Quando disattivare la casella e-mail di un dipendente cessato? la risposta del Garante Privacy
Il provvedimento n. 364 del 23 giugno 2025 dell’Autorità Garante per la protezione dei dati personali torna a occuparsi di un tema particolarmente rilevante per le aziende: la gestione delle caselle di posta elettronica dei dipendenti dopo la cessazione del rapporto di lavoro.
Come sottolineato da FederPrivacy nell’articolo di Stefano Gazzella, la corretta gestione di questi account è fondamentale per rispettare i principi di protezione dei dati e per evitare rischi normativi.
Il caso affrontato dal Garante è nato da un reclamo di un ex dipendente, che lamentava la persistenza della sua casella di posta per oltre sei mesi nonostante le richieste di disattivazione. L’azienda aveva confermato che la posta in arrivo veniva reindirizzata ad altri indirizzi aziendali, senza utilizzo in uscita, ma senza un regolamento interno che disciplinasse tali operazioni.
L’istruttoria ha evidenziato che il reindirizzamento era rimasto attivo per circa otto mesi e che un altro operatore aveva avuto accesso alla casella per scaricare documenti fiscali esteri e reimpostare credenziali di accesso a siti e piattaforme. La mancanza di un disciplinare interno sull’uso delle e-mail aziendali ha aggravato la posizione dell’azienda.
Nelle difese presentate, il titolare aveva giustificato il mantenimento dell’account sottolineando il ruolo strategico del dipendente cessato e la necessità di gestire contatti e documentazione con alcuni clienti esteri, per non compromettere rapporti economici rilevanti. Tuttavia, il Garante ha ritenuto l’argomentazione insufficiente a giustificare le violazioni riscontrate, legate ai principi di liceità, limitazione della conservazione e correttezza, oltre alla mancata informativa all’interessato sul trattamento dei suoi dati.
Il Garante ribadisce la regola generale: gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili devono essere disattivati dopo la cessazione del rapporto di lavoro, con contestuale predisposizione di sistemi automatici che informino i terzi e forniscano contatti alternativi riferiti all’attività professionale del titolare del trattamento. Il reindirizzamento delle e-mail costituisce infatti un trattamento di dati personali e deve essere gestito con attenzione.
Sulla tempistica della disattivazione, il provvedimento chiarisce che deve essere “ragionevole” e contemperare le esigenze aziendali con le legittime aspettative di riservatezza dei dipendenti, ex dipendenti e terzi.
La chiusura della casella e l’attivazione di risposte automatiche devono rispettare i tempi tecnici necessari, senza prevalere sul diritto alla privacy dell’interessato.
In conclusione, un forte richiamo all’importanza di pianificare correttamente la gestione delle caselle di posta elettronica aziendali. La predisposizione di un disciplinare interno chiaro ed esaustivo permette di ridurre i rischi di violazione della normativa, evitando interventi “improvvisati” dettati dalle esigenze del momento.
📌 Fonte originale: Articolo di Stefano Gazzella, FederPrivacy.