Mail aziendale e accesso post licenziamento: interviene il Garante

Con il provvedimento n. 754 del 18 dicembre 2025, il Garante per la protezione dei dati personali è tornato a occuparsi della gestione della posta elettronica aziendale  individuale  dopo la cessazione del rapporto di lavoro. Il caso esaminato riguarda un rapporto di lavoro apicale e pone l’attenzione su due profili abbastanza ricorrenti: 

• il mancato riscontro a una richiesta di esercizio dei diritti privacy e
•  il mantenimento attivo dell’account email aziendale dopo il licenziamento del dipendente.

Il Garante ha analizzato la vicenda applicando le regole del Regolamento (UE) 2016/679 e della normativa nazionale di adeguamento, soffermandosi in particolare sulla natura dei dati trattati attraverso la posta elettronica individuale e sulle modalità corrette di gestione degli account al termine del rapporto. 

Il provvedimento si conclude con la dichiarazione di illiceità del trattamento e con l’applicazione di una sanzione  pecuniaria. Vediamo piu in dettaglio nei paragrafi seguenti.

Il caso: account posta attivo dopo il recesso e mancato riscontro al dipendente

La vicenda prende avvio dalla sospensione cautelare e dal successivo licenziamento di un dirigente. 

 Dopo la cessazione del rapporto, l’account di posta elettronica aziendale che utilizzava risultava ancora attivo e continuava a ricevere comunicazioni, comprese email rilevanti per la gestione del contenzioso in corso.

L’interessato, accortosi che la casella non era stata disattivata, aveva presentato una richiesta formale per ottenere la disattivazione dell’account, l’accesso alla corrispondenza ricevuta nel frattempo e l’attivazione di un sistema di risposta automatica che informasse i terzi dell’avvenuta cessazione del rapporto, indicando un recapito alternativo. Tale richiesta, però, non aveva ricevuto alcun riscontro nei termini previsti.

La società datrice di lavoro aveva ritenuto che la comunicazione fosse collegata esclusivamente alla controversia giuslavoristica già in atto e aveva quindi deciso di rispondere in sede giudiziale. Nel frattempo, l’account di posta elettronica era stato mantenuto attivo per circa due mesi dopo il licenziamento, con inoltro automatico delle email verso altri indirizzi aziendali, in base a una procedura interna che prevedeva tempi più lunghi di gestione per le posizioni apicali.

Nel corso dell’istruttoria, la società ha sostenuto di aver agito per garantire la continuità dell’attività aziendale e per tutelare le proprie esigenze difensive, dichiarando di non aver svolto attività di controllo durante il rapporto di lavoro e di essersi attenuta al regolamento IT interno.

 Il reclamo includeva anche rilievi sull’uso di una sim aziendale, che tuttavia non sono stati ritenuti rilevanti ai fini della decisione.

Le violazioni accertate dal Garante privacy

All’esito dell’istruttoria, il Garante ha ritenuto fondate le contestazioni relative alla violazione dei diritti dell’interessato e ai principi generali del trattamento dei dati personali.

In primo luogo, è stato accertato il mancato riscontro alla richiesta di accesso ai dati personali entro il termine previsto dalla normativa. L’Autorità ha chiarito che il diritto di accesso può essere esercitato senza particolari formalità e che il titolare del trattamento è comunque tenuto a fornire una risposta, anche quando ritenga di non poter accogliere integralmente la richiesta.

Secondo il Garante, la circostanza che fosse in corso un contenzioso giuslavoristico non giustificava l’assenza di riscontro, né il rinvio della risposta a una fase successiva del giudizio. È stato inoltre escluso che potesse applicarsi una limitazione generalizzata del diritto di accesso per esigenze difensive, in assenza di una dimostrazione concreta del pregiudizio che ne sarebbe derivato.

Quanto alla gestione della casella di posta elettronica dopo la cessazione del rapporto, l’Autorità ha rilevato che il mantenimento attivo dell’account individuale e l’inoltro automatico della corrispondenza verso altri indirizzi aziendali hanno comportato un trattamento di dati personali non conforme ai principi di liceità, minimizzazione e limitazione della conservazione. In particolare, il Garante ha osservato che le esigenze di continuità organizzativa possono essere soddisfatte con strumenti diversi, come i messaggi automatici di risposta e la riassegnazione dei contatti, senza accedere o conservare indiscriminatamente le email in arrivo.

Alla luce di tali elementi, il trattamento è stato dichiarato illecito. Il Garante ha quindi  ordinato alla società di consentire l’accesso alla corrispondenza richiesta dall’interessato e di procedere alla cancellazione dei dati non più necessari, fatta salva la conservazione limitata a fini di tutela in sede giudiziaria.

 È stata infine applicata una sanzione amministrativa pecuniaria pari a 40.000 euro, determinata in base alle circostanze del caso concreto.