L’accesso alla casella di posta elettronica aziendale di un dipendente, dopo la cessazione del rapporto lavorativo, può violare gravemente la normativa sulla privacy. A ribadirlo è il Garante per la protezione dei dati personali, che ha punito un’impresa friulana con una multa di 40mila euro (provvedimento 754/2025), per aver gestito in modo illecito l’account e-mail di un ex amministratore delegato.
Il caso in oggetto è un’ulteriore conferma di un orientamento, ormai consolidato dell’Autorità, in materia di gestione delle e-mail aziendali individualizzate, cioè quelle composte da nome e/o cognome del dipendente.
Indice
Le e-mail sono tutelate dalla legge: diritto alla segretezza
Il punto centrale della decisione del Garante Privacy è chiaro. Il contenuto delle e-mail, i dati di contatto e gli eventuali allegati rientrano nella nozione di corrispondenza. E quest’ultima è protetta dal diritto alla segretezza, riconosciuto in Costituzione, nel Gdpr (Regolamento UE 2016/679) e nella normativa nazionale sulla tutela dei dati personali.
È una tutela funzionale alla salvaguardia della dignità della persona e dello sviluppo nelle relazioni sociali. Ecco perché, anche quando l’indirizzo e-mail è aziendale, questo aspetto non elimina la protezione dei dati personali del lavoratore.
Nella vicenda concreta, un amministratore delegato era stato licenziato, ma la società ex datrice di lavoro aveva mantenuto attiva la casella e-mail aziendale individualizzata e aveva continuato a ricevere i messaggi a lui indirizzati.
Come accertato dal Garante, aveva poi inoltrato automaticamente le e-mail in arrivo ad altri account aziendali e non aveva risposto alla richiesta formale dell’interessato di esercizio dei diritti, ai sensi del Gdpr. La pesante situazione si era protratta per circa due mesi, aggravando la posizione della società.
L’aspetto curioso è che l’ex amministratore delegato era riuscito a scoprire che la casella era ancora monitorata quando il suo avvocato aveva inviato per errore una comunicazione riservata al vecchio indirizzo aziendale e aveva ricevuto risposta dai legali della società.
L’episodio aveva così provato che qualcuno, nell’ex luogo di lavoro, continuava a leggere la corrispondenza in arrivo.
I diritti del lavoratore ignorati dall’azienda
Nel reclamo all’Authority, l’uomo denunciava che — dopo aver ricevuto una lettera di contestazione disciplinare a cui era seguito il licenziamento — l’azienda gli aveva negato l’accesso alla casella, rimasta attiva.
Esercitando i propri diritti, aveva così domandato alla società di disattivare l’account, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo e-mail personale e di attivare una risposta automatica per informare eventuali mittenti del nuovo indirizzo. Tutte richieste inascoltate dalla società, ma formulate correttamente ai sensi del Gdpr.
L’impresa non ha, però, dato alcun riscontro entro 30 giorni previsti dalle sue regole interne. Ciò ha rappresentato un elemento aggravante nella successiva valutazione della violazione da parte del Garante.
Per l’Authority, il comportamento dell’azienda andava punito per l’accertato accesso illecito alla corrispondenza, per la conservazione ingiustificata di e-mail anche di natura personale (anche dopo il licenziamento) e per la violazione dei principi di minimizzazione e limitazione della conservazione dei dati, di cui al Gdpr.
La sanzione da 40mila euro all’azienda
All’accertamento della responsabilità è seguita una sanzione amministrativa pecuniaria per un importo pari a 40mila euro, stabilito valutando tipologia delle violazioni, loro durata, mancato riscontro alle richieste dell’ex dipendente e assenza di precedenti violazioni della privacy da parte della società.
Oltre alla multa, il Garante ha ordinato alla società di consentire al lavoratore l’accesso al proprio account, procedendo poi alla cancellazione della casella. All’azienda è stato consentito di conservare i dati strettamente necessari alla tutela dei diritti in sede giudiziaria.
Buone pratiche organizzative per le e-mail aziendali
Il provvedimento del Garante conferma indicazioni molto precise sulla gestione degli account e-mail aziendali, quando cessa il rapporto lavorativo. In questi casi la società datrice deve attivare un risponditore automatico, che informi che la casella è in fase di disattivazione, indicando i recapiti alternativi.
Inoltre, non è consentito accedere o conservare la corrispondenza oltre un periodo congruo — solitamente alcuni mesi — e non devono essere inviati altri messaggi al di fuori del risponditore automatico.
Non solo. Non possono essere impostati inoltri automatici della posta in arrivo. E, anche in caso di contenzioso, possono essere conservate soltanto le e-mail strettamente collegate alla controversia, non tutta la casella.
Che cosa cambia per le aziende dopo la mossa del Garante
La decisione del Garante Privacy non rappresenta un caso isolato, ma si inserisce in un orientamento ormai consolidato. Anche dopo la fine del rapporto lavorativo, un’e-mail aziendale non è affatto uno spazio libero da tutele.
Se è vero che l’account è stato creato dallo stesso ufficio ed è utilizzato per finalità professionali, lo è altrettanto che la corrispondenza resta sempre protetta dal diritto alla segretezza. Le esigenze organizzative non possono giustificare un controllo prolungato e generalizzato della casella, dopo il licenziamento o le dimissioni.
Anzi, tali esigenze aziendali devono piegarsi all’adozione di procedure chiare e conformi alla normativa sulla privacy e sul lavoro.
Perciò, i datori devono definire una chiara politica di archiviazione di file, contatti e informazioni aziendali. Al contempo, devono redigere un preciso regolamento interno sull’utilizzo degli strumenti informatici, privilegiando indirizzi e-mail impersonali (ad esempio risorseumane[at]azienda.it), rispetto a quelli individualizzati.
E, per evitare possibili contestazioni, gli uffici devono altresì applicare un periodo di preavviso, per organizzare al meglio il cambiamento. Al contempo, devono programmare tempestivamente la disattivazione delle caselle di posta, al termine del contratto di un dipendente.
Concludendo, il messaggio generale ai datori di lavoro è trasparente. La gestione delle e-mail, nella fase di cessazione del rapporto, non è un dettaglio operativo, ma un campo ad alto rischio privacy. E una gestione non prudente può tradursi in sanzioni significative, come pure un non indifferente danno alla reputazione.
