Gli errori che ho commesso e quello che mi ha spiegato l’avvocato
Come tutto è cominciato: una storia che in molti riconoscono
Mi chiamo Marco. Ho lavorato per sei anni come responsabile commerciale in una società di medie dimensioni. Poi il rapporto si è concluso, non nel modo migliore.
Nelle settimane prima di lasciare, avevo fatto alcune cose che sul momento mi erano sembrate normali. Avevo re-inoltrato decine di email di lavoro al mio indirizzo personale. Avevo scaricato alcune schede clienti e avevo usato la casella aziendale per comunicazioni private.
Dopo la cessazione del contratto, ho letto del provvedimento del Garante della Privacy n. 10233328 del 12.03.2026: un’azienda multata con 50.000 euro per aver gestito male le email di un ex dipendente. Ho capito che c’erano regole precise che non conoscevo. E che forse anch’io le avevo violate.
Così mi sono rivolto a un avvocato del lavoro. Quello che mi ha detto ha cambiato il modo in cui guardo l’intero rapporto tra lavoro, email e privacy.
Riporto qui il nostro dialogo, perché penso possa essere utile a molti altri lavoratori.
1. Il primo dubbio: quelle email che ho re-inoltrato
Il momento in cui ho capito di aver sbagliato
🗣️ Marco (dipendente):
Ho re-inoltrato al mio account personale un centinaio di email di lavoro prima di andarmene. Avevo paura che l’azienda le cancellasse e di perdere prove utili. Ho sbagliato?
⚖️ Avvocato:
Dipende da cosa hai re-inoltrato e perché. Il re-inoltro di email aziendali non è automaticamente un illecito. La giurisprudenza lo ha chiarito in più occasioni. Ciò che conta è lo scopo.
Se hai re-inoltrato email per tutelarti in un’eventuale controversia, e ti sei limitato a ciò che era necessario alla tua difesa, il tuo comportamento ha basi giuridiche solide. La produzione in giudizio di documenti aziendali è lecita quando è proporzionata e strettamente collegata alla difesa dei propri diritti.
🗣️ Marco (dipendente):
Ma tra quelle email ci sono anche dati di clienti, offerte commerciali, schede con indirizzi e contatti. Non solo cose mie.
⚖️ Avvocato:
Questo è il punto critico. I dati di clienti e terzi sono protetti dal GDPR. Se li hai portati via con l’intenzione di usarli per un’attività concorrenziale o per altro scopo personale, lì si configura un problema serio: violazione dell’art. 2105 del codice civile sull’obbligo di fedeltà, eventuale concorrenza sleale, e possibile illecito ai sensi degli artt. 167 e seguenti del Codice Privacy.
Se invece li hai conservati solo come documentazione di ciò che hai fatto nel tuo lavoro, senza usarli, il rischio è molto più contenuto. Ma ti consiglio di non muovere nulla finché non valutiamo insieme cosa c’è esattamente.
Cosa ho imparato da questo primo scambio
Il re-inoltro selettivo, finalizzato alla difesa, è diverso dal trasferimento indiscriminato di dati aziendali. La differenza non è nel gesto, ma nell’intenzione e nell’uso. Ed è una distinzione che, in un giudizio, può fare tutta la differenza.
2. Il secondo errore: non ho mai letto l’informativa privacy
Firmare senza leggere: un abitudine pericolosa
🗣️ Marco (dipendente):
Al momento dell’assunzione mi hanno fatto firmare un’informativa privacy. Non l’ho mai letta davvero. Adesso vorrei sapere cosa diceva sulla posta elettronica. È importante?
⚖️ Avvocato:
Molto. L’art. 13 del GDPR obbliga il datore a informarti su come vengono trattati i tuoi dati: finalità, tempi di conservazione, base giuridica. Questo vale anche per le email transitate sulla tua casella aziendale.
Nel provvedimento del Garante del 12 marzo 2026 è emerso un caso emblematico: l’informativa consegnata ai dipendenti indicava dieci anni come periodo di conservazione dei dati. Il regolamento informatico interno parlava invece di “termini variabili”. E il backup quinquennale delle email non era menzionato da nessuna parte.
Il Garante ha dichiarato questa situazione una violazione del principio di trasparenza. Significa che, se l’informativa che hai firmato era incompleta o contraddittoria, hai il diritto di contestarlo.
🗣️ Marco (dipendente):
E se nell’informativa non c’era nulla di specifico sulle email? Nessun riferimento ai backup, ai controlli, ai tempi di conservazione?
⚖️ Avvocato:
Allora l’azienda ha probabilmente violato l’art. 5 del GDPR sul principio di correttezza e trasparenza. Questo è un elemento che puoi usare a tuo vantaggio se c’è una vertenza in corso. Significa che i trattamenti effettuati sulle tue email — compresi eventuali accessi o backup — potrebbero essere stati effettuati senza una base legittima adeguatamente comunicata.
La lezione: l’informativa non è una formalità
Ho sempre pensato che quelle firme fossero burocrazie. Invece l’informativa privacy definisce i confini di ciò che il datore può fare legittimamente con i miei dati. Non leggerla significa non sapere quando qualcosa va storto.
3. Il terzo errore: non ho chiesto le mie email quando ne avevo il diritto
Un diritto che ignoravo completamente
🗣️ Marco (dipendente):
Dopo che sono andato via, l’account è stato disattivato quasi subito. Non ho mai pensato di chiedere copia delle mie email. Potevo farlo?
⚖️ Avvocato:
Sì, e avresti potuto farlo anche mesi dopo. L’art. 15 del GDPR riconosce a chiunque il diritto di accedere ai propri dati personali trattati dal titolare. La cessazione del contratto non estingue questo diritto.
Finché l’azienda conserva i tuoi dati — anche in un sistema di backup — puoi esercitare il diritto di accesso. Nel caso esaminato dal Garante nel provvedimento del 12.03.2026, il backup era conservato per cinque anni. Cinque anni di finestra temporale utile.
🗣️ Marco (dipendente):
E l’azienda è obbligata a darmi tutto? Anche le email di lavoro, non solo quelle personali?
⚖️ Avvocato:
Esattamente. Questo è uno dei punti più importanti del provvedimento del 2026. L’azienda non può filtrare discrezionalmente la corrispondenza, consegnando solo le email “personali” e trattenendo quelle professionali. Anche le email di lavoro possono contenere dati personali che ti riguardano: valutazioni, istruzioni ricevute, contestazioni.
Il diritto di accesso si estende a tutta la casella. Le limitazioni sono tassative e devono essere dimostrate caso per caso: non basta invocare genericamente la riservatezza aziendale.
Come avrei dovuto muovermi
Avrei dovuto inviare un’istanza formale scritta, via PEC, ai sensi dell’art. 15 del GDPR. L’azienda aveva trenta giorni per rispondere. In caso di silenzio o risposta parziale, avrei potuto rivolgermi al Garante gratuitamente o al tribunale del lavoro.
Invece non ho fatto nulla, convinto che con la fine del contratto tutto si fosse chiuso. Un errore che, in una vertenza, avrebbe potuto costarmi caro.
4. Il quarto errore: ho usato la casella aziendale per cose private
Quella mail al medico inviata dall’account di lavoro
🗣️ Marco (dipendente):
Devo confessare un’altra cosa. Ho usato la casella aziendale per comunicazioni personali: email al medico, al commercialista, qualche scambio di famiglia. Questo può crearmi problemi?
⚖️ Avvocato:
In sé, no. Un uso moderato e occasionale degli strumenti aziendali per fini personali è generalmente tollerato dalla giurisprudenza, a meno che la policy aziendale non lo vieti esplicitamente.
Però devi capire una cosa importante: quelle email personali transitavano comunque su infrastrutture aziendali. L’azienda, in linea teorica, ne poteva venire a conoscenza nei limiti consentiti dalla legge. Se vuoi una privacy assoluta, devi usare i tuoi strumenti personali per le comunicazioni private.
🗣️ Marco (dipendente):
Ma se l’azienda ha letto quelle email senza dirmi nulla, ha violato la mia privacy?
⚖️ Avvocato:
Molto probabilmente sì. L’accesso al contenuto delle email di un dipendente è soggetto a limiti precisi. L’art. 4 dello Statuto dei Lavoratori richiede, per i controlli a distanza, un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro. E i cosiddetti “controlli difensivi” sono leciti solo in presenza di un fondato sospetto di condotte illecite, circoscritto e successivo all’insorgere del sospetto stesso.
Un accesso preventivo e generalizzato alle tue email — anche quelle di contenuto lavorativo — senza le garanzie di legge, è un trattamento illecito. E i dati così ottenuti non possono essere usati contro di te in giudizio, almeno in linea di principio.
Il punto che non avevo capito
Pensavo che l’account aziendale fosse tutto dell’azienda e che io non avessi voce in capitolo. Invece la legge tutela anche la corrispondenza che transita su quegli strumenti. Non in modo assoluto, ma con regole precise che il datore deve rispettare.
5. I suggerimenti dell’avvocato: cosa fare d’ora in poi
Le regole che non dimenticherò più
⚖️ Avvocato:
Bene, Marco. Ora che abbiamo analizzato quello che è successo, ti lascio cinque regole pratiche per il futuro. Sono semplici, ma pochissimi lavoratori le conoscono davvero.
Prima regola: leggi sempre l’informativa privacy al momento dell’assunzione. Controlla che menzioni esplicitamente i tempi di conservazione delle email, le finalità dei backup e le condizioni in cui il datore può accedere alla tua casella.
Seconda regola: usa gli strumenti aziendali solo per ciò che è autorizzato. Se vuoi tenere comunicazioni riservate, usa il tuo account personale.
Terza regola: se il rapporto si conclude, invia subito un’istanza di accesso ai sensi dell’art. 15 del GDPR. Fallo per iscritto, via PEC. Non aspettare.
Quarta regola: se re-inoltri email a scopo difensivo, seleziona solo ciò che è strettamente necessario. Tieni traccia delle ragioni per cui lo fai. Non toccare i dati di terzi se non è indispensabile.
Quinta regola: se ricevi una contestazione disciplinare basata su accessi alla tua posta elettronica, contesta subito la legittimità del controllo. Non aspettare il giudizio.
🗣️ Marco (dipendente):
Avrei voluto saperlo prima. Avrei evitato parecchi errori.
⚖️ Avvocato:
Questa è la risposta che sento più spesso. Le regole ci sono, ma non vengono comunicate ai lavoratori. Per questo è importante informarsi, e farlo con chi conosce la materia.
Conclusione: gli errori si possono evitare, ma solo se si conoscono le regole
Quella conversazione con l’avvocato mi ha insegnato più di sei anni di lavoro in azienda, e le norme di evolvono costantemente.
Il provvedimento del Garante della Privacy n. 10233328 del 12.03.2026 non è solo la storia di una multa a un’azienda. È una mappa dei diritti che ogni lavoratore ha sulle proprie email, e dei limiti che ogni lavoratore deve rispettare.
Ho capito che non conoscere queste regole non mi proteggeva: mi esponeva. Agli errori, alle responsabilità, alle conseguenze che avrei potuto evitare.
Se anche tu hai avuto dubbi simili ai miei, il primo passo è sempre lo stesso: capire cosa è successo davvero, con l’aiuto di chi conosce la materia. Non aspettare che la situazione si complichi.
