Come noto, l’art. 15 del Regolamento (UE) 2016/679 (il GDPR) riconosce agli interessati il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, di accedere a tali dati e a ulteriori informazioni ad essi connesse.
Il diritto di accesso ai dati personali rappresenta, dunque, uno strumento fondamentale per garantire trasparenza e controllo sui medesimi.
Un tema particolarmente rilevante riguarda l’accesso alle e-mail aziendali di una società da parte di un suo ex dipendente.
Risulta pacifico, infatti, che la e-mail aziendale individualizzata, che include oltre al nome e cognome del soggetto anche il nome di dominio dell’azienda (es. nome.cognome@nomeazienda.com), è da considerarsi, a tutti gli effetti, ai sensi dell’art. 4, GDPR, un “dato personale” del soggetto il cui nome e cognome compare nell’indirizzo e-mail.
Tale principio è stato sviluppato dal Garante per la protezione dei dati personali sin dalla pubblicazione delle “Linee Guida per posta elettronica e internet” del 2007, nelle quali veniva infatti raccomandata l’opportunità, per i datori di lavoro, di rendere disponibili indirizzi di posta elettronica condivisi tra più lavoratori (come, ad esempio, info@ente.it), eventualmente affiancandoli a quelli individuali (tra cui, ad esempio, mario.rossi@società.it).
Sul punto, è di recente intervenuto il Garante, il quale, richiamando peraltro le Linee Guida n. 1/2022 del Comitato Europeo per la Protezione dei Dati (EDPB) sul diritto di accesso, con un provvedimento pubblicato in data 27 novembre 2024, ha disposto che un ex dipendente ha diritto di accedere (i) al contenuto della corrispondenza presente sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del suo precedente rapporto di lavoro, nonché (ii) agli ulteriori dati e informazioni personali, laddove presenti nel server aziendale, con ciò riconoscendo ben ampio spazio al diritto di accesso esercitato da parte di un interessato.
In ogni caso, il Garante ha fatto salva l’eccezione già prevista dall’art. 15, paragrafo 4, GDPR, secondo cui il diritto di accesso deve essere, tuttavia, bilanciato con i diritti e le libertà degli altri soggetti coinvolti nella richiesta, circostanza che rappresenta, quindi, una forma di barriera all’accesso illimitato alla corrispondenza. Sul punto, il Garante ha infatti precisato che il diritto di accedere ai dati personali e di ottenere una copia degli stessi non deve ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software.
Alla luce di quanto sopra, viene così riconosciuta l’ampia portata del diritto di accesso nei confronti di un interessato (anche in qualità di ex dipendente di una società), il quale deve essere pienamente garantito dal titolare del trattamento.
Quest’ultimo è dunque tenuto a dare integrale seguito alla richiesta, fermo restando il bilanciamento con i diritti e le libertà di altri soggetti, che, secondo quanto già affermato dall’EDPB, non può rappresentare un diniego di fornire all’interessato tutte le informazioni richieste. Ciò significa, ad esempio, che, ove si applichi questa limitazione, il titolare del trattamento, anziché rifiutarsi di fornire una copia dei dati personali, deve rendere illeggibili, per quanto possibile, le informazioni concernenti le altre persone.
In ogni caso, se risulterà impossibile conciliare i diritti pertinenti, il titolare del trattamento dovrà decidere, in una fase successiva, quale diritto o libertà prevalga tra quelli confliggenti.
