La gestione dell'account di posta elettronica aziendale a seguito della cessazione del rapporto di lavoro rappresenta, ancora oggi, uno dei profili di maggiore criticità per le imprese sotto il profilo della data protection. Con il recente Provvedimento del 18 dicembre 2025 [doc. web n. 10213574], il Garante per la Protezione dei Dati Personali ha sanzionato una società per 40.000 euro, ribadendo principi fondamentali in materia di disattivazione degli account e gestione delle istanze di accesso (DSAR) in pendenza di contenzioso giuslavoristico. Analizziamo nel dettaglio i profili giuridici della vicenda.

• Leggi qui il Provvedimento del Garante" (link esterno)

Il Caso: la "sopravvivenza" dell'account dopo il licenziamento

La vicenda trae origine dal reclamo presentato da un ex Amministratore Delegato nei confronti della precedente azienda (LTL S.p.A.). Il reclamante lamentava che, a seguito del licenziamento per giusta causa avvenuto nell'agosto 2023, la società avesse mantenuto attivo il suo account di posta elettronica "individualizzato" (es. nome.cognome@azienda.it) per oltre due mesi. Durante tale periodo, la società aveva impostato un reindirizzamento automatico (forwarding) di tutta la corrispondenza in entrata verso un altro dipendente, al fine di garantire la "continuità del business" e per esigenze difensive legate al contenzioso in corso. Inoltre, l'azienda aveva omesso di riscontrare l'istanza dell'ex dipendente volta a ottenere la disattivazione della casella e l'accesso ai dati ivi contenuti.

L'istanza di accesso (Art. 15 GDPR) e il contenzioso giuslavoristico

Un punto dirimente del provvedimento riguarda il rapporto tra l'esercizio dei diritti privacy e le cause di lavoro. La società si era difesa sostenendo di non aver risposto alla richiesta dell'interessato (DSAR) poiché formulata nel contesto di un aspro contenzioso e, a suo dire, strumentale alla strategia difensiva dell'ex dipendente. Il Garante ha rigettato tale argomentazione sancendo due principi chiave:

• Autonomia del diritto di accesso: l'esistenza di un contenzioso o di un "pre-contenzioso" non esonera il Titolare dal dover fornire riscontro all'interessato entro i termini di legge (30 giorni, ex art. 12, par. 3 GDPR).
  

• Limiti all'accesso: il diniego all'esercizio dei diritti ex artt. 15-22 GDPR può essere opposto solo nei casi tassativi previsti dall'art. 2-undecies del Codice Privacy (es. pregiudizio effettivo e concreto alle investigazioni difensive). Tuttavia, tale pregiudizio deve essere dimostrato e motivato puntualmente; non è sufficiente il generico richiamo a una controversia in atto per paralizzare i diritti dell'interessato.

La Business Continuity non giustifica il controllo massivo

email dell'ex dipendente con inoltro automatico della posta a terzi. Tale condotta viola i principi di liceità, minimizzazione e limitazione della conservazione (art. 5, par. 1, lett. a, c, e del GDPR). Il Garante ha chiarito che:

1. Natura ibrida della corrispondenza

   Anche su un account aziendale, lo scambio di email può riguardare la sfera privata e la segretezza della corrispondenza è costituzionalmente tutelata. La protezione della vita privata si estende, infatti, anche all'ambito lavorativo.

   
   

2. Misure idonee post-cessazione

   Per garantire la continuità aziendale, il Titolare deve disattivare l'account contestualmente alla cessazione del rapporto. È ammessa l'attivazione di un risponditore automatico ( auto-reply) che indichi indirizzi alternativi a cui contattare l'azienda, ma solo per un periodo limitato e senza che il Titolare acceda ai messaggi in arrivo.

   
   

3. Illegittimità del forwarding

   L'inoltro automatico delle email per due mesi configura un trattamento illecito, poiché consente al datore di lavoro di prendere conoscenza indiscriminata di comunicazioni potenzialmente personali dirette all'ex dipendente.

L'errore sui sistemi di archiviazione

L'azienda ha tentato di giustificare l'accesso alla casella email sostenendo la necessità di recuperare documenti utili all'attività d'impresa. Il Garante ha smontato tale tesi con un'osservazione tecnica lapidaria: la conservazione dei documenti aziendali deve essere garantita tramite appositi sistemi di gestione documentale (Document Management Systems), non trasformando la casella di posta elettronica in un archivio indistinto. I sistemi di posta, per loro natura, non garantiscono le caratteristiche di autenticità e reperibilità necessarie all'archiviazione aziendale.

Sanzione

Alla luce delle violazioni accertate - mancato riscontro all'istanza dell'interessato e trattamento illecito dei dati tramite l'account email post-licenziamento - il Garante ha ingiunto alla società il pagamento di una sanzione amministrativa pecuniaria pari a 40.000 euro.

Infographic generata con l'utilizzo di IA

Hai dubbi in merito? Contattaci!

Immagine di copertina

Copyright: istockphoto.com