Temi
 

Email aziendale e cessazione del rapporto: il Garante ribadisce le regole

Con il provvedimento n. 364/2025, l’Autorità Garante per la protezione dei dati personali torna a chiarire gli obblighi dei datori di lavoro sulla gestione degli account e-mail dei dipendenti cessati.
10/10/2025

Con il provvedimento n. 364/2025, il Garante per la protezione dei dati personali è tornato a esaminare la corretta gestione degli account e-mail aziendali assegnati ai lavoratori, una volta cessato il rapporto di lavoro.

 

Il caso riguardava un ex dipendente che lamentava il mancato oscuramento del proprio indirizzo aziendale, rimasto attivo nonostante le ripetute richieste di disattivazione. Dall’istruttoria è emerso che il reindirizzamento automatico della casella era stato mantenuto per circa otto mesi dopo la cessazione del rapporto, con accessi da parte di altro personale per scaricare documenti fiscali esteri e reimpostare credenziali di piattaforme collegate all’account, in assenza di un disciplinare interno sull’uso della posta elettronica aziendale.

Il titolare del trattamento ha giustificato la scelta con la natura strategica del ruolo del lavoratore e la necessità di garantire la continuità dei contatti con clienti esteri per motivi fiscali e commerciali. Tuttavia, tali argomentazioni non sono state ritenute idonee a giustificare il prolungato mantenimento dell’account attivo.

 

L’Autorità ha riscontrato una violazione dei principi di liceità, correttezza, minimizzazione e limitazione della conservazione dei dati, nonché l’inosservanza dell’obbligo informativo verso l’interessato. Secondo il Garante, l’assenza di regole interne e di misure di disattivazione tempestiva espone l’azienda a violazioni gravi della normativa in materia di protezione dei dati.

 

Il provvedimento ribadisce la linea già tracciata in precedenza: gli account aziendali riconducibili a persone identificate o identificabili devono essere rimossi dopo la cessazione del rapporto, previa disattivazione e contestuale attivazione di un messaggio automatico che informi i terzi della cessazione del rapporto e indichi un indirizzo alternativo riferito all’attività del titolare del trattamento.

Particolare attenzione deve essere riservata ai sistemi di reindirizzamento, poiché l’inoltro automatico delle e-mail di un ex dipendente costituisce un trattamento di dati personali che può rivelare informazioni riservate. Ogni attività di questo tipo deve pertanto rispettare il Regolamento (UE) 2016/679 (GDPR) e basarsi su una valida base giuridica o sul consenso dell’interessato.

 

Infine, il Garante precisa che il tempo di disattivazione deve essere ragionevole, tenendo conto dei tempi tecnici necessari per la chiusura dell’account e l’attivazione delle risposte automatiche, nel rispetto dell’equilibrio tra le esigenze organizzative del datore di lavoro e il diritto del dipendente alla riservatezza della propria corrispondenza.
 
 




 
Questo sito non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n.62 del 2001. Il sito non ha fini di lucro e le immagini pubblicate sono prevalentemente tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo a amministrazione@tosieassociati.it. Saranno immediatamente rimosse.