Quando disattivare la casella e-mail di un dipendente cessato? la risposta del Garante Privacy
All’interno del provvedimento n. 364 del 23 giugno 2025, l’Autorità Garante per la protezione dei dati personali affronta ancora una volta il problema della gestione di una casella di posta elettronica individuale assegnata ad un lavoratore in seguito alla cessazione del rapporto di lavoro.
Tutto ha avuto origine da un reclamo presentato da parte di un ex dipendente che lamentava la persistenza dell’indirizzo e-mail per oltre sei mesi, nonostante le reiterate richieste di disattivazione dell’account. Nel riscontro fornito dall’organizzazione a questi veniva inoltre confermato il fatto che la posta in entrata veniva reindirizzata ad altri indirizzi di lavoro, senza alcun impiego in uscita dell’indirizzo e-mail.
Nel corso dell’attività istruttoria è stato accertato che il redirect era rimasto attivo per un periodo di circa otto mesi dopo la cessazione del rapporto di lavoro, con l’accesso da parte di un altro operatore alla casella per scaricare documenti fiscali esteri e reimpostare le credenziali di accesso a siti e piattaforme in cui era stato registrato l’account. Il tutto, in assenza di un disciplinare interno sull’uso della posta elettronica aziendale.
Nelle memorie difensive, il titolare ha motivato questa scelta principalmente evidenziando il ruolo strategico del dipendente cessato e dunque la necessità di mantenere l’account nominale per il contatto con alcuni clienti esteri ai fini di gestione della documentazione fiscale “al fine di non rischiare di perdere i contatti e/o rapporti giuridici in essere di notevole importo economico”.
L’argomentazione presentata, però, è stata valutata come inidonea a superare i profili di violazione rilevati, riconducibili ai principi di liceità, limitazione della conservazione e minimizzazione per aver mantenuto la casella attiva e del principio di correttezza per la mancata adozione di un disciplinare interno e non aver fornito così all’interessato le informazioni relative al trattamento posto in essere.
Per quanto riguarda la regola generale di disattivazione della casella e-mail del dipendente cessato, il Garante ribadisce una linea già tracciata da tempo, per cui: «in conformità ai principi in materia di protezione dei dati personali, gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili debbano essere rimossi dopo l’interruzione del rapporto di lavoro previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento», ribadendo inoltre che il reindirizzamento automatico del flusso e-mail di account cessati è un’operazione di trattamento che “consente di conoscere alcune informazioni personali relative all’interessato”.
Infine, circa il tempo di disattivazione dell’account viene indicato che questo dev’essere “ragionevole” e di conseguenza non possa essere riconducibile al solo o prevalente interesse del titolare, o necessità datoriali, bensì debba trovare un contemperamento con le legittime aspettative di riservatezza sulla corrispondenza da parte di dipendenti, collaboratori e terzi in quanto soggetti interessati. Da cui consegue, pertanto, che la disattivazione debba avvenire con riferimento ai parametri dettati dai tempi tecnici di disattivazione e chiusura della casella di posta, nonché della predisposizione dei sistemi di risposta automatica per informare gli interlocutori circa i contatti con cui corrispondere.
Nulla di nuovo, insomma. Ma conferma l’importanza di pianificare correttamente la gestione delle caselle di posta elettronica, il cui precipitato e principale evidenza è un disciplinare d’impiego a riguardo.
Altrimenti, agire mossi dalle esigenze del momento può comportare, come spesso comporta, un elevato rischio di violare la normativa applicabile in questo ambito tanto comunemente diffuso quanto sottovalutato.
