News
Privacy
04 novembre 2025
Gestione della posta elettronica aziendale di un dipendente dopo la cessazione del rapporto di lavoro
Un recente provvedimento del Garante Privacy (Provvedimento n. 386 del 10 luglio 2025) ha sanzionato un ente (nello specifico, un Ateneo scolastico) per violazione dei principi contenuti nel Regolamento UE 2016/679 (GDPR) relativi alla protezione dei dati personali, a causa della conservazione eccessiva di un account di posta elettronica.
Nel caso di specie, l’ente aveva mantenuto attivo l’indirizzo e-mail personale dell’ex dipendente per quasi due anni decorrenti dalla cessazione del rapporto di lavoro.
Infatti, pur essendo bloccata la possibilità di utilizzo della casella di posta elettronica, e pur avendo resettato la password, l’ente aveva comunque conservato i messaggi in assenza di particolari esigenze e non aveva impostato un messaggio automatico di reindirizzamento.
Il Garante, quindi, ha ritenuto che: a) mantenere operativa una casella e-mail aziendale riferibile nominativamente a un ex dipendente costituisca un illecito trattamento di dati personali, non sussistendo una base giuridica (cioè, manca una motivazione prevista dalla legge); b) la sola disattivazione della password di accesso non è sufficiente: l’azienda deve disattivare la casella e-mail o trasformarla in indirizzo generico (es. info@azienda.it), informando i mittenti che il dipendente non è più in servizio (con un messaggio di risposta automatica); c) anche la mera conservazione delle e-mail può integrare trattamento illecito di dati personali, se non è proporzionata e non è motivata da obblighi di legge o particolari esigenze temporanee; d) le aziende devono garantire procedure documentate di disattivazione e cancellazione, con tracciabilità e tempistiche definite.
Per tale violazione, il Garante ha irrogato all’ente in questione una sanzione pecuniaria di € 4.000,00 (tenuto conto della collaborazione dell’ente, della non ripetitività dell’evento e dell’assenza di dolo nella condotta).
Quindi, cosa deve fare il datore di lavoro, a seguito della cessazione del rapporto di lavoro di un dipendente, per evitare di incorrere in sanzioni?
A seguito della cessazione del rapporto di lavoro di un dipendente, l’azienda dovrà adottare le seguenti misure: 1) disattivare immediatamente la casella di posta elettronica aziendale dell’ex dipendente (se l’azienda ha bisogno di recuperare qualche contenuto dell’account, ciò deve essere fatto prima della partenza del dipendente e, se possibile, in sua presenza); 2) impostare un sistema automatico di risposta, che indichi al mittente un indirizzo e-mail alternativo a cui rivolgersi (non è ammesso il “reindirizzamento automatico” delle e-mail); 3) cancellare l’account di posta elettronica entro un periodo di tempo definito e ragionevole (il Garante ha indicato un termine massimo di tre mesi dalla partenza dell’ex dipendente).
Quindi, l’adozione di queste semplici misure, a seguito della cessazione del rapporto di lavoro di un dipendente, mette al riparo l’azienda da possibili reclami e sanzioni da parte del Garante Privacy.
redatto da:
Avvocato News
Approfondisci altre notizie inerenti alla materia Privacy- Consulenza legale a società e imprese
- Società, crisi e insolvenza
- Immobili, locazioni e affitto, condominio
- Danno alla persona e responsabilità medica
- Penale
- Famiglia e persone
- Eredità e successioni
- Assicurazioni, Responsabilità civile e risarcimento
- Codice della Strada
- Lavoro
- Banche
- Contratti e recupero crediti
- Privacy