La gestione degli strumenti informatici in azienda – casella email, PC, cronologia web, accessi ai file – è uno dei temi più delicati del diritto del lavoro contemporaneo.
Il datore di lavoro ha l’esigenza di proteggere patrimonio aziendale, produttività e sicurezza informatica; i lavoratori, allo stesso tempo, hanno diritto al rispetto della propria riservatezza.
Il GDPR e lo Statuto dei Lavoratori impongono quindi un equilibrio rigoroso: ogni controllo deve essere necessario, proporzionato, motivato e preventivamente comunicato.
La recente prassi del Garante e le decisioni dei tribunali confermano che una gestione superficiale dei controlli informatici espone le aziende a rischi elevati: contestazioni disciplinari annullate, dati inutilizzabili, sanzioni anche superiori ai 10.000 euro.
Email aziendale: quali controlli sono ammessi
L’email aziendale non è uno spazio “privato”, ma è comunque coperta dalla normativa privacy.
Il datore di lavoro può accedervi solo se:
- esiste una policy interna che spiega chiaramente modalità d’uso e controlli;
- il lavoratore è stato informato in anticipo;
- esiste un giustificato motivo, come esigenze organizzative o ipotesi di illecito.
Senza una policy chiara, il controllo può risultare illegittimo e le informazioni raccolte non utilizzabili.
Controlli difensivi: quando sono consentiti
I controlli difensivi sono ammessi dalla giurisprudenza quando esiste il sospetto fondato di un comportamento illecito del lavoratore, ad esempio sottrazione di dati, violazione di segreti aziendali, uso improprio degli strumenti o attività in concorrenza.
Tuttavia devono rispettare principi fondamentali:
- proporzionalità: il controllo deve essere mirato e non invasivo;
- minimizzazione: vanno raccolti solo i dati strettamente necessari;
- documentazione: ogni attività deve essere tracciata e giustificata.
Un controllo generico, esplorativo o eccessivamente esteso è sempre considerato illegittimo.
È obbligatoria l’informativa ai lavoratori
Sì.
Ai sensi del GDPR (art. 13) e dell’art. 4 dello Statuto dei Lavoratori, l’azienda deve specificare:
- quali strumenti informatici possono essere controllati;
- con quali modalità;
- per quali finalità;
- con quali tempi di conservazione dei dati.
L’assenza di informativa rende il controllo non conforme e può comportare sanzioni del Garante.
Perché la policy aziendale è indispensabile
Ogni azienda dovrebbe adottare un regolamento interno sull’uso degli strumenti digitali.
Una buona policy definisce:
- uso corretto della posta elettronica;
- divieti (installazione software, accessi a siti rischiosi, uso extracompany);
- procedure di monitoraggio;
- gestione delle caselle email dei dipendenti cessati.
Questo strumento è essenziale sia per tutelare il datore di lavoro sia per garantire trasparenza verso il personale.
FAQ – Domande frequenti
Posso leggere le email inviate da un ex dipendente?
Solo per ragioni organizzative e dopo avere disattivato l’account, limitando l’accesso e attivando un messaggio automatico di reindirizzamento.
Devo avvisare il lavoratore prima di un controllo?
Non prima del singolo controllo, ma deve essere stato informato in via preventiva tramite policy o regolamento interno.
Il Garante può sanzionare un controllo irregolare?
Sì. Le sanzioni possono superare i 10.000 euro, soprattutto se il controllo è invasivo, non documentato o privo di informativa.
Hai bisogno di supporto nella gestione privacy aziendale?
Controlli informatici, policy interne e gestione degli account dei dipendenti richiedono competenze tecniche e normative.
Lo Studio Legale Orefice & Gabriele offre assistenza a imprese, professionisti e responsabili aziendali nella definizione di procedure conformi al GDPR e nella gestione dei rapporti con il personale.
📞 081/3414529
✉️ studiolegale@orefice-gabriele.it
🌐 www.orefice-gabriele.it
📍 Frattamaggiore (NA)