Gestione email aziendali: la privacy si difende anche quando un account non esiste più
Le imprese investono su firewall e crittografia credendo di blindare la sicurezza digitale. Poi capita che un account email di un ex dipendente rimanga attivo per mesi, o anni, pieno di messaggi che nessuno controlla.
Minuscolo dettaglio? Assolutamente no. Il Garante per la protezione dei dati personali ha chiarito che quella semplice e silenziosa permanenza può trasformarsi in una violazione grave della privacy. Una notizia che ogni azienda dovrebbe tenere sul desktop, non nel cestino.
Anche la sola conservazione eccessiva delle email può violare la privacy in ambito lavorativo
La gestione degli account di posta elettronica aziendali non è una questione puramente tecnica, ma coinvolge diritti costituzionali e limiti normativi molto precisi legati alla tutela della corrispondenza e ai principi del GDPR su necessità, proporzionalità e tempi di conservazione.
Un recente intervento del Garante per la protezione dei dati personali (Provv. n. 386 del 10 luglio 2025) offre un chiarimento particolarmente utile.
Di seguito riporteremo un esempio che potrebbe far capire nello specifico come questa problematica potrebbe verificarsi.
Il Caso:
Il caso riguardava un docente universitario che, una volta cessato il rapporto con l’Ateneo, aveva perso l’accesso alla propria casella istituzionale. L’università, però, non aveva provveduto alla sua cancellazione, mantenendo attiva la ricezione dei messaggi per circa due anni e conservando tutta la corrispondenza pregressa senza un motivo documentato.
Il Garante ha sottolineato che trattenere le email oltre il necessario configura un trattamento illecito, anche in assenza di accessi o letture non autorizzate. Violare il principio di limitazione della conservazione significa già compromettere la riservatezza della corrispondenza e i diritti sia dell’ex dipendente sia dei mittenti ignari dell’inattività dell’indirizzo.
Trasparenza e archiviazione: regole da rispettare
I documenti che devono essere conservati vanno protocollati negli archivi ufficiali. Tutto il resto deve essere eliminato.
Allo stesso modo, la trasparenza amministrativa non giustifica la pubblicazione di qualsiasi atto online. Caricare documenti interni e non previsti dalla normativa rischia di diffondere dati personali senza necessità e con gravi impatti sulla reputazione degli interessati. La questione si estende anche ai metadati: tempi di connessione, oggetto dei messaggi, mittenti e destinatari, log di accesso. Secondo le indicazioni dell’Autorità, 21 giorni rappresentano un orizzonte ragionevole di conservazione salvo esigenze motivate e documentate, nel rispetto delle garanzie contro i controlli a distanza sui lavoratori.
Serve dunque una progettazione dei sistemi conforme ai principi by design e by default, coinvolgendo attivamente anche i fornitori di servizi email.
Indicazioni pratiche per organizzazioni e imprese
Chi gestisce account email aziendali dovrebbe:
- disattivare rapidamente le caselle nominali quando termina il rapporto di lavoro
- inviare per un periodo limitato un messaggio automatico con i contatti istituzionali aggiornati
- evitare inoltri verso indirizzi personali
- eliminare i messaggi non necessari e archiviare solo quelli che devono confluire in protocollo
- definire e documentare le policy di retention e cancellazione
- limitare log e metadati al minimo indispensabile
- assicurare risposte puntuali agli interessati
- verificare che i fornitori supportino cancellazioni tracciate e configurazioni conformi
Una lezione di accountability quotidiana
La sicurezza dei dati non si gioca solo su grandi progetti di cybersecurity, ma nella gestione ordinaria di strumenti semplicissimi e inevitabili come la posta elettronica. Anche la conservazione “silenziosa” può trasformarsi in una violazione della privacy se manca una finalità legittima e trasparente.
Il messaggio del Garante è cristallino: la conformità nasce da organizzazione, regole applicate con coerenza e collaborazione tra DPO, ICT, legale e fornitori. Proteggere la corrispondenza significa proteggere la fiducia.
📌 Fonte Ufficiale originale: articolo pubblicato il 23 ottobre 2025 su FederPrivacy di Pasquale Mancino riguardante il Provvedimento n. 386/2025 del Garante per la protezione dei dati personali.