26 Marzo 2026
Con il Provvedimento n. 754 del 18 dicembre 2025 il Garante per la protezione dei dati personali ha affrontato un tema di particolare rilevanza giuridica e operativa: la gestione dell’account di posta elettronica aziendale di un lavoratore dopo la cessazione del rapporto di lavoro e le conseguenze che derivano dall’accesso e dalla conservazione delle relative comunicazioni.
La vicenda che ha dato origine al provvedimento riguarda un amministratore delegato che, successivamente al licenziamento per giusta causa, aveva formulato istanza ai sensi dell’art. 15 del Regolamento (UE) 2016/679 (GDPR) al fine di ottenere la disattivazione della casella di posta elettronica aziendale, il trasferimento all’indirizzo personale delle comunicazioni ricevute sulla casella aziendale dopo il licenziamento e l’attivazione di un messaggio di risposta automatica. L’istanza, notificata correttamente, è rimasta inevasa e, nel frattempo, l’azienda ha mantenuto attivo l’account e ha gestito le e-mail in entrata inoltrandole ad altri indirizzi aziendali per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.
Elemento centrale della vicenda, che assume rilievo sistematico nel ragionamento dell’Autorità, è che al momento della richiesta era già in essere un contesto di precontenzioso tra le parti, sfociato successivamente in un giudizio ordinario di lavoro dinanzi al Tribunale competente. La società ha sostenuto di avere ritenuto l’istanza privacy assorbita nella più ampia controversia giuslavoristica e di potere fornire riscontro in sede giudiziale. Il Garante ha espressamente escluso che la pendenza o l’instaurazione di un giudizio di lavoro possa sospendere o neutralizzare l’autonomo obbligo del titolare del trattamento di rispondere nei termini di cui all’art. 12, par. 3, GDPR.
La posta elettronica aziendale come forma di “corrispondenza”
Il Garante ha ribadito un principio ormai consolidato nella propria prassi: il contenuto delle e-mail, i metadati della comunicazione e i file allegati sono da considerarsi forme di “corrispondenza”, il cui nucleo informativo è assistito da garanzie di segretezza non soltanto sotto il profilo costituzionale (art. 15 Cost.), ma anche da quello europeo in materia di protezione dei dati personali.
Questa qualificazione non può essere elusa con richiamo generico alla titolarità aziendale della casella. La Corte europea dei diritti dell’uomo, richiamata esplicitamente dall’Autorità, ha affermato che la distinzione tra sfera privata e professionale non sempre è netta e che la protezione della vita privata si estende anche ad elementi di corrispondenza generati nel contesto lavorativo.
L’Autorità ha altresì respinto l’argomento difensivo secondo cui l’accesso ex art. 15 GDPR potesse riguardare esclusivamente le e-mail “personali”, escludendo quelle di contenuto lavorativo in quanto “di proprietà aziendale”. Il diritto di accesso concerne i dati personali riferibili all’interessato, a prescindere dalla qualificazione proprietaria del mezzo utilizzato.
La cessazione del rapporto e i “poteri residuali” dell’azienda
Il punto chiave del Provvedimento è che la cessazione del rapporto di lavoro non attribuisce al datore di lavoro un potere di accedere, visualizzare e conservare le comunicazioni elettroniche che transitano attraverso l’account precedentemente assegnato al dipendente.
Il mantenimento dell’account attivo e la sua gestione prolungata – concretizzatasi, nel caso in esame, in un inoltro automatico delle e-mail ad altri indirizzi aziendali – hanno integrato un trattamento di dati personali non conforme ai principi di liceità, necessità, proporzionalità e limitazione della conservazione di cui all’art. 5 GDPR.
Particolarmente significativa è la valutazione dell’Autorità in ordine al richiamo, operato dalla società, all’art. 2-undecies del Codice Privacy (limitazioni all’esercizio dei diritti in caso di pregiudizio effettivo e concreto alla difesa in giudizio). Il Garante ha ritenuto che non fosse dimostrato alcun pregiudizio attuale e specifico derivante dall’accesso del lavoratore alla propria corrispondenza, precisando inoltre che, anche in presenza dei presupposti limitativi, il titolare avrebbe dovuto fornire all’interessato una comunicazione motivata e tempestiva circa il differimento o il diniego dell’accesso.
L’Autorità ha quindi qualificato tale condotta come trattamento illecito, in quanto eseguito senza un’adeguata base giuridica e oltre i limiti temporali e operativi ragionevolmente richiesti dalla finalità legittima di assicurare la continuità della gestione aziendale.
Il provvedimento ribadisce che l’esigenza di continuità del business deve essere soddisfatta mediante sistemi organizzativi di gestione documentale e non attraverso il protratto utilizzo della casella individuale del lavoratore cessato, che per sua natura costituisce uno strumento di comunicazione personale e non un archivio strutturato conforme ai requisiti di autenticità, integrità e reperibilità propri dei sistemi documentali aziendali.
Una disciplina interna non può sostituire i principi normativi
Nel corso dell’istruttoria è emerso che l’azienda aveva fatto riferimento al proprio regolamento interno IT per giustificare le scelte operative adottate. Il Garante ha osservato che, sebbene le policy interne siano essenziali per disciplinare l’uso degli strumenti aziendali, esse non possono derogare ai principi del Regolamento europeo o alle garanzie costituzionali.
È stato inoltre evidenziato che la procedura interna prevedeva termini di disattivazione (30 giorni, prorogabili in taluni casi) che, nel caso concreto, non sono stati rispettati, con conseguente ulteriore scostamento dai principi di limitazione della conservazione e minimizzazione dei dati.
Il mancato riscontro entro i termini di legge all’istanza dell’interessato ha costituito un’ulteriore violazione dell’art. 12 GDPR, rafforzando la legittimità dell’azione correttiva dell’Autorità.
Il Garante ha ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.
Nell’infliggere la sanzione di 40 mila euro alla società in questione, il Garante ha preso in considerazione la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.
Significato operativo per le imprese
La pronuncia del Garante assume un particolare rilievo operativo per imprese, HR e consulenti legali. Diversamente da un approccio meramente tecnico o procedurale, l’Autorità richiama all’adozione di:
- Regole interne conformi ai principi di protezione dei dati;
- Previsioni che limitino nel tempo e nello spazio eventuali trattamenti post cessazione;
- Misure che consentano al dipendente licenziato l’accesso al contenuto della corrispondenza pervenuta sull’account di posta elettronica aziendale, di tipo individualizzato, utilizzato nel corso del rapporto di lavoro;
- Processi di disattivazione tempestiva delle utenze e di risposta automatica informativa per i mittenti esterni;
- Procedure interne di gestione delle richieste di esercizio dei diritti che garantiscano riscontro autonomo e tempestivo anche in presenza di contenziosi pendenti, evitando indebite sovrapposizioni tra piano giuslavoristico e piano privacy.
Si tratta di un richiamo autorevole alla necessità di contemperare esigenze aziendali e diritti fondamentali. La posta elettronica aziendale non può essere trattata come mero “bene organizzativo” una volta estinto il rapporto di lavoro, perché veicola dati personali e comunicazioni protette. La protezione dei dati personali non si estingue al momento del licenziamento e ogni trattamento successivo richiede una rigorosa verifica di legittimità in termini di finalità, proporzionalità e adeguatezza alle norme di protezione dei dati.
Seguici su LinkedIn