Controlli difensivi, cybersecurity ed efficienza dei processi: limiti normativi e garanzie procedurali nell'utilizzo di sistemi IT ed e-mail aziendali - Studio Legale Lisi

Da fonti di stampa risultano essere state appena concluse delle ispezioni congiunte, da parte del Garante per la protezione dei dati personali e dell’Ispettorato Nazionale del Lavoro, presso alcune sedi logistiche di Amazon. Tali ispezioni sarebbero legate a un’indagine in corso circa l’utilizzo di software e sistemi informatici aziendali idonei a controllare a distanza le prestazioni dei lavoratori.

Pertanto, risulta sempre di estrema attualità il tema dell’utilizzo di soluzioni e sistemi informatici aziendali, come anche degli account di posta elettronica aziendale, soprattutto in uno scenario in cui tali strumenti possono essere integrati con soluzioni di IA che aggregano e rielaborano i dati acquisiti per analisi finalizzate a incrementare i livelli di cybersecurity aziendale, o anche solo per rendere più efficienti alcuni processi.

Come trovare, dunque, il giusto equilibrio tra protezione dei dati personali, esigenze di sicurezza aziendale e corretta gestione dei documenti?

La questione impone un’analisi complessa che bilanci il diritto del datore di lavoro di tutelare il patrimonio aziendale e di organizzare l’attività d’impresa con i diritti fondamentali del lavoratore alla riservatezza, oltre che alla segretezza della corrispondenza, nel caso dell’account e-mail aziendale. In particolare, il tema della gestione della posta elettronica aziendale dei dipendenti – e, più in generale, dell’utilizzo di software e sistemi informatici aziendali – è un tema delicato che richiede un attento bilanciamento tra le prerogative datoriali di organizzazione e tutela del patrimonio aziendale e i diritti fondamentali dei lavoratori alla riservatezza e alla segretezza delle comunicazioni.

Il quadro normativo di riferimento

La materia è governata da un complesso di fonti normative nazionali ed europee che devono essere lette in modo coordinato.

L’architrave del sistema di tutele è rappresentato dall’articolo 15 della Costituzione, il quale sancisce l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione. Tale garanzia fondamentale, estesa dalla giurisprudenza costituzionale e di legittimità anche alla corrispondenza elettronica, si innesta nel contesto specifico del rapporto di lavoro attraverso le disposizioni dello Statuto dei Lavoratori (Legge n. 300/1970).

Tale tutela trova un bilanciamento nel riconosciuto potere direttivo e organizzativo del datore di lavoro, sancito dagli artt. 2086 e 2104 del Codice Civile, da leggersi avendo riguardo anche dell’art. 41 della Costituzione.

In tema, lo Statuto dei Lavoratori (Legge n. 300/1970) pone limiti precisi al potere di controllo del datore di lavoro:

L’art. 4, come modificato dal D.Lgs. n. 151/2015, stabilisce che gli strumenti dai quali derivi anche la possibilità di un controllo a distanza dell’attività dei lavoratori (come i software di gestione della posta elettronica che raccolgono sistematicamente dati) possono essere impiegati solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Se tali strumenti risultano indispensabili per rendere la prestazione lavorativa o integrano strumenti per rilevare accessi e presenze, è sufficiente informare i lavoratori, ai sensi dell’art. 13 GDPR e dello stesso art. 4 St. Lavoratori; diversamente, la loro installazione è subordinata a un accordo collettivo con le rappresentanze sindacali o, in mancanza, all’autorizzazione dell’Ispettorato Nazionale del Lavoro;
L’art. 8 vieta al datore di lavoro di effettuare indagini, anche tramite terzi, sulle opinioni del lavoratore e su fatti non rilevanti ai fini della valutazione della sua attitudine professionale: in tal senso, ad esempio, l’eventuale analisi massiva dei metadati della posta elettronica può facilmente condurre alla violazione di tale divieto.

Ovviamente, occorre considerare anche il Regolamento (UE) 2016/679 (GDPR) che impone al datore di lavoro, in qualità di titolare del trattamento, l’obbligo di rispettare – anche relativamente ai trattamenti relativi agli account di posta elettronica aziendale e ad altre soluzioni informatiche – i principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione del trattamento e limitazione della conservazione.

In tal senso, anche il c.d. Decreto Trasparenza (D.Lgs. n. 104/2022) ha introdotto ulteriori obblighi informativi a carico del datore di lavoro qualora utilizzi sistemi decisionali o di monitoraggio automatizzati, imponendo di specificare finalità, logica di funzionamento e parametri utilizzati

I controlli difensivi del datore di lavoro

A tali temi risulta strettamente legata la questione dei c.d. “controlli difensivi” da parte del datore di lavoro che, in determinate circostanze, può avere il legittimo interesse a esercitare controlli sull’attività dei lavoratori, anche tramite le evidenze e le indagini informatiche, al fine di evitare danni all’organizzazione aziendale o la commissione di illeciti.

La Giurisprudenza ammette i cosiddetti “controlli difensivi” da parte del datore di lavoro esclusivamente in presenza di un fondato sospetto di illecito, purché siano mirati, successivi all’insorgere del sospetto e non invasivi. Controlli generalizzati o preventivi restano vietati e possono esporre il datore di lavoro anche a responsabilità penali.

Nello specifico, la Giurisprudenza[1] è solita operare la distinzione tra controlli sull’adempimento della prestazione (c.d. “controlli difensivi in senso lato”, soggetti all’art. 4 St. Lav.) e controlli per accertare illeciti (“controlli difensivi in senso stretto”). Questi ultimi, pur ritenuti esterni al perimetro dell’art. 4, sono legittimi solo a condizioni rigorose:

Sussistenza di un fondato sospetto: il controllo deve essere attivato solo a seguito di un fondato sospetto che un illecito sia stato commesso;
Principio di posteriorità (“ex post”): il controllo deve riguardare dati acquisiti successivamente all’insorgere del sospetto;
Principio di proporzionalità e minimizzazione: l’accesso deve essere mirato e limitato a quanto strettamente necessario. Un accesso massivo, come lo scaricamento di centinaia di messaggi, è stato ritenuto sproporzionato;
Bilanciamento degli interessi: deve essere sempre assicurato un corretto bilanciamento tra le esigenze di protezione aziendale e la dignità e riservatezza del lavoratore.

Pertanto, per essere legittimo, il controllo “difensivo in senso stretto” dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto. Peraltro, l’assenza di tali presupposti rende il trattamento illecito e le prove così raccolte inutilizzabili in giudizio^[2].

Sul punto, inoltre, occorre porre la massima attenzione anche ai profili penali. In effetti, l’accesso non autorizzato a una casella di posta elettronica protetta da password può integrare il delitto di accesso abusivo a un sistema informatico (art. 615-ter c.p.) e quello di violazione di corrispondenza (art. 616 c.p.), in relazione alla presa di cognizione del contenuto delle e-mail, anche se contenuta nell’account di posta elettronica aziendale.

In ogni caso, l’adozione di una policy aziendale chiara e dettagliata, portata a conoscenza di tutti i dipendenti, e una completa informativa sulla protezione dei dati personali del dipendente, ai sensi dell’art. 13 GDPR, costituisce un adempimento propedeutico e imprescindibile per la liceità di qualsiasi forma di controllo. In assenza di tali presidi di trasparenza, si consolida una legittima aspettativa di riservatezza del lavoratore.

I metadati della posta elettronica aziendale: cosa fare in concreto

Di particolare rilievo sono i recenti documenti di indirizzo del Garante (Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati) in materia di metadati della posta elettronica (mittente, destinatario, oggetto, orari, indirizzi IP). L’Autorità ha chiarito che la raccolta e conservazione generalizzata e preventiva di tali dati, spesso abilitata per impostazione predefinita dai software, costituisce un trattamento non conforme ai principi di finalità e minimizzazione. In tal senso, il Garante ha ritenuto congrua una conservazione dei metadati per un periodo non superiore a 21 giorni: una conservazione più prolungata, potendo configurare un controllo indiretto sull’attività del lavoratore, deve essere assistita dalle garanzie di cui all’art. 4 St. Lav. È onere del datore di lavoro, in ossequio ai principi di privacy by design e by default (art. 25 GDPR), configurare i sistemi informatici in modo da limitare la conservazione a tali ristretti termini.

Inoltre, l’eventuale conservazione per un termine ancora più ampio rispetto ai 21 giorni indicati è possibile, ma potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Tuttavia, occorre evidenziare che, nelle organizzazioni pubbliche e private, la gestione dei metadati della posta elettronica aziendale deve essere trattata unitamente ad altri temi fondamentali, tra cui la corretta gestione documentale (si vedano le Linee guida AgID in tema di formazione, gestione, conservazione dei documenti informatici) e la cybersecurity (rilevante, ad esempio, anche ai sensi dell’art. 32 GDPR o di obblighi derivanti dalla Direttiva NIS 2). In effetti, se da un lato la loro analisi a breve termine è essenziale per rilevare minacce (phishing, malware, accessi anomali), la loro conservazione prolungata deve essere bilanciata con i diritti e le libertà fondamentali degli interessati.

Pertanto, occorre ricordarsi che:

i metadati sono dati personali a tutti gli effetti;
possono essere conservati, di regola, non oltre 21 giorni;
è obbligatoria una policy aziendale chiara sull’uso degli strumenti informatici;
l’obbligo di conservazione decennale riguarda solo la corrispondenza commerciale rilevante, non l’intera mailbox.

Obblighi di conservazione documentale Vs Conservazione della mailbox

È fondamentale distinguere l’obbligo civilistico e fiscale di conservazione decennale della corrispondenza commerciale (art. 2220 c.c.) dalla gestione della casella di posta elettronica. Tale obbligo si applica al singolo documento rilevante (es. un contratto, un ordine), non all’intera mailbox del dipendente. È pertanto illecita la prassi di conservare l’intero archivio di posta di un lavoratore per 10 anni con la generica motivazione degli obblighi di conservazione, in quanto viola palesemente i principi di minimizzazione e limitazione della stessa. Su questo punto, è fondamentale operare una distinzione netta:

e-mail come documento commerciale/legale: Se un’e-mail ha il valore di un contratto, un ordine, etc., essa deve essere conservata per il tempo previsto dalla legge;
la casella di posta elettronica nel suo complesso: L’obbligo di conservazione si applica al singolo documento rilevante, non all’intera casella di posta elettronica del dipendente, che contiene un flusso indistinto di comunicazioni, molte delle quali prive di rilevanza legale o fiscale.

Il datore di lavoro deve quindi implementare sistemi di gestione documentale che permettano di estrarre e archiviare in un sistema separato solo copia delle e-mail con rilevanza legale/fiscale, per il tempo necessario.

Cessazione del rapporto di lavoro: cosa fare e cosa non fare

Il momento della cessazione del rapporto di lavoro rappresenta un frangente di particolare criticità. I diversi Provvedimenti del Garante[3] hanno delineato una procedura rigorosa per contemperare l’esigenza di continuità aziendale con la tutela della riservatezza dell’ex dipendente.

Nello specifico, è fatto obbligo al datore di lavoro di:

Disattivare immediatamente l’account di posta elettronica individuale alla data di cessazione del rapporto, inibendo la ricezione di ulteriori messaggi;
Attivare contestualmente un sistema di risposta automatica che informi i terzi della disattivazione dell’indirizzo e fornisca contatti alternativi per le comunicazioni di carattere lavorativo;
Rimuovere definitivamente l’account dopo un periodo di tempo limitato e ragionevole, commisurato esclusivamente alle esigenze tecniche per la migrazione dei dati e l’efficacia della risposta automatica, e non a generiche esigenze commerciali.

È pertanto da considerarsi illecita la prassi di mantenere attivo l’account di un ex dipendente, così come l’impostazione di un reindirizzamento automatico dei messaggi verso un altro account aziendale, poiché tali operazioni consentono una presa di cognizione indebita di comunicazioni che potrebbero avere carattere personale. Inoltre, l’eventuale necessità di recuperare informazioni di natura professionale dovrebbe essere gestita, ove possibile, in contraddittorio con il lavoratore prima della cessazione del rapporto.

Breve vademecum operativo per la gestione degli applicativi IT e dell’account e-mail aziendale

Alla luce delle considerazioni innanzi esposte in relazione all’articolato quadro normativo e giurisprudenziale, di seguito si riporta un breve schema riepilogativo con le misure da adottare e le azioni non consentite.

COSA FARE

Adottare policy chiare e fornire informative complete: predisporre e consegnare personalmente a ogni dipendente una policy sull’uso degli strumenti informatici e un’informativa privacy (art. 13 GDPR ). Tali documenti devono specificare chiaramente:
– Le finalità e modalità dei possibili controlli.
– I tempi di conservazione dei dati e dei metadati, in linea con le indicazioni del Garante (es. 21 giorni per i metadati).
– La procedura di gestione dell’account alla cessazione del rapporto.
Configurare i sistemi in ottica “Privacy by default”: verificare e modificare le impostazioni dei sistemi di posta elettronica per disattivare la raccolta non necessaria di dati e per impostare i tempi di conservazione dei metadati al minimo indispensabile (es. 21 giorni).
Implementare un sistema di gestione documentale: adottare procedure tecniche e organizzative per identificare, estrarre e archiviare in un sistema dedicato (diverso dalla casella di posta) solo le e-mail con rilevanza legale/fiscale, per il periodo di conservazione obbligatorio (10 anni).
Alla cessazione del rapporto di lavoro:
– Disattivare immediatamente l’account: alla data di cessazione, l’account individuale del dipendente deve essere immediatamente disattivato, inibendo l’invio e la ricezione di messaggi;
– Impostare una risposta automatica: attivare un messaggio automatico che informi i terzi della disattivazione dell’indirizzo e fornisca contatti alternativi per le comunicazioni lavorative;
– Rimuovere definitivamente l’account: dopo un breve e ragionevole periodo tecnico, necessario per le operazioni di backup e migrazione dei soli dati aziendali (da effettuarsi preferibilmente in contraddittorio con l’ex dipendente), l’account e il suo contenuto devono essere definitivamente cancellati.

COSA NON FARE

Non effettuare controlli preventivi e massivi: evitare la raccolta e l’analisi sistematica e generalizzata delle email o dei metadati dei dipendenti in assenza delle garanzie previste dall’art. 4 St. Lav.
Non conservare i metadati oltre i termini stretti: non conservare i log e i metadati della posta elettronica per periodi prolungati (a seconda delle giustificate esigenze di sicurezza) senza una base giuridica adeguata e il rispetto delle norme applicabili.
Non mantenere attivo l’account dell’ex dipendente: è illecito mantenere attiva la casella di posta di un ex dipendente, anche per “non perdere contatti”.
Non reindirizzare automaticamente le e-mail: è vietato impostare un reindirizzamento automatico delle email dall’account dell’ex dipendente a un altro account aziendale.
Non confondere la conservazione documentale con la conservazione della mailbox: non utilizzare l’obbligo di conservazione decennale della corrispondenza commerciale come pretesto per conservare l’intera casella di posta elettronica del dipendente. Le due finalità richiedono trattamenti e sistemi di archiviazione distinti.

Scopri di più: Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Per approfondire: Protezione dei dati personali e controllo dei lavoratori in azienda

NOTE

^[1] Cass. Pen., Sez. 5, n. 23158 del 20-06-2025.

^[2] Corte di Appello Di Milano, Sentenza n.1147 del 8 Gennaio 2025: “In caso di controlli illeciti, in mancanza d’un fondato sospetto o con modalità illegittime, i relativi risultati sono “inutilizzabili”“.

^[3] Cfr. ex multius i Provvedimenti dell’Autorità Garante per la protezione dei dati personali 364/2025, 754/2025, 140/2024.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Controlli difensivi, cybersecurity ed efficienza dei processi: limiti normativi e garanzie procedurali nell’utilizzo di sistemi IT ed e-mail aziendali

Controlli difensivi, cybersecurity ed efficienza dei processi: limiti normativi e garanzie procedurali nell’utilizzo di sistemi IT ed e-mail aziendali

Il quadro normativo di riferimento

I controlli difensivi del datore di lavoro

I metadati della posta elettronica aziendale: cosa fare in concreto

Obblighi di conservazione documentale Vs Conservazione della mailbox

Cessazione del rapporto di lavoro: cosa fare e cosa non fare

Breve vademecum operativo per la gestione degli applicativi IT e dell’account e-mail aziendale

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Lo ho-BIT – Andata e Ritorno

Di

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco