se ci sono anomalie (es: picchi di traffico anomali o sospetto di uso del PC per scopi estranei al lavoro, come il gioco online).

Hai dubbi su come gestire correttamente gli strumenti di comunicazione dei tuoi dipendenti?

Ti supportiamo a impostare procedure sicure, a norma e che riducono concretamente i rischi per la tua azienda.

✅ Analisi rischi privacy
✅ Documentazione completa
Leggi gli altri articoli
Shadow AI: rischi legali e governance per PMI e imprese
SCOPRI DI PIÙ
Il Corriere della Sera annovera Legally tra i migliori studi legali d’Italia del 2026
SCOPRI DI PIÙ
Videosorveglianza sul posto di lavoro
SCOPRI DI PIÙ
Contratti Commerciali
SCOPRI DI PIÙ
Come proteggere i tuoi segreti commerciali negli appalti pubblici
SCOPRI DI PIÙ

Ti serve qualche informazione in più sull'articolo? Scrivici a info@studiolegally.com