Email del dipendente e videosorveglianza: cosa può fare davvero il datore di lavoro

Hai un dipendente che ti preoccupa. Sospetti che stia passando informazioni a un concorrente, o forse vuoi solo recuperare la corrispondenza di un ex collaboratore che se n’è andato portandosi dietro dei contatti. La casella email è aziendale, il server è tuo, il computer è tuo. Accedi, cerchi, guardi. Sembra una cosa normale. È quello che fa chiunque al tuo posto.

Poi arriva la lettera dell’avvocato dell’ex dipendente. Poi arriva il reclamo al Garante. Poi arriva la Guardia di Finanza — sì, la Guardia di Finanza, non un ispettore del lavoro — che si siede accanto al server e inizia a copiare le email. Quello che sembrava un atto di buonsenso gestionale si trasforma in un procedimento che può costare più di un accertamento fiscale.

Questa guida nasce dal webinar BC Formula del 29 aprile 2026, tenuto dall’Avv. Massimiliano Montagner, e ha un obiettivo preciso: dirti cosa puoi fare davvero — non cosa ti sembra di poter fare — quando si tratta di accedere alla posta elettronica di un dipendente, gestire la casella di un ex collaboratore e installare un impianto di videosorveglianza in azienda. Tutto con basi giuridiche concrete, casi reali, numeri precisi e una checklist operativa che puoi usare da subito.

Se vuoi capire prima qual è il quadro sanzionatorio generale del GDPR nel rapporto di lavoro, leggi le sanzioni GDPR per il datore di lavoro: cosa rischi davvero. Questo articolo entra nel dettaglio operativo.

Perché la casella email aziendale non è “tua” come pensi

Il malinteso più diffuso tra gli imprenditori italiani è questo: la mail è aziendale, quindi posso accederci quando voglio. È una logica comprensibile, ma giuridicamente sbagliata — e sbagliata in un modo che il Garante ha sanzionato con decine di migliaia di euro.

La casella di posta elettronica nominativa — quella con il nome del dipendente nel dominio aziendale, tipo mario.rossi@tuaazienda.it — è considerata un domicilio informatico. Questo vale sia a livello nazionale che a livello europeo, per espressa indicazione della Corte Europea dei Diritti dell’Uomo e del Garante per la protezione dei dati personali. Il fatto che il server sia tuo, che tu paghi l’abbonamento, che il computer sia aziendale: tutto questo non sposta di un millimetro il principio di base. La segretezza della corrispondenza si applica.

Significa che accedere a quella casella senza rispettare le procedure corrette è, in molti casi, una violazione della privacy del dipendente. E se quella violazione porta a un licenziamento, il licenziamento può essere dichiarato nullo. E se c’è un reclamo al Garante, parte una sanzione parametrata sul fatturato della tua società — non sull’utile, non sull’imponibile: il fatturato lordo, fino al 4%.

Questo non significa che non puoi fare nulla. Significa che puoi fare molto, ma devi saperlo fare bene e, soprattutto, devi avere costruito le basi prima che il problema si presenti.

La base giuridica corretta: non è il consenso del dipendente

Prima di parlare di email e telecamere, c’è un punto preliminare che riguarda il modo in cui tratti i dati di tutti i tuoi dipendenti. Molte aziende, ancora oggi, usano il consenso come base giuridica per il trattamento dei dati nel rapporto di lavoro. È un errore che espone a sanzione.

Il GDPR (Regolamento UE 2016/679, art. 6) prevede sei basi giuridiche per il trattamento lecito dei dati. In ambito lavorativo, quelle corrette sono tre:

• Esecuzione del contratto (art. 6 lett. b): per tutto ciò che serve a eseguire il rapporto di lavoro — elaborazione busta paga, comunicazioni operative, gestione delle presenze.
• Obbligo legale (art. 6 lett. c): per gli adempimenti fiscali, previdenziali, assistenziali — tutto quello che la legge impone al datore di lavoro.
• Legittimo interesse (art. 6 lett. f): per i controlli difensivi volti a tutelare il patrimonio aziendale, con bilanciamento tra interesse del datore e interessi del dipendente.

Il consenso non funziona in ambito lavorativo perché deve essere libero. Il Garante, in un provvedimento del 2025, ha ribadito che tra datore e dipendente non c’è posizione paritetica: è difficile sostenere che un dipendente possa rifiutare liberamente il consenso al proprio datore di lavoro senza temere conseguenze. Quindi il consenso è viziato alla radice e non costituisce una base giuridica valida.

Cosa fare subito: controlla le informative che hai consegnato ai tuoi dipendenti. Se indicano il consenso come base giuridica per trattamenti ordinari del rapporto di lavoro, correggile. Indicare una base giuridica errata rende il trattamento non conforme e, in caso di ispezione o contenzioso con il dipendente, può portare a sanzioni che vanno da qualche migliaio fino a centinaia di migliaia di euro — parametrate sul fatturato.

Accedere alla mail del dipendente durante il rapporto di lavoro: quando puoi farlo e come

La risposta alla domanda “posso accedere alla mail del dipendente?” è: sì, ma con condizioni cumulative che devono essere tutte soddisfatte. Se anche una sola manca, l’accesso è illecito e tutto ciò che trovi diventa inutilizzabile ai fini disciplinari.

I quattro requisiti cumulativi del controllo difensivo

La Corte d’Appello di Milano e il Tribunale di Roma, in sentenze recenti richiamate da Montagner nel webinar, hanno consolidato un orientamento preciso. I cosiddetti controlli difensivi — quelli fatti per tutelare il patrimonio aziendale — sono ammessi solo se rispettano contemporaneamente queste condizioni:

1. Il controllo deve essere mirato. Non puoi fare una scansione massiva di tutte le email di tutti i dipendenti. Il controllo deve concentrarsi su un singolo soggetto o su un gruppo ristretto e definito. I controlli “massivi, prolungati e indiscriminati” sull’attività dei lavoratori sono esplicitamente vietati dal Garante.

2. Deve esserci un fondato sospetto preesistente. Il sospetto deve precedere l’accesso, non seguirlo. Questo è il punto su cui più spesso i datori di lavoro sbagliano: prima accedono alla casella, poi trovano qualcosa, poi cercano di motivare a posteriori l’accesso sostenendo che “c’era un sospetto”. La giurisprudenza smonta questa sequenza. Il sospetto deve essere documentabile e deve preesistere all’accesso.

3. Il dipendente deve essere stato informato della possibilità di controlli. Questo significa che deve esistere, e deve essere stata consegnata e firmata, una policy aziendale sull’utilizzo degli strumenti informatici che specifichi chiaramente che la strumentazione è ad uso lavorativo e che in determinate circostanze il datore può effettuare controlli. In assenza di questa policy, il dipendente ha una “legittima aspettativa di confidenzialità” sulla propria casella. L’accesso, anche in presenza di sospetto fondato, è illecito.

4. Il controllo deve rispettare i principi GDPR. In particolare: proporzionalità (il controllo deve essere proporzionato alla gravità del sospetto) e minimizzazione (si estraggono solo i dati strettamente necessari a verificare il sospetto, non l’intera casella). Se il sospetto riguarda un’email inviata a un concorrente nell’ultimo mese, non puoi leggere cinque anni di corrispondenza.

La conseguenza se sbagli: il licenziamento diventa nullo

Montagner nel webinar è diretto su questo punto: se accedi illecitamente alla mail e poi licenzi il dipendente sulla base di quanto trovato, il licenziamento è nullo. Non impugnabile, non riducibile — nullo. Il dipendente viene reintegrato, riceve le retribuzioni dal giorno del licenziamento alla sentenza, riceve un risarcimento per il danno alla professionalità, e tu paghi le spese legali di entrambi i gradi di giudizio.

Il calcolo economico su un caso tipico: dipendente con retribuzione lorda 35.000 €/anno, licenziato e reintegrato dopo 18 mesi di contenzioso. Il costo complessivo supera facilmente i 100.000 € tra retribuzioni dovute, contributi, spese legali e risarcimento. A cui si aggiunge la sanzione del Garante se il dipendente presenta reclamo — altra fascia da 20.000 a 80.000 € a seconda del fatturato. E il dipendente torna in azienda.

L’accesso illecito alla corrispondenza può anche configurare il reato ex art. 616 c.p. (violazione di corrispondenza). Se commesso nell’interesse della società, scatta la responsabilità ex D.Lgs. 231, con sanzioni pecuniarie autonome per l’ente e, in alcuni settori, misure interdittive.

Costruire la difesa prima che serva: la policy sugli strumenti aziendali

Il punto strategico è semplice: non puoi costruire le precondizioni per un controllo difensivo nel momento in cui il sospetto è già concreto. A quel punto è tardi. Le precondizioni si costruiscono in tempi non sospetti, molto prima che nasca qualsiasi problema.

La policy sull’utilizzo degli strumenti informatici aziendali deve essere redatta, consegnata e firmata da ogni dipendente all’atto dell’assunzione. Deve contenere almeno:

• L’indicazione che gli strumenti aziendali (mail, computer, telefono) sono forniti per uso lavorativo
• L’invito esplicito a non usarli per finalità personali
• L’avvertimento che, in determinate circostanze documentate e motivate, il datore può effettuare controlli sui sistemi informatici
• Le modalità con cui eventuali controlli vengono autorizzati internamente (chi decide, su quali presupposti)
• I limiti del controllo (proporzionalità, minimizzazione)

Quando la policy esiste, è stata firmata e ha una data certa precedente al problema, il perimetro giuridico del controllo difensivo è costruito correttamente. Senza di essa, qualunque accesso alla casella — anche se motivato da sospetti fondatissimi — è esposto a contestazione.

La casella email dopo il licenziamento o le dimissioni: il caso dei 50.000 euro

Il secondo scenario è quello che Montagner apre il webinar con forza, perché contiene un errore che commette una percentuale enorme di aziende italiane — e lo commette in buona fede.

Il dipendente se ne va. Si licenzia, viene licenziato, il contratto scade. La casella email è rimasta lì. Magari ci sono ancora delle mail in arrivo, magari ci sono comunicazioni con clienti da recuperare, magari il nuovo responsabile deve continuare le conversazioni. Cosa fai?

Quello che fanno la maggior parte dei datori di lavoro: accedono alla casella, leggono le mail, le smistano, magari le inoltrano. Oppure impostano un redirect automatico verso un altro account interno. Entrambe le operazioni sono illecite.

Il caso reale: 50.000 euro per una risposta a una richiesta di accesso

Una compagnia assicurativa ha ricevuto da un ex dipendente una richiesta di accesso ai propri dati personali — diritto previsto dall’art. 15 del GDPR. Richiesta legittima, che il titolare ha l’obbligo di soddisfare entro 30 giorni.

L’azienda ha fatto quello che sembrava logico: ha acceduto all’ex account di posta del dipendente, ha esaminato le mail, ha distinto — secondo la propria valutazione — quelle “personali” da quelle “lavorative”, e ha trasmesso all’ex dipendente quello che riteneva fossero i suoi dati personali.

L’ex dipendente ha contestato la procedura e ha presentato reclamo al Garante. Il Garante ha aperto l’istruttoria e ha concluso che:

• L’accesso unilaterale alla casella dell’ex dipendente per filtrare le mail viola la segretezza della corrispondenza e il principio del domicilio informatico
• Il fatto che la mail fosse aziendale non cambia la natura del bene tutelato
• La distinzione “personale/lavorativo” fatta dall’azienda stessa era arbitraria e non conforme
• Il diritto di accesso dell’ex dipendente riguardava tutti i dati personali, non un sottoinsieme deciso unilateralmente

Risultato: sanzione di 50.000 euro su un singolo soggetto.

La compagnia era grande, il fatturato importante. Ma il principio è identico per una PMI con 15 dipendenti. Una PMI che fattura 3 milioni di euro e commette lo stesso errore su un ex dipendente rischia una sanzione proporzionalmente inferiore in valore assoluto, ma comunque a quattro o cinque cifre. E se gli ex dipendenti negli ultimi anni sono stati più di uno, il rischio si moltiplica.

La procedura corretta alla cessazione del rapporto

Montagner è preciso su questo punto: c’è una sequenza corretta da seguire quando il rapporto di lavoro si chiude, e va applicata subito, prima ancora che arrivi qualunque richiesta dell’ex dipendente.

Passo 1 — Disattiva l’account. L’account di posta dell’ex dipendente va disattivato immediatamente alla cessazione del rapporto. Non “dopo aver recuperato le mail”, non “quando ho tempo”: subito.

Passo 2 — Imposta un messaggio di risposta automatica. Il messaggio deve informare i terzi che il collaboratore non lavora più in azienda e fornire un indirizzo alternativo a cui rivolgersi. Questo è il modo corretto per gestire la continuità delle comunicazioni verso l’esterno senza accedere alla casella.

Passo 3 — Non impostare un redirect automatico. La prassi di reindirizzare silenziosamente tutte le mail in arrivo verso un altro account interno è illecita. Il terzo che invia la mail ha il diritto di sapere a chi sta effettivamente scrivendo. Il redirect lo priva di questa consapevolezza, e il Garante ha ripetutamente dichiarato questa pratica non conforme.

Passo 4 — Non accedere alla casella per rispondere a richieste di accesso dati. Se l’ex dipendente esercita il diritto di accesso ai propri dati, la gestione della risposta non può passare per un accesso unilaterale dell’azienda alla casella. I dati personali presenti vanno gestiti in modo conforme: eventualmente in contraddittorio, eventualmente con modalità tecniche che non violino la segretezza della corrispondenza. Questo richiede una procedura interna scritta.

Quanto a lungo puoi tenere i dati dell’ex dipendente?

Qui la risposta dipende dalla situazione. Montagner distingue due scenari:

Se c’è un contenzioso in corso (o un procedimento disciplinare non ancora chiuso): i dati possono essere mantenuti per tutta la durata della necessità difensiva. Non c’è obbligo di cancellazione immediata quando esiste un’esigenza legale di conservazione.

Se il rapporto si è chiuso regolarmente, senza pendenze né contestazioni: i dati del dipendente devono essere progressivamente minimizzati e poi cancellati. Il periodo di riferimento è quello del termine di prescrizione applicabile al rapporto: prescrizione ordinaria decennale per i rapporti standard, quinquennale per i crediti retributivi brevi. Una buona prassi, in assenza di qualunque ragione di contenzioso, è mantenersi per 1-2 anni oltre la chiusura e poi procedere alla cancellazione o anonimizzazione.

Il punto importante è che questi periodi devono essere scritti nella policy di data retention aziendale. Non puoi tenerli “a tempo indeterminato perché non si sa mai”. I periodi di conservazione devono essere definiti, documentati e rispettati.

Videosorveglianza aziendale: quando puoi installarla e cosa devi fare per non rischiare

Il sistema di videosorveglianza è uno degli strumenti più comuni nelle aziende italiane — e uno dei più frequentemente installati in modo non conforme. Non perché manchi la buona volontà: manca la consapevolezza che in questo campo si intrecciano due normative diverse, che devono essere rispettate entrambe. Se una delle due manca, i problemi arrivano.

Le due normative che devi rispettare contemporaneamente

La normativa giuslavoristica: art. 4 dello Statuto dei Lavoratori.

L’art. 4 della Legge 300/1970 (Statuto dei Lavoratori) stabilisce che gli impianti audiovisivi dai quali può derivare la possibilità di controllo a distanza dell’attività dei lavoratori possono essere installati solo per tre finalità specifiche:

• Esigenze organizzative e produttive
• Sicurezza del lavoro
• Tutela del patrimonio aziendale

E l’installazione deve avvenire solo previo accordo collettivo con la RSU o le RSA, oppure — in mancanza di accordo sindacale — previa autorizzazione dell’Ispettorato Territoriale del Lavoro competente.

L’accordo sindacale è la via preferibile, perché i tempi dell’Ispettorato sono spesso lunghi. E attenzione: non vale il silenzio-assenso. Se hai presentato istanza all’Ispettorato e non hai ricevuto risposta entro 60 giorni, non puoi considerare che l’autorizzazione sia tacitamente accordata. L’Autorità Garante ha chiarito che questa interpretazione non è corretta.

La normativa privacy: GDPR e principi di trattamento.

Anche una volta ottenuta l’autorizzazione giuslavoristica, devi rispettare il GDPR. Non sono due adempimenti alternativi: sono due binari paralleli. Entrambi obbligatori. Un’azienda che ha l’accordo sindacale ma non ha fatto l’informativa privacy ha violato il GDPR. Un’azienda che ha fatto tutto correttamente sul fronte privacy ma non ha l’accordo sindacale ha violato l’art. 4 dello Statuto. In entrambi i casi, le conseguenze arrivano.

I requisiti GDPR per la videosorveglianza

Informativa a due livelli.

L’informativa sulla videosorveglianza deve essere fornita su due livelli:

Il primo livello è la cartellonistica: il cartello che avverte che l’area è videosorvegliata, da posizionare prima che la telecamera inizi a riprenderti. Non è un cartello che puoi fare come vuoi: il modello è standardizzato a livello europeo. Devi usare il formato indicato nelle linee guida del Comitato Europeo per la Protezione dei Dati (EDPB). Tutti gli stati membri dell’UE usano lo stesso schema.

Il secondo livello è l’informativa completa: il documento che contiene tutte le informazioni previste dagli artt. 13-14 GDPR (titolare, finalità, base giuridica, periodo di conservazione, diritti dell’interessato, ecc.). Non deve essere esposta visibilmente, ma deve essere disponibile e accessibile a chiunque ne faccia richiesta — lavoratori, clienti, visitatori.

Principio di minimizzazione.

L’angolo di ripresa delle telecamere deve essere limitato all’area strettamente necessaria allo scopo. Se installi telecamere per tutelare il patrimonio aziendale — ad esempio il magazzino — non puoi inquadrare le postazioni di lavoro dei dipendenti. Se installi telecamere per la sicurezza dell’ingresso, non puoi inquadrare i bagni o le aree di pausa. Ogni telecamera deve avere una giustificazione specifica e il suo angolo deve essere proporzionato alla finalità dichiarata.

Periodo di conservazione dei filmati.

Questo è il punto su cui molte aziende si trovano in difficoltà, perché le regole sembrano rigide ma in realtà ammettono margine — a condizione di motivare.

La regola generale indicata dal Garante è 24-72 ore: i filmati devono essere cancellati e sovrascritti automaticamente entro questo periodo. Il sistema di videosorveglianza deve prevedere un meccanismo automatico di sovrascrittura.

È possibile andare oltre le 72 ore? Sì, fino a 7 giorni, in presenza di motivazioni specifiche: attività a rischio elevato, chiusura di uffici durante festivi o fine settimana, esigenze legate alla sicurezza urbana. Ma le motivazioni devono essere scritte — documentate internamente — non semplicemente assunte. Se hai deciso 96 ore, devi spiegare perché hai scelto 96 ore e non 72. Se hai deciso 7 giorni, devi spiegare perché 7 e non meno.

Montagner su questo punto è esplicito: in materia di privacy, più scrivi — in modo conscenzioso — meglio è. Se hai documentato la tua scelta e l’hai motivata, e l’Autorità arriva a controllare, vede che c’era un ragionamento. Se invece hai fatto 96 ore senza esserti mai posto il problema, e arriva una contestazione, non hai niente da mostrare.

È possibile superare i 7 giorni? Sì, ma richiede richiesta all’Autorità Garante con motivazione specifica. Il Garante ha concesso deroghe: fino a 20 giorni per aziende ospedaliere con motivazioni legate alla sicurezza dei pazienti, fino a 30-45 giorni per aziende nel settore alimentare con ragioni legate alla catena di controllo della produzione. Ma queste sono eccezioni che vanno costruite con un dossier motivazionale.

Utilizzo per contestazioni disciplinari.

Le immagini registrate dal sistema di videosorveglianza possono essere utilizzate per avviare procedimenti disciplinari o prodotte in sede di contenzioso giuslavoristico, ma solo se il sistema è stato installato nel pieno rispetto di tutto quanto sopra: accordo sindacale o autorizzazione Ispettorato, informativa a due livelli, minimizzazione, periodo di conservazione motivato. Se uno di questi elementi manca, le immagini non sono utilizzabili ai fini disciplinari — esattamente come le mail ottenute con un accesso illecito.

Il caso dell’incidente sul lavoro: quando mancano gli adempimenti privacy e arriva la polizia giudiziaria

Montagner ha raccontato durante il webinar un caso recente che mostra bene come il rischio si ingigantisce partendo da qualcosa di piccolo.

Un datore di lavoro ha installato un sistema di videosorveglianza richiedendo e ottenendo l’autorizzazione dall’Ispettorato Territoriale del Lavoro. Da quel punto in poi ha ritenuto di aver fatto tutto il necessario. Nessuna cartellonistica, nessuna informativa, nessun documento privacy.

Incidente sul lavoro. Interviene la polizia giudiziaria. I PM vedono che ci sono telecamere, chiedono copia delle registrazioni. Il datore di lavoro arriva dallo studio di Montagner e chiede: “Ho dei problemi?”

La risposta è stata: sì. E quella risposta si è concretizzata in una contestazione dell’Autorità Garante — perché uno dei soggetti coinvolti, avendo saputo dell’esistenza del sistema, ha fatto reclamo — e in un procedimento che ha portato a sanzione.

Il caso è utile non perché il datore di lavoro fosse in malafede: aveva fatto la sua parte sul fronte giuslavoristico. Aveva solo pensato che quello bastasse. Non basta. Le due normative non si escludono a vicenda.

E c’è un elemento ulteriore che Montagner sottolinea con insistenza: quando il Garante arriva, non sempre manda una lettera. Sempre più spesso arriva la Guardia di Finanza, si siede accanto al server, e inizia a copiare. Quello che parte come una contestazione su un sistema di videosorveglianza può aprire una finestra su tutto il trattamento dei dati in azienda. E se quella finestra mostra disordine — base giuridica sbagliata nelle informative, nessuna policy sugli strumenti aziendali, dati di ex dipendenti mai cancellati — il problema si moltiplica.

Gestire la mail durante un’assenza improvvisa del dipendente: la soluzione pratica

Una delle domande più frequenti in azienda — e una che durante il webinar è arrivata esplicitamente — è questa: il dipendente è assente per malattia improvvisa, e nella sua casella potrebbero esserci comunicazioni importanti con clienti. Posso accedere?

La risposta, anche in questo caso, passa dalla policy. Se la policy aziendale sull’utilizzo degli strumenti informatici prevede esplicitamente questa circostanza — e indica come gestirla — il bilanciamento tra interesse del datore e diritto alla privacy del dipendente trova un fondamento scritto. Se la policy non c’è, ogni accesso è esposto.

La soluzione che Montagner suggerisce come più pratica — e che riduce il rischio a zero — è tecnica, non giuridica: nel momento in cui sai che un dipendente sarà assente, imposta tu stesso il messaggio di risposta automatica con il riferimento a un collega o a un indirizzo alternativo. In questo modo le comunicazioni esterne vengono gestite senza che tu debba accedere alla casella. È la stessa logica del messaggio di fuori-ufficio che i dipendenti impostano quando vanno in ferie — solo che in questo caso lo fai tu tempestivamente, non il dipendente.

Questo approccio elimina la necessità di accedere alla mail e rimuove il rischio di violazione — perché non stai leggendo nulla, stai solo gestendo la continuità delle comunicazioni in entrata verso un canale alternativo.

Errori operativi più comuni: quello che le PMI italiane continuano a fare

Sulla base del webinar e dei casi che Montagner ha descritto, questi sono gli errori ricorrenti nelle PMI italiane — non casi limite, ma prassi diffuse:

Consenso come base giuridica. Mettere la firma del dipendente come “consenso al trattamento dei dati” nelle informative del contratto. Ogni informativa con consenso in ambito lavorativo va riscritta.

Accesso alla mail senza policy preesistente. Decidere di verificare la casella di un dipendente sospettato di comportamenti scorretti senza avere una policy aziendale firmata che preveda questa possibilità. L’accesso è illecito anche se il dipendente ha davvero fatto qualcosa di sbagliato.

Redirect automatico sulla casella dell’ex dipendente. Impostare l’inoltro delle mail verso un altro account interno invece di disattivare la casella e impostare un messaggio automatico. Pratica molto diffusa, dichiarata illecita dal Garante.

Telecamere senza informativa. Avere l’accordo sindacale o l’autorizzazione dell’Ispettorato ma non avere né cartellonistica conforme né informativa completa disponibile. La metà degli adempimenti non equivale alla metà del rischio: equivale al rischio pieno.

Periodo di conservazione filmati non definito. Tenere i video “finché il sistema non si sovrascrive da solo” senza aver mai definito, documentato e motivato il periodo di conservazione. In caso di contestazione, l’assenza di documentazione aggrava la posizione.

Nessuna procedura per le richieste di accesso agli atti. Non avere una procedura interna per gestire le richieste GDPR degli ex dipendenti (accesso, rettifica, cancellazione). Improvvisare la risposta — come ha fatto la compagnia assicurativa da 50.000 euro — è il modo più diretto per incorrere in sanzione.

Informative generiche e non aggiornate. Usare informative prese da template scaricati da internet, mai aggiornate dopo il 2018, che non riflettono i trattamenti effettivamente svolti dall’azienda. Un’informativa sbagliata è peggio di un’informativa assente, perché crea false aspettative che poi il Garante può verificare.

Se gestisci anche il lato marketing e comunicazione con i clienti, potresti trovare utile confrontarti sulla gestione dei trattamenti in questo ambito: leggi come la verifica fiscale preventiva si intreccia con la governance organizzativa aziendale, perché i due temi condividono la stessa logica: prepararsi prima che arrivi qualcuno a chiederti conto.

Checklist operativa: cosa fare adesso per mettere in ordine email, ex dipendenti e videosorveglianza

Questa checklist non sostituisce una consulenza legale. Serve a identificare le aree di rischio immediato e a darti un punto di partenza concreto.

Informative e basi giuridiche

• Recupera le informative privacy che consegni ai dipendenti all’assunzione
• Verifica che la base giuridica indicata per il trattamento dei dati lavorativi sia “esecuzione del contratto” o “obbligo legale” — non “consenso”
• Controlla che l’informativa contenga la durata di conservazione dei dati (data retention) per le diverse categorie di trattamento
• Aggiorna le informative se necessario, con data certa e firma del dipendente

Policy sugli strumenti informatici aziendali

• Verifica se esiste una policy scritta sull’utilizzo di email, computer, telefono aziendale
• Se non esiste, redigila e consegnala a tutti i dipendenti con firma di ricezione e data
• La policy deve esplicitare che gli strumenti sono ad uso lavorativo, che non devono essere usati per finalità personali, e che in presenza di sospetto fondato il datore può effettuare controlli mirati
• Per ogni nuovo assunto: policy firmata prima dell’inizio del lavoro

Gestione delle caselle email alla cessazione del rapporto

• Definisci una procedura interna scritta per la chiusura dei rapporti di lavoro: chi fa cosa, entro quando
• La casella email va disattivata subito alla cessazione: inseriscila nel checklist di offboarding
• Configura il messaggio di risposta automatica con indirizzo alternativo
• Verifica le caselle degli ex dipendenti degli ultimi 2-3 anni: sono state disattivate? C’era un redirect?
• Definisci per iscritto i periodi di conservazione dei dati degli ex dipendenti nella tua data retention policy
• Crea una procedura per rispondere alle richieste GDPR di ex dipendenti (accesso, rettifica, cancellazione) senza accedere alle caselle

Videosorveglianza

• Verifica che esista un accordo sindacale con RSU/RSA o un’autorizzazione dell’Ispettorato Territoriale del Lavoro
• Controlla la cartellonistica: è presente prima dell’area videosorvegliata? È conforme al modello EDPB standardizzato a livello europeo?
• Verifica che esista un’informativa completa disponibile e accessibile (non necessariamente esposta, ma disponibile su richiesta)
• Controlla gli angoli di ripresa: ogni telecamera inquadra solo l’area strettamente necessaria?
• Verifica il periodo di conservazione dei filmati: è definito? È documentato con motivazione scritta? È ≤ 72 ore (o ≤ 7 giorni con motivazione scritta)?
• Il sistema ha un meccanismo automatico di sovrascrittura entro il periodo stabilito?
• Se conservi oltre i 7 giorni: hai fatto richiesta formale al Garante con motivazione specifica?

Gestione delle richieste GDPR (ex dipendenti e dipendenti)

• Hai una procedura interna per rispondere alle richieste di accesso, rettifica e cancellazione entro 30 giorni?
• È chiaro chi in azienda gestisce queste richieste?
• Hai un log delle richieste ricevute e delle risposte date?

Se vuoi capire come si inserisce tutto questo nel quadro più ampio della governance aziendale e della responsabilità dell’amministratore, il tema è strettamente connesso a quello degli adeguati assetti organizzativi previsti dal Codice della crisi: un’organizzazione che non presidia i rischi privacy non sta costruendo adeguati assetti.

Vuoi capire se la tua azienda è esposta su questi temi?

BC Formula lavora con imprenditori e PMI su una prospettiva integrata: non solo adempimento, ma analisi del rischio reale — contenzioso con il lavoratore, sanzione amministrativa del Garante, responsabilità dell’amministratore e ricadute patrimoniali.

Se hai letto questo articolo e ti sei riconosciuto in uno o più degli errori descritti, il momento giusto per agire è adesso — non quando arriva la lettera dell’avvocato dell’ex dipendente o la richiesta di documentazione del Garante.

Contattaci per un’analisi della tua situazione.

E se vuoi approfondire il quadro generale sulle sanzioni GDPR nel rapporto di lavoro — quanto costano gli errori più frequenti, quali casi reali ha colpito il Garante, come si calcola il rischio complessivo — leggi sanzioni GDPR per il datore di lavoro: casi reali e come evitarli.

Domande frequenti