Art. 15 GDPR: il diritto di conoscere le informazioni
L’art. 15 gdpr riconosce a ogni persona un potere semplice ma decisivo: vedere quali informazioni la riguardano. In ambito lavorativo questo diritto incrocia strumenti digitali complessi, come email aziendali, piattaforme cloud e gestionali interni, dove il confine tra vita personale e ruolo professionale diventa sottile.
Allo stesso tempo le organizzazioni raccolgono una quantità crescente di dati su lavoratori, collaboratori e consulenti. In questo scenario il diritto di accesso non è un dettaglio tecnico, ma uno strumento concreto di tutela della privacy. Consente di verificare come vengono trattati i dati e di reagire in caso di errori, abusi o usi non previsti.
Negli ultimi anni il Garante per la protezione dei dati personali e diversi tribunali rafforzano l’efficacia dell’art. 15 gdpr. Hanno chiarito che questo diritto si applica anche a contesti ritenuti a lungo neutri, come le caselle di posta aziendali, spesso gestite solo come strumenti operativi. È emerso che molte prassi diffuse, come la selezione preventiva dei messaggi o la conservazione illimitata degli archivi, non sono più accettabili alla luce del regolamento GDPR.
Questo articolo offre una guida per orientarsi: illustra cosa prevede la norma, quali obblighi sorgono per i datori di lavoro, quali limiti sono ammessi e come gestire le richieste di accesso legate al lavoro in azienda.
Contenuto e portata dell’art. 15 GDPR
Per comprendere davvero l’art. 15 GDPR occorre partire dal suo cuore: il diritto di accesso.
L’interessato può chiedere al titolare del trattamento di sapere se i propri dati vengono trattati e, se la risposta è positiva, in quali condizioni ciò avviene.
Ha quindi diritto di conoscere finalità e categorie di dati trattati, destinatari, tempi o criteri di conservazione, diritti esercitabili e possibilità di rivolgersi al Garante. Le linee guida dell’EDPB precisano che queste informazioni non possono restare astratte o generiche, ma devono essere collegate ai trattamenti effettivamente svolti, anche in ambiente aziendale complesso.
Un profilo essenziale è l’obbligo di fornire una copia dei dati personali e non un semplice elenco di categorie.
Questo vale anche quando i dati sono contenuti in strumenti di lavoro: caselle email, file sul server, registri di presenza, piattaforme di customer relationship management (CRM) o sistemi di ticketing.
In un’azienda commerciale, per esempio, un ex consulente può ottenere copia delle email inviate dal proprio account, delle note di valutazione inserite nel gestionale vendite e degli attestati relativi ad attività formative finanziate dal datore. L’art. 15 GDPR si inserisce nel quadro più ampio del Regolamento generale sulla protezione dei dati, che impone principi di liceità, correttezza e trasparenza.
I segreti industriali non legittimano un rifiuto in blocco: il titolare può al massimo oscurare selettivamente elementi sensibili di terzi, dimostrando la necessità di ogni limitazione.
Art. 15 GDPR: accesso email aziendali in assicurazioni
Un recente provvedimento del Garante Privacy del 12 marzo 2026 mostra in concreto l’impatto dell’art. 15 gdpr sulle email aziendali.
Un’ex dipendente di una compagnia assicurativa aveva chiesto copia di tutti i messaggi presenti nella casella di lavoro, oltre ai documenti salvati sul computer aziendale assegnato.
L’azienda aveva però selezionato unilateralmente i contenuti, consegnando solo quelli ritenuti “strettamente personali” e trattenendo i messaggi collegati all’attività lavorativa. Per questa condotta l’Autorità ha irrogato una sanzione di 50.000 euro, chiarendo che anche le comunicazioni professionali contengono dati personali dell’interessata e rientrano nel perimetro del diritto di accesso.
Secondo il Garante per la protezione dei dati personali, tutte le email contenute in una casella nominativa costituiscono dati personali del titolare dell’account.
L’azienda non può quindi applicare un filtro preventivo tra messaggi “personali” e “professionali” per ridurre l’ambito applicativo dell’art. 15 gdpr.
Può soltanto valutare, caso per caso, se alcune informazioni vadano oscurate per tutelare terzi o segreti aziendali.
Pensiamo a un responsabile commerciale che lascia l’impresa: le email con clienti e colleghi restano accessibili come dati che lo riguardano. Alcune parti potranno però essere coperte per proteggere prezzi riservati, strategie promozionali o altri contenuti confidenziali, dimostrando sempre la proporzionalità della scelta.
Limiti legittimi all’accesso e tutela dei terzi
Il diritto riconosciuto dall’art. 15 gdpr non è assoluto, ma i limiti sono eccezionali e devono essere motivati in modo puntuale.
Le linee guida EDPB del 2022 precisano che segreti industriali e informazioni riservate non giustificano un rifiuto generalizzato della richiesta.
Il titolare deve dimostrare un pregiudizio concreto derivante dalla comunicazione integrale dei dati.
In presenza di rischi per terzi o per la sicurezza dell’azienda, può oscurare selettivamente nomi, cifre o passaggi sensibili, mantenendo però l’accessibilità del resto delle informazioni. Il provvedimento del Garante del 18 dicembre 2025 conferma questo approccio pragmatico.
La richiesta di accesso può arrivare anche con una semplice email informale e le eventuali limitazioni vanno sempre spiegate in modo chiaro e comprensibile. Non è ammesso un rifiuto generico, privo di motivazioni specifiche e verificabili da parte dell’interessato.
Il Tribunale di Torino, con decisione del 5 febbraio 2025, ribadisce che il titolare deve comunque rispondere a chi invoca l’art. 15 gdpr. Il silenzio, o una risposta meramente evasiva, viola il regolamento GDPR e i principi di correttezza.
Pensiamo a un fascicolo disciplinare che contiene lamentele di colleghi e note del responsabile: il datore potrà oscurare i nomi dei segnalanti, ma non negare l’esistenza del fascicolo né la possibilità di riceverne copia.
Una corretta gestione dei limiti richiede procedure tracciate, coinvolgimento del DPO quando presente e coordinamento con eventuali DPIA.
Gestione operativa delle richieste in contesto aziendale
Quando una persona esercita l’art. 15 GDPR in azienda, spesso emergono le fragilità dei processi interni.
Molte organizzazioni non dispongono di procedure strutturate per rintracciare tutti i dati personali collegati a un account, soprattutto se distribuiti tra strumenti diversi e ambienti cloud.
Pensiamo alle tracce lasciate in sistemi HR, piattaforme di collaborazione, archivi condivisi e vecchie backup policy. Senza regole chiare si rischiano ritardi, omissioni o risposte parziali che espongono a contestazioni e sanzioni. Una gestione efficace richiede invece passi ordinati e responsabilità definite tra uffici legali, risorse umane, IT e vertice aziendale.
Per gestire correttamente le richieste è utile trasformare l’art. 15 GDPR in una procedura documentata, integrata nelle politiche aziendali. Ecco i principali passaggi operativi:
- Mappare dove si trovano i dati personali legati alla persona interessata
- Identificare i sistemi che contengono email, documenti, log e registri di accesso
- Valutare se oscurare dati di terzi o segreti aziendali, motivando ogni scelta
- Predisporre una risposta chiara, completa e comprensibile, allegando la copia dei dati.
Questi passaggi vanno inseriti nelle politiche sulla privacy e nel sistema di accountability aziendale.
Il coinvolgimento del DPO, degli amministratori di sistema e della funzione IT consente di individuare archivi nascosti o poco conosciuti.
In questo modo l’organizzazione riduce il rischio di contestazioni davanti al Garante e dimostra di prendere sul serio gli obblighi previsti dal regolamento, anche in relazione a strumenti di lavoro apparentemente neutri come le caselle di posta aziendali.
Art. 15 GDPR, accountability e strategia di compliance
Per molte organizzazioni l’art. 15 GDPR è un banco di prova della reale cultura sulla privacy. Rispondere in modo completo e tempestivo richiede infatti di conoscere come funziona il trattamento dei dati personali in ogni area aziendale, non solo sulla carta.
I registri dei trattamenti, le DPIA e le politiche di conservazione diventano strumenti operativi e non meri adempimenti formali.
Anche la gestione dei rischi di incidente, collegati al tema del data breach, si intreccia con il diritto di accesso: una persona che chiede copia dei propri dati può scoprire trattamenti imprevisti o errori di sicurezza, spingendo l’azienda a correggere processi carenti.
Il provvedimento del Garante del 24 aprile 2024, relativo alla consegna degli attestati formativi, mostra quanto sia ampia la portata dell’art. 15 GDPR. Anche documenti che l’azienda riteneva “suoi”, perché pagati e gestiti centralmente, rientrano nel diritto di accesso.
Lo stesso vale per corrispondenza interna, schede di valutazione, note di performance e log di accesso ai sistemi.
Per questo il principio di accountability richiede di progettare la governance dei dati fin dall’inizio. Un’organizzazione che sa dove sono conservate le informazioni, per quanto tempo e con quali garanzie di sicurezza, riesce a rispettare l’accesso dell’interessato senza bloccare l’operatività quotidiana, valorizzando al contempo il proprio modello di compliance.
Il diritto di accesso come cartina di tornasole della governance dei dati
Il diritto di accesso previsto dall’art. 15 GDPR non è soltanto un meccanismo procedurale. È il punto di incontro tra interessato e organizzazione, il momento in cui la gestione interna dei dati diventa visibile e misurabile.
Nelle caselle di posta aziendali, nei fascicoli del personale e nei sistemi gestionali emerge la qualità reale delle scelte compiute su raccolta, uso e conservazione delle informazioni. Quando un’azienda risponde con puntualità, fornisce una copia completa e motiva in modo trasparente eventuali limitazioni, dimostra una maturità di governo dei dati che va oltre la mera aderenza formale al regolamento GDPR.
All’opposto, ritardi, filtraggi arbitrari o silenzi segnalano una cultura della privacy ancora incompleta, spesso legata a una visione proprietaria delle informazioni anziché alla centralità della persona. La stessa capacità si misura anche nella gestione delle email aziendali, dove occorre bilanciare esigenze operative e diritti individuali.
Un’organizzazione che vede nell’art. 15 gdpr un’opportunità di trasparenza, e non un ostacolo, consolida nel tempo la fiducia di lavoratori, clienti e partner, trasformando il diritto di accesso in una vera cartina di tornasole della propria accountability aziendale.
