Con il provvedimento n. 754 del 18 dicembre 2025 (premere qui per leggere), il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 40.000 euro a una società industriale operante nel Nord-Est, accertando l’illiceità del trattamento dei dati personali di un ex dirigente a seguito della cessazione del rapporto di lavoro, con particolare riferimento alla gestione dell’account di posta elettronica aziendale e al mancato riscontro all’istanza di esercizio dei diritti.
Il caso si inserisce nel filone ormai consolidato dei provvedimenti dell’Autorità in materia di strumenti di lavoro digitali, ribadendo principi di sistema che incidono direttamente sulle politiche aziendali di IT governance e di gestione delle risorse umane.
1. L’origine del reclamo
L’ex dipendente, già titolare di un account di posta elettronica individualizzato, ha segnalato che, dopo la cessazione del rapporto di lavoro:
- l’account continuava a ricevere comunicazioni;
- la casella risultava attiva e gestita dalla società;
- la corrispondenza veniva inoltrata automaticamente ad altri indirizzi aziendali;
- non era stato fornito alcun riscontro tempestivo a una formale istanza di esercizio dei diritti ai sensi del GDPR.
L’interessato aveva richiesto, in particolare, la disattivazione dell’account, l’accesso alla corrispondenza pervenuta nel periodo successivo alla cessazione e l’attivazione di meccanismi automatici di risposta ai terzi mittenti.
2. La posizione della società
La società ha sostenuto che:
- la richiesta dell’interessato fosse riconducibile al contenzioso giuslavoristico in corso e non all’esercizio dei diritti privacy;
- la gestione dell’account fosse giustificata da esigenze di continuità del business e di tutela in giudizio;
- la procedura adottata fosse conforme a un regolamento IT interno, che prevedeva tempi di disattivazione più ampi per figure apicali;
- l’accesso ai contenuti sarebbe stato limitato alle sole comunicazioni “professionali”.
Tali argomentazioni non sono state ritenute idonee a superare i rilievi dell’Autorità.
3. Il mancato riscontro all’istanza di esercizio dei diritti
Il Garante ha accertato la violazione degli artt. 12, par. 3, e 15 GDPR, chiarendo che:
- il GDPR non impone requisiti formali per l’esercizio dei diritti;
- il titolare è tenuto a fornire riscontro entro un mese, anche in caso di diniego;
- la pendenza di un contenzioso non sospende automaticamente l’obbligo di risposta;
- l’eventuale limitazione dei diritti per esigenze difensive deve essere motivata, comunicata e documentata.
Nel caso di specie, la richiesta dell’interessato richiamava espressamente il Regolamento (UE) 2016/679 e non poteva essere legittimamente ignorata o rinviata sine die.
4. Posta elettronica aziendale e tutela della corrispondenza
Un passaggio centrale del provvedimento riguarda la natura della posta elettronica aziendale individualizzata.
Il Garante ribadisce che:
- anche la corrispondenza su account aziendali rientra nella sfera di tutela della vita privata;
- la distinzione tra messaggi “personali” e “professionali” è spesso indeterminabile ex ante;
- l’accesso, la conservazione e l’inoltro automatico delle e-mail costituiscono trattamento di dati personali.
Il mantenimento attivo dell’account per circa due mesi dopo la cessazione del rapporto, con inoltro sistematico della posta, è stato ritenuto contrario ai principi di liceità, minimizzazione e limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) GDPR.
5. Continuità aziendale: il perimetro lecito
Il provvedimento richiama l’orientamento costante dell’Autorità secondo cui:
- le esigenze di continuità operativa devono essere soddisfatte tramite sistemi documentali strutturati;
- l’e-mail non può essere utilizzata come archivio aziendale sostitutivo;
- la soluzione corretta consiste nella disattivazione dell’account, accompagnata da:
- messaggi automatici di risposta ai terzi;
- indicazione di indirizzi alternativi;
- misure tecniche che impediscano la visualizzazione del contenuto dei messaggi.
Ogni deviazione da questo schema deve essere eccezionale, temporanea e rigorosamente giustificata.
6. La decisione
Alla luce delle violazioni accertate, il Garante ha:
- dichiarato illecito il trattamento dei dati personali;
- ordinato di consentire all’interessato l’accesso alla corrispondenza richiesta;
- disposto la cancellazione dei contenuti dell’account, salvo quanto strettamente necessario per la tutela in sede giudiziaria;
- irrogato una sanzione amministrativa di 40.000 euro;
- disposto la pubblicazione del provvedimento come misura accessoria.
Considerazioni conclusive
Il caso conferma che la gestione della posta elettronica dopo la cessazione del rapporto di lavoro è un punto di rischio elevatissimo, spesso sottovalutato nelle policy aziendali.
Il datore di lavoro non può “congelare” gli account in nome di generiche esigenze difensive, non può rinviare sine die il riscontro ai diritti privacy e soprattutto deve progettare ex ante procedure conformi ai principi del GDPR.
Nel rapporto di lavoro, la protezione dei dati personali rappresenta un limite sostanziale al potere organizzativo, non una variabile negoziabile.
Sull'autore
