La posta elettronica aziendale è uno dei principali strumenti di trattamento dei dati personali in qualsiasi organizzazione. Ogni email contiene almeno un indirizzo email — dato personale per il GDPR — e spesso molti altri: nomi, ruoli, dati aziendali, informazioni sensibili. Eppure il GDPR applicato all'email è un aspetto che molte PMI gestiscono in modo approssimativo, esponendosi a rischi concreti di sanzione e di perdita di fiducia da parte di clienti e partner.
Quali Dati Personali Sono Contenuti nelle Email
Prima di definire gli obblighi, è utile identificare la tipologia di dati personali che transitano tipicamente via email in una PMI:
- Indirizzi email di clienti, fornitori, dipendenti, candidati
- Nomi e cognomi, ruoli aziendali
- Numeri di telefono, indirizzi fisici nelle firme
- Dati contrattuali, ordini, preventivi, fatture
- Dati relativi a candidature e curriculum (categorie particolari se contengono dati sanitari o giudiziari)
- Comunicazioni di carattere personale tra dipendenti
- Potenzialmente dati sensibili: informazioni sanitarie, dati bancari, documenti d'identità allegati
Le Basi Giuridiche per il Trattamento delle Email
Il GDPR richiede che ogni trattamento di dati personali si basi su una delle sei basi giuridiche previste dall'art. 6. Per le email aziendali, le basi tipicamente applicabili sono:
| Tipo di comunicazione | Base giuridica |
|---|---|
| Email nella gestione di un contratto con il cliente | Esecuzione del contratto (art. 6.1.b) |
| Email commerciali promozionali | Consenso (art. 6.1.a) |
| Email per adempiere a obblighi legali (fatture, PEC obbligatorie) | Obbligo legale (art. 6.1.c) |
| Email di follow-up verso clienti esistenti su prodotti/servizi analoghi | Legittimo interesse (art. 6.1.f) con opt-out |
| Email interne tra dipendenti per la gestione del rapporto di lavoro | Esecuzione del contratto / obbligo legale |
Data Retention Email: Quanto a Lungo Conservare la Posta
Il principio di limitazione della conservazione del GDPR impone di non conservare i dati personali oltre il tempo necessario per la finalità per cui sono stati raccolti. Applicato all'email, questo richiede di definire policy di retention differenziate per tipologia:
- Email commerciali (ordini, contratti, offerte): obbligo civile/fiscale di 10 anni. Il GDPR cede di fronte all'obbligo legale.
- Email di supporto clienti: ragionevole conservarle per la durata del rapporto commerciale più un periodo di sicurezza (es. 2-3 anni dalla risoluzione).
- Email di marketing inviate: log delle comunicazioni per dimostrare il consenso, conservabili per la durata del consenso più il termine prescrizionale.
- Email di candidatura/selezione: per i candidati non assunti, la Linea guida del Garante Privacy suggerisce un massimo di 12 mesi. I curriculum vanno cancellati decorso il termine.
- Email tra dipendenti: nessun obbligo specifico; definire policy interna con eliminazione periodica dei messaggi non necessari.
Il Registro dei Trattamenti e le Email
Le aziende con più di 250 dipendenti sono obbligate a tenere il Registro dei Trattamenti; le PMI più piccole lo sono solo se trattano dati sensibili o su larga scala — ma è comunque buona prassi. Il registro deve includere anche il trattamento delle email, specificando: finalità, base giuridica, categorie di dati, categorie di destinatari, termini di cancellazione e misure di sicurezza.
Email dei Dipendenti: Un Terreno Delicato
Il monitoraggio delle email dei dipendenti è un'area di particolare sensibilità dove GDPR e Statuto dei Lavoratori si sovrappongono. In Italia, il D.Lgs. 151/2015 (Jobs Act) ha modificato l'art. 4 dello Statuto dei Lavoratori prevedendo che il datore di lavoro possa accedere alle email dei dipendenti solo in presenza di specifiche condizioni:
- Accordo sindacale preventivo oppure autorizzazione dell'Ispettorato del Lavoro (per gli strumenti di controllo a distanza).
- Informativa chiara ai dipendenti sulle policy di utilizzo degli strumenti aziendali.
- Proporzionalità: il monitoraggio deve essere proporzionato alla finalità perseguita.
Anche il solo accesso alle email di un dipendente assente o uscente senza le necessarie tutele può configurare una violazione. È fondamentale avere una policy di utilizzo degli strumenti informatici aziendali firmata da ogni dipendente.
Data Breach via Email: Obblighi di Notifica
Se un dipendente invia per errore un'email con dati personali al destinatario sbagliato, o se una casella email viene compromessa (accesso non autorizzato), si configura un data breach. Il GDPR impone di notificare il breach al Garante Privacy entro 72 ore dalla sua scoperta, se il breach può comportare un rischio per i diritti e le libertà degli interessati. La notifica agli interessati è obbligatoria se il rischio è elevato.
Il team di NEO WEB supporta le PMI nella configurazione di infrastrutture email conformi al GDPR. Scopri i nostri servizi di assistenza e supporto. Contattaci per una valutazione della conformità GDPR della tua gestione email.
