Email aziendale e licenziamento: per il Garante l’accesso indiscriminato vìola la segretezza della corrispondenza
da "REDAZIONE EPAS" del 05/02/2026
Il diritto alla protezione dei dati personali e alla segretezza della corrispondenza non viene meno con la cessazione del rapporto di lavoro. A ribadirlo è il Garante per la protezione dei dati personali nella Newsletter n. 542 del 29 gennaio 2026, sottolineando come il contenuto dei messaggi, i dati di contatto e gli allegati siano tutelati non solo dalla normativa privacy, ma anche dai principi costituzionali che salvaguardano la dignità della persona nelle sue relazioni sociali.
Il caso in esame ha portato l’Autorità a infliggere una sanzione di 40mila euro a una società che aveva gestito in modo scorretto l'account email di un ex amministratore delegato a seguito del suo licenziamento.
Il rifiuto di disabilitare l'account e la gestione impropria
La vicenda ha avuto origine dal reclamo del lavoratore il quale, dopo essere stato licenziato per motivi disciplinari, si era visto negare l'accesso alla propria casella di posta elettronica aziendale, rimasta invece attiva. Nonostante l'interessato avesse formalmente esercitato i propri diritti ai sensi del GDPR, chiedendo esplicitamente la disabilitazione dell’account, l’attivazione di una risposta automatica con i nuovi recapiti e l'inoltro dei messaggi al proprio indirizzo personale, la società aveva ignorato le istanze.
L'istruttoria condotta dal Garante ha fatto emergere una pratica definita "scorretta" sotto diversi profili. L'azienda, infatti, non solo ha mantenuto attivo l'account per oltre due mesi (superando il limite massimo di 30 giorni previsto dalle sue stesse policy interne), ma ha anche impostato un inoltro automatico di tutte le comunicazioni in entrata verso un altro account aziendale, consentendo così la lettura sistematica di corrispondenza potenzialmente personale.
Le decisioni del Garante e la quantificazione della sanzione
L'Autorità ha ravvisato una violazione della normativa sulla protezione dei dati, evidenziando come la modalità prolungata nel tempo dell'inoltro abbia determinato un accesso indebito a comunicazioni private. Di conseguenza, il Garante ha ordinato alla società di ripristinare l'accesso dell'ex lavoratore al proprio account per permettergli di recuperare i propri dati, disponendo la successiva cancellazione della casella, con l'unica eccezione della conservazione di quanto strettamente necessario per la tutela dei diritti in sede giudiziaria.
Nella determinazione della sanzione da 40mila euro, l'Autorità ha pesato diversi fattori:
- la gravità e la durata della violazione, protrattasi oltre i limiti consentiti;
- l’inerzia della società nel riscontrare le legittime richieste dell'interessato;
- l'assenza di precedenti violazioni contestate alla società, elemento che ha evitato una sanzione ancora più aspra.
Questo provvedimento funge da monito per tutte le imprese, chiarendo che le procedure di "offboarding" dei dipendenti devono essere progettate nel rispetto della privacy, privilegiando l'attivazione di messaggi automatici di cortesia rispetto a sistemi di inoltro che intercettano messaggi diretti a persone non più in organico.
Qual è la procedura corretta per le aziende?
Al momento del distacco, l'azienda dovrebbe concordare con il lavoratore la chiusura dell'account e l'inserimento di un risponditore automatico neutro (es. "Il dipendente non lavora più presso questa azienda, si prega di scrivere a..."), evitando di mantenere un accesso occulto o indiscriminato alla casella.
