Nel contesto odierno, l’utilizzo degli strumenti digitali assume una rilevanza crescente sotto il profilo organizzativo e giuridico. La posta elettronica con dominio aziendale rappresenta uno degli strumenti principali di comunicazione, ma anche un potenziale veicolo di responsabilità. Questo contributo analizza i profili normativi e le responsabilità connesse all’utilizzo delle e-mail aziendali, focalizzandosi su privacy, controlli e compliance 231. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. E-mail con dominio aziendale: inquadramento giuridico
- 2. Account personali vs. aziendali: obbligo o scelta?
- 3. Best practice aziendali
- 4. Giurisprudenza
- 5. Poteri di controllo del datore di lavoro: quadro normativo e giurisprudenziale
- 6. Conclusioni
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. E-mail con dominio aziendale: inquadramento giuridico
La casella e-mail aziendale nominativa (es. [email protected]) si distingue dall’account personale. Ai sensi del Codice Civile, è uno strumento di lavoro soggetto a potere direttivo e di controllo. La normativa rilevante comprende il GDPR, il Codice Privacy e i Provvedimenti del Garante, che regolano il trattamento e la conservazione dei dati personali anche attraverso strumenti elettronici.
Per quanto riguarda le diverse tipologie di contratto
– Dipendenti a tempo indeterminato o determinato: è buona prassi, anche ai fini della sicurezza e della compliance 231, dotare i dipendenti a tempo determinato di casella e-mail aziendale nominativa (es. [email protected]). Questo consente anche l’applicazione efficace delle policy IT e la conservazione ordinata delle comunicazioni.
– Tirocinanti: non essendoci un rapporto di lavoro subordinato, non vi è un obbligo normativo, ma è consigliabile fornire un alias o una casella temporanea con accesso controllato, specie se il tirocinio comporta accesso a dati aziendali o trattamento di dati personali.
– Lavoratori in somministrazione: Essendo inseriti nell’organizzazione utilizzatrice, è opportuno dotarli di e-mail aziendale per finalità di coordinamento, sicurezza e documentazione.
– Collaboratori a partita IVA: In assenza di subordinazione, non sussiste un obbligo legale, ma si raccomanda l’uso di e-mail nominative aziendali o, in alternativa, la creazione di indirizzi tecnici o funzionali per proteggere le informazioni scambiate e mantenere il controllo in caso di cessazione della collaborazione.
In sintesi, l’adozione di e-mail aziendali, anche per soggetti esterni o temporanei, deve essere valutata nel contesto delle misure organizzative e tecniche previste dal GDPR (art. 32) e dal Modello 231. L’assenza di tale misura può esporre l’ente a rischi documentali, reputazionali e di sicurezza. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Account personali vs. aziendali: obbligo o scelta?
L’utilizzo di account personali per fini aziendali è altamente sconsigliato. Espone l’organizzazione a rischi legati alla perdita di controllo, alla violazione della normativa privacy, alla difficoltà di accesso in caso di cessazione del rapporto. È opportuno, se non obbligatorio, fornire e utilizzare e-mail aziendali con dominio controllato dall’ente.
3. Best practice aziendali
È raccomandabile adottare policy chiare sull’uso della posta elettronica, formare il personale, definire protocolli per la conservazione e l’accesso agli account, prevedere misure di sicurezza e tracciabilità. L’adozione di strumenti come PEC e archivi digitali conformi rafforza la compliance e limita i rischi legali.
Il controllo sugli strumenti elettronici, come la posta elettronica aziendale, deve essere esercitato in modo lecito, proporzionato e trasparente. Il datore di lavoro, in quanto titolare del trattamento, deve fornire un’adeguata informativa agli interessati, specificando le finalità, la base giuridica e la durata della conservazione. Inoltre, è necessario rispettare i principi di accountability e privacy by design, predisponendo policy che delimitino l’uso degli strumenti e ne regolamentino il monitoraggio. Secondo il Garante Privacy, il controllo non può mai avvenire in modo occulto e deve rispettare i diritti fondamentali del lavoratore.
4. Giurisprudenza
Cass. civ., Sez. lav., 22 febbraio 2012, n. 2722: ha affermato che la posta elettronica aziendale rientra tra gli strumenti di lavoro e, in quanto tale, può essere oggetto di controllo purché nel rispetto delle garanzie previste dallo Statuto dei Lavoratori. In questo caso, la Corte ha ritenuto legittimo il licenziamento di un dipendente che utilizzava in modo scorretto la posta aziendale, in violazione delle direttive interne.
Il Garante, nel Provvedimento n. 13/2007, ha stabilito che il controllo sulle email è lecito solo se l’azienda ha predisposto una policy aziendale che regola chiaramente l’uso degli strumenti informatici, consentendo il monitoraggio solo in determinati casi e con modalità trasparenti.
L’uso della posta elettronica aziendale è rilevante per la responsabilità amministrativa degli enti, ai sensi del D.lgs. 231/2001. Se un dipendente commette un reato attraverso l’e-mail aziendale, l’ente può rispondere se il reato è stato agevolato da carenze organizzative e se manca un modello di controllo adeguato. Tra i reati più ricorrenti vi sono la frode informatica (art. 640-ter c.p.), l’accesso abusivo a sistemi informatici (art. 615-ter c.p.) e la violazione dei dati personali (art. 167 D.lgs. 196/2003).
È quindi essenziale che il Modello 231 preveda misure tecniche e organizzative per prevenire tali comportamenti, quali:
– La tracciabilità delle comunicazioni;
– L’adozione di strumenti sicuri (es. sistemi DLP – Data Loss Prevention);
– La previsione di audit periodici e formazione.
In giurisprudenza, si osserva una crescente attenzione ai protocolli IT nei modelli organizzativi. Ad esempio, nel caso Telecom (Trib. Milano, 2019), l’ente è stato ritenuto responsabile per non aver adottato misure idonee a impedire l’uso illecito della rete aziendale da parte di propri dipendenti.
5. Poteri di controllo del datore di lavoro: quadro normativo e giurisprudenziale
Il controllo sugli strumenti di lavoro da parte del datore di lavoro è disciplinato da un complesso intreccio normativo tra il diritto del lavoro e la normativa sulla protezione dei dati personali.
L’art. 4 dello Statuto dei Lavoratori (L. n. 300/1970): vieta il controllo a distanza dell’attività lavorativa, salvo che vi sia un’esigenza organizzativa, produttiva, di sicurezza o tutela del patrimonio aziendale. In tali casi, l’installazione di strumenti da cui possa derivare un controllo deve essere preceduta da accordo sindacale o autorizzazione dell’Ispettorato del Lavoro.
L’art. 88 GDPR e art. 113 D.lgs. 196/2003 (Codice Privacy): stabiliscono che il trattamento dei dati personali in ambito lavorativo deve avvenire nel rispetto dei diritti e delle libertà dei lavoratori.
La Suprema Corte si è espressa in proposito più volte, ex multis Cass. civ., Sez. lav., 19 settembre 2016, n. 18302: ha ritenuto legittimo il controllo ex post della posta elettronica aziendale se volto a verificare comportamenti illeciti, purché nel rispetto del principio di proporzionalità. Cass. pen., Sez. V, 2 marzo 2021, n. 10061: ha confermato la rilevanza penale di condotte accertate tramite controlli su strumenti aziendali se effettuati con modalità lecite.
La Corte Europea dei Diritti Umani, nello stesso senso, nella sentenza Barbulescu c. Romania (2017), ha stabilito che il controllo della corrispondenza del lavoratore deve essere noto, giustificato, proporzionato e preventivamente comunicato. L’azienda deve informare il lavoratore sulla possibilità e le modalità del controllo.
La legittimità dei controlli sui lavoratori da parte del datore di lavoro incontra limiti importanti, sanciti da normative nazionali e sovranazionali e costantemente ribaditi da parte della dottrina e della giurisprudenza più garantista.
Dottrina e giurisprudenza più restrittiva ribadiscono che qualsiasi forma di controllo deve essere strettamente necessaria e proporzionata rispetto alle finalità perseguite. Il controllo generalizzato o preventivo, anche se non occulto, può essere considerato illegittimo.
In molte decisioni, anche internazionali, viene riaffermato il diritto del lavoratore a una “zona di privacy” anche nel luogo di lavoro, come stabilito dalla CEDU nel noto caso Barbulescu c. Romania. La Corte ha censurato un controllo effettuato su una chat professionale in assenza di informazione preventiva chiara e documentata.
Secondo una parte della dottrina, la definizione di strumento di lavoro non può automaticamente legittimare il controllo del contenuto delle comunicazioni, in quanto anche i mezzi aziendali possono contenere dati personali, soggetti alla tutela dell’art. 8 della CEDU e del GDPR.
La Cassazione Civile Sezione Lavoro con la sentenza del 17 febbraio 2017, n. 3960: ha censurato il controllo su e-mail private contenute in un dispositivo aziendale, ritenendolo sproporzionato in quanto non preceduto da una policy chiara e condivisa e la Sezione V della Cassazione Penale con la sentenza del 1° aprile 2019, n. 15070: ha affermato che l’uso delle registrazioni video in assenza di autorizzazione preventiva integra reato di interferenze illecite nella vita privata (art. 615-bis c.p.).
Inoltre, numerosi provvedimenti del Garante hanno sanzionato aziende per l’adozione di controlli “a tappeto” o senza l’adozione di policy preventive. Il Garante sottolinea che non è lecito controllare indiscriminatamente i metadati (log, orari, IP) senza finalità specifiche e senza informativa.
Diversi autori parlano di una deriva verso una “digitalizzazione del controllo” che rischia di ledere la dignità del lavoratore, generando un clima organizzativo di sfiducia e conflitto.
6. Conclusioni
L’utilizzo di account personali per finalità aziendali presenta rischi rilevanti sotto il profilo della sicurezza informatica, della privacy e della responsabilità dell’organizzazione. Per questo motivo, molte aziende si orientano verso l’adozione obbligatoria di caselle email con dominio aziendale.
Dal punto di vista normativo, non esiste un obbligo esplicito e generalizzato di assegnare ai dipendenti un’email nominativa con dominio aziendale. Tuttavia, tale assegnazione è fortemente raccomandata per garantire:
– la tracciabilità delle attività svolte,
– la separazione tra vita personale e attività lavorativa,
– l’accesso ai contenuti aziendali in caso di contenziosi o cessazione del rapporto.
L’e-mail aziendale è uno strumento cruciale per garantire tracciabilità, controllo e sicurezza. La sua corretta gestione rappresenta non solo un’opportunità, ma anche una necessità giuridica per tutelare l’organizzazione. L’integrazione nei modelli organizzativi e nelle policy aziendali è parte integrante della responsabilità della governance.
Il datore di lavoro può esercitare poteri di controllo sugli strumenti aziendali, compresa la posta elettronica, soltanto ed esclusivamente nel rispetto delle condizioni previste dalla legge, evitando forme di controllo occulte e adottando policy aziendali chiare, trasparenti e condivise.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento