Email aziendale attiva dopo il licenziamento? Sanzioni dal Garante Privacy

---

Condividi l'articolo:

---

Con il provvedimento n. 754 del 18 dicembre 2025 (newsletter del Garante n. 542 del 29 gennaio 2026), il Garante per la protezione dei dati personali è tornato a pronunciarsi sul tema della gestione degli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro, ribadendo principi ormai consolidati in materia di segretezza della corrispondenza, diritti dell’interessato e limiti ai poteri del datore di lavoro.

Il caso è di particolare rilevanza anche per il ruolo apicale ricoperto dall’interessato (amministratore delegato).

Email aziendale, accesso dopo il licenziamento

Caso e reclamo

Il procedimento trae origine dal reclamo al Garante presentato da un ex amministratore delegato nei confronti della società datrice di lavoro, a seguito del licenziamento per giusta causa e della conseguente inibizione dell’accesso alla propria casella di posta elettronica aziendale, rimasta tuttavia attiva dopo la cessazione del rapporto.

L’interessato lamentava che, nonostante l’interruzione del rapporto di lavoro, l’azienda continuasse a ricevere le comunicazioni indirizzate al suo account e, addirittura, a inoltrarle verso altri indirizzi aziendali, senza disattivare l’account, senza attivare un sistema di risposta automatica e senza consentirgli l’accesso alla corrispondenza pervenuta nel frattempo.

Nello stesso reclamo, veniva anche lamentato l’accesso illecito al profilo personale Instagram associato alla sua utenza sim.

A fronte di tale situazione, il lavoratore esercitava formalmente i propri diritti ai sensi degli articoli 15 e seguenti del GDPR, chiedendo:

• la disattivazione dell’account;
• l’accesso alle email ricevute dopo il licenziamento;
• l’attivazione di un messaggio automatico per informare i terzi del nuovo indirizzo di contatto.

La richiesta, tuttavia, rimaneva priva di riscontro nei termini previsti dall’art. 12, par. 3, del Regolamento.

Posizione della società

A seguito della richiesta di informazioni del Garante, la società rispondeva sostenendo che:

• la richiesta del reclamante si inseriva nel contesto del contenzioso giuslavoristico e non fosse immediatamente riconoscibile come istanza direttamente riconducibile all’esercizio del diritto previsto dal GDPR;
• con riferimento alle tempistiche di disattivazione, l’account email era stato gestito secondo il Regolamento IT aziendale per l’utilizzo della strumentazione informatica aziendale e della rete internet, con inoltro delle email per esigenze di continuità operativa;
• la conservazione della posta era giustificata da esigenze difensive;
• al reclamante era stato consentito di gestire eventuali dati personali presenti sugli strumenti aziendali, restituendogli il cellulare per la cancellazione dei dati e la disconnessione degli account personali, ma non aveva avanzato analoga richiesta con riferimento al computer aziendale né all’account di posta elettronica.
• la società si dichiarava comunque disponibile a consentire l’accesso ai dati ai sensi dell’art. 15 GDPR.

Veniva inoltre precisato che la SIM era intestata alla società e regolata dal disciplinare interno. A supporto, la società produceva il Regolamento IT, che prevedeva la disattivazione dell’account entro 30 giorni e la successiva cancellazione, con possibilità di conservare i messaggi ritenuti rilevanti.

Il reclamante ribadiva integralmente le proprie doglianze e le richieste già formulate.

Avvio del procedimento sanzionatorio e difese della Società

Alla luce delle risultanze istruttorie, l’Ufficio del Garante ha individuato profili di violazione con riferimento al mancato riscontro all’istanza di esercizio dei diritti e alla gestione della casella di posta elettronica aziendale dopo la cessazione del rapporto di lavoro.

Non sono invece emerse violazioni in relazione all’utilizzo dell’applicativo Instagram collegato alla SIM aziendale, in quanto la titolarità dell’utenza telefonica risultava in capo alla Società sulla base del contratto con l’operatore.

È stato inoltre accertato che il cellulare aziendale era stato restituito al reclamante, consentendogli di cancellare i dati personali e scollegare eventuali account, in conformità al Regolamento IT interno.

Il Garante privacy ha quindi notificato alla Società l’atto di avvio del procedimento sanzionatorio per la violazione degli artt. 5, par. 1, lett. a), c) ed e), 12, par. 3, e 15 del GDPR.

Nelle memorie difensive, la Società ha sostenuto che:

• il mancato riscontro all’istanza di accesso era dovuto a un fraintendimento, determinato dal contesto giuslavoristico, dalla formulazione della richiesta e dalla propria inesperienza in materia di istanze privacy;
• la gestione e la conservazione della posta elettronica dopo il licenziamento erano giustificate da esigenze di continuità aziendale e di difesa in giudizio;
• l’account email era stato gestito nel rispetto delle tempistiche previste dal Regolamento IT aziendale, con inoltro delle comunicazioni verso altri indirizzi aziendali;
• durante il rapporto di lavoro non era stato effettuato alcun controllo sull’account del reclamante;
• il reclamante aveva potuto gestire i propri dati personali sugli strumenti aziendali, limitatamente al cellulare.

La Società si dichiarava comunque disponibile a consentire l’accesso ai dati presenti sull’account email, secondo le modalità previste dall’art. 15 GDPR.

Valutazioni del Garante

All’esito dell’istruttoria, il Garante ha accertato plurime violazioni della normativa in materia di protezione dei dati personali.

In primo luogo, è stata riconosciuta la violazione del diritto di accesso dell’interessato (art. 15 GDPR), nonché dell’obbligo del titolare del trattamento di fornire riscontro tempestivo alle richieste degli interessati (art. 12 GDPR).

L’Autorità ha chiarito che il GDPR non impone requisiti formali alle richieste di esercizio dei diritti e che, nel caso di specie, l’istanza era inequivocabilmente riconducibile alla disciplina privacy, non potendo essere confusa con la parallela controversia giuslavoristica.

Il Garante ha escluso che il mancato riscontro potesse essere giustificato dalla pretesa buona fede della Società, ribadendo che il titolare del trattamento è tenuto a rispondere “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”, anche solo per comunicare le ragioni dell’eventuale diniego o ritardo. Una risposta resa in sede giudiziale oltre tale termine non è conforme all’art. 12 GDPR. In ogni caso, l’istanza dell’interessato risulta inevasa.

È stata inoltre respinta l’argomentazione difensiva della società secondo cui l’accesso avrebbe dovuto riguardare esclusivamente le email di natura “personale”, ritenendo invece che anche la corrispondenza professionale rientri nella nozione di “corrispondenza” tutelata, in quanto espressione della personalità dell’individuo nelle relazioni sociali

A tal fine, il Garante ha richiamato il consolidato orientamento della Corte europea dei diritti dell’uomo, secondo cui la tutela della vita privata si estende anche all’ambito lavorativo, poiché proprio nello svolgimento dell’attività professionale si sviluppano relazioni nelle quali si esplica la personalità del lavoratore. Considerata, inoltre, la difficoltà di tracciare una linea di confine netta tra sfera privata e sfera professionale, la Corte ha ritenuto applicabile anche in ambito lavorativo l’art. 8 CEDU, senza distinguere tra comunicazioni personali e professionali (tra le altre, Niemietz c. Germania, Copland c. Regno Unito, Bărbulescu c. Romania, Antović e Mirković c. Montenegro).

In coerenza con tale orientamento, il Garante ha richiamato le proprie Linee guida per posta elettronica e internet del 1° marzo 2007, nelle quali si afferma che lo scambio di corrispondenza elettronica, estranea o meno all’attività lavorativa, tramite un account aziendale di tipo individualizzato consente comunque di conoscere informazioni personali riferibili all’interessato. Il contenuto delle email, i dati esteriori delle comunicazioni e gli eventuali allegati costituiscono forme di corrispondenza assistite da garanzie di segretezza di rango costituzionale, poste a tutela della dignità della persona e del pieno sviluppo della personalità nelle formazioni sociali.

Alla luce di tali principi, il Garante ha ritenuto illegittimo il limite imposto dalla Società, non previsto da alcuna disposizione del GDPR, volto a circoscrivere l’accesso alle sole comunicazioni di natura personale.

Poiché l’istanza riguardava email ricevute su un account di tipo individualizzato dopo la cessazione del rapporto di lavoro, la condotta della Società integra una violazione dell’art. 15, par. 1, del Regolamento, che riconosce all’interessato il diritto di ottenere l’accesso ai dati personali che lo riguardano, nonché, per le ragioni già esposte, dell’art. 12, par. 3, del GDPR.

Gestione dell’account dopo la cessazione del rapporto

Particolarmente rilevante è la censura relativa alla gestione dell’account di posta elettronica dopo il licenziamento.

La società aveva mantenuto attivo l’account per circa due mesi, inoltrando automaticamente i messaggi in entrata verso altri indirizzi aziendali, invocando esigenze di continuità del business e di difesa in giudizio. Tale operazione, secondo quanto dichiarato dalla Società, sarebbe avvenuta in conformità alla procedura aziendale descritta nel disciplinare interno.

Secondo il Garante, tale condotta ha comportato un trattamento illecito di dati personali, in violazione dei principi di liceità, minimizzazione dei dati, limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) GDPR).

L’Autorità ha ribadito che le esigenze organizzative e di continuità aziendale devono essere soddisfatte mediante strumenti diversi dalla consultazione della posta elettronica individuale, come sistemi di archiviazione documentale, e che la corretta gestione post-cessazione prevede:

• la disattivazione dell’account;
• l’attivazione di risposte automatiche ai terzi;
• l’adozione di misure tecniche idonee a impedire l’accesso al contenuto delle email.

Le misure adottate e la sanzione

Alla luce delle violazioni accertate, il Garante ha:

• dichiarato l’illiceità del trattamento;
• ordinato alla società di consentire all’interessato l’accesso alla corrispondenza ricevuta;
• disposto la cancellazione dei contenuti, salvo quanto strettamente necessario per la tutela dei diritti in sede giudiziaria;
• irrogato una sanzione amministrativa pecuniaria di 40.000 euro.

Nel determinare l’importo, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, del mancato riscontro ai diritti dell’interessato e delle condizioni economiche della società, pur valorizzando l’assenza di precedenti specifici.