Con recente provvedimento del 23 giugno 2025, il Garante per la protezione dei dati personali ha affrontato un caso relativo alla gestione dell’e-mail aziendale assegnata a un dipendente dopo la cessazione del rapporto di lavoro, soffermandosi in particolare sulla persistente attivazione dell’account di posta elettronica e sulle modalità attraverso cui il datore di lavoro aveva garantito la continuità operativa dell’organizzazione.
L’intervento dell’Autorità si inserisce in un quadro ormai consolidato di attenzione verso l’utilizzo degli strumenti informatici in ambito lavorativo e offre l’occasione per tornare a riflettere sui delicati profili privacy connessi alla disattivazione dell’e-mail aziendale dell’ex dipendente.
Come noto, l’e-mail aziendale è il fulcro dell’attività lavorativa d’ufficio e rappresenta il canale attraverso il quale transitano dati personali del lavoratore e di terzi, talvolta anche di natura sensibile, con la conseguenza che il suo utilizzo e la sua gestione devono avvenire nel rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali.
Tale esigenza di tutela si manifesta con particolare intensità nel momento in cui il rapporto di lavoro viene meno, poiché la prosecuzione, anche solo formale, del trattamento dei dati mediante il mantenimento attivo dell’account può determinare indebite interferenze nella sfera privata dell’interessato.
La cessazione del rapporto di lavoro impone dunque una valutazione attenta delle modalità di disattivazione dell’e-mail aziendale, dei tempi entro i quali tale operazione deve essere effettuata e delle soluzioni tecniche legittimamente adottabili per evitare disfunzioni organizzative.
L’obiettivo del presente contributo è quello di esaminare il punto di vista del Garante della privacy sulla gestione dell’e-mail aziendale nella fase conclusiva del rapporto di lavoro, al fine di fornire ai lettori un inquadramento sistematico delle prassi più conformi ai principi di liceità, correttezza e minimizzazione del trattamento dei dati personali.
La natura giuridica dell’e-mail aziendale tra organizzazione datoriale e tutela della riservatezza
L’account e-mail aziendale si colloca in un’area di confine tra le prerogative organizzative del datore di lavoro e la tutela dei diritti fondamentali del lavoratore, in primis il diritto alla riservatezza e alla segretezza della corrispondenza.
Invero, la e-mail aziendale, pur essendo uno strumento messo a disposizione dall’organizzazione per finalità strettamente connesse all’esecuzione della prestazione lavorativa, è normalmente intestata a una persona fisica identificata o identificabile e, come tale, idonea a veicolare dati personali riferibili sia al lavoratore sia a soggetti terzi che interagiscono con l’impresa. Tale circostanza impone di escludere una lettura meramente proprietaria dello strumento, che lo riconduca in via esclusiva alla sfera di disponibilità del datore di lavoro.
Sotto il profilo costituzionale e sovranazionale, la corrispondenza elettronica rientra nell’ambito delle comunicazioni assistite da garanzie di segretezza, a prescindere dalla natura pubblica o privata del contesto in cui esse si inseriscono. Ne consegue che l’e-mail aziendale, anche quando utilizzata per finalità professionali, non può essere considerata un canale neutro o privo di tutela, né può essere oggetto di accessi, controlli o trattamenti indiscriminati.
Il Garante per la protezione dei dati personali ha più volte chiarito che la gestione dell’e-mail aziendale deve fondarsi su un corretto bilanciamento tra le esigenze organizzative dell’impresa e la protezione dei dati personali, bilanciamento che diviene particolarmente delicato nella fase di cessazione del rapporto di lavoro. In tale momento, infatti, il venir meno del titolo giuridico che legittima l’utilizzo individuale dell’account impone una riconsiderazione delle modalità di trattamento, al fine di evitare che l’account di posta divenga uno strumento di indebita interferenza nella sfera personale dell’ex dipendente.
E-mail aziendale e cessazione del rapporto. Il punto di vista del Garante nel provvedimento del 23 giugno 2025
Con il provvedimento del 23 giugno 2025 il Garante per la protezione dei dati personali è intervenuto in un caso in cui l’e-mail aziendale assegnata a una lavoratrice era rimasta attiva per un periodo significativo dopo l’interruzione del rapporto, ed era stata oggetto di reindirizzamento automatico verso altri account aziendali, al fine dichiarato di non disperdere i contatti e i flussi informativi connessi all’attività d’impresa. Tale prassi è stata ritenuta non conforme alla disciplina in materia di protezione dei dati personali.
Nel motivare la propria decisione, il Garante ha ribadito che l’e-mail aziendale riconducibile a una persona identificata o identificabile costituisce a tutti gli effetti uno strumento di trattamento di dati personali, la cui gestione deve cessare, in termini di utilizzo individuale, contestualmente alla cessazione del rapporto di lavoro.
Il mantenimento attivo dell’account, anche se giustificato da esigenze organizzative o commerciali, comporta un trattamento ulteriore dei dati personali dell’ex dipendente e dei terzi che continuano a inviare comunicazioni, con conseguente violazione dei principi di liceità, limitazione della conservazione e minimizzazione.
Particolarmente significativa è la posizione assunta dal Garante rispetto all’argomento, frequentemente addotto dai datori di lavoro, della necessità di preservare la continuità del business. Il provvedimento del 2025 chiarisce che il concetto di “tempo ragionevole” entro il quale procedere alla disattivazione dell’e-mail aziendale non può essere ancorato alle esigenze economiche dell’impresa, ma esclusivamente ai tempi tecnici necessari per adottare le misure organizzative e tecnologiche appropriate.
Le Linee Guida del Garante del 2007
Le Linee Guida del Garante per la protezione dei dati personali del 1° marzo 2007, citate nel provvedimento del 2025, rappresentano ancora oggi il riferimento sistematico fondamentale per la disciplina dell’e-mail aziendale nel rapporto di lavoro, nonostante il mutato quadro normativo determinato dall’entrata in vigore del Regolamento (UE) 2016/679.
In tali Linee Guida l’Autorità ha delineato un impianto di principi che, lungi dall’essere superato, continua a orientare l’interpretazione delle regole applicabili al trattamento dei dati personali connessi all’utilizzo della posta elettronica in ambito lavorativo.
Al centro di tale impianto si collocano i principi di necessità, correttezza, pertinenza e non eccedenza, che impongono al datore di lavoro di configurare e gestire l’e-mail aziendale in modo da ridurre al minimo l’impatto sui diritti e sulle libertà fondamentali dei lavoratori.
Secondo l’impostazione del Garante, l’e-mail aziendale non può essere oggetto di trattamenti ulteriori rispetto a quelli strettamente necessari per il funzionamento del servizio e per l’organizzazione dell’attività lavorativa, né può essere utilizzata come strumento di controllo occulto dell’operato del dipendente. Le Linee Guida sottolineano l’esigenza di trasparenza nella gestione dell’e-mail aziendale, imponendo al datore di lavoro di rendere note, mediante un’adeguata informativa privacy e una policy interna, le modalità di utilizzo consentite, l’eventuale possibilità di controlli e le soluzioni previste per garantire la continuità operativa in caso di assenza del lavoratore.
La disattivazione dell’account di posta aziendale
Alla luce dell’orientamento espresso dal Garante, sembrerebbe che la disattivazione dell’e-mail aziendale dell’ex dipendente sia un vero e proprio obbligo di conformità alla disciplina in materia di protezione dei dati personali. La cessazione del rapporto di lavoro determina, infatti, il venir meno del presupposto giuridico che legittima l’utilizzo individuale dell’account di e-mail aziendale, con la conseguenza che ogni ulteriore trattamento riconducibile a tale strumento deve essere attentamente valutato sotto il profilo della liceità.
L’Autorità ha chiarito che l’e-mail aziendale non può rimanere attiva per un periodo indefinito o comunque parametrato alle esigenze operative dell’impresa, poiché una simile prassi comporta il rischio di trattamenti eccedenti e non giustificati.
Il riferimento al “tempo ragionevole” deve essere inteso in senso restrittivo, come arco temporale strettamente correlato ai tempi tecnici indispensabili per predisporre le misure di disattivazione e per informare i terzi dell’avvenuta cessazione del rapporto. Ogni protrazione ulteriore dell’attività dell’account di e-mail aziendale si traduce in una compressione ingiustificata dei diritti dell’ex dipendente, che continua a essere indirettamente coinvolto in flussi comunicativi non più riconducibili alla sua sfera professionale.
Sotto questo profilo, la disattivazione tempestiva dell’e-mail aziendale costituisce anche uno strumento di prevenzione dei rischi giuridici per il datore di lavoro, il quale rimane titolare del trattamento dei dati che transitano attraverso l’account. La mancata o ritardata disattivazione può infatti esporre l’organizzazione a responsabilità per trattamenti illeciti, nonché a contestazioni in sede amministrativa o giurisdizionale.
Il ruolo del risponditore automatico: legittimo o illegittimo?
Nel delineare le modalità corrette di gestione dell’e-mail aziendale successivamente alla cessazione del rapporto di lavoro, esistono strumenti leciti attraverso i quali l’impresa può assicurare la continuità operativa senza violare i diritti dell’ex dipendente. Tra questi, vi è il risponditore automatico, soluzione tecnica che consente di informare i terzi dell’avvenuta cessazione del rapporto e di indirizzare le comunicazioni verso canali alternativi, senza che ciò comporti l’accesso al contenuto dei messaggi ricevuti.
Il risponditore automatico, ove correttamente configurato, rappresenta appare coerente con i principi di liceità e minimizzazione del trattamento dei dati personali, poiché non implica la lettura né la conservazione delle comunicazioni indirizzate all’account di e-mail aziendale disattivato. Il messaggio automatico dovrebbe limitarsi a segnalare che il destinatario non opera più all’interno dell’organizzazione e a indicare un indirizzo di e-mail aziendale generico o funzionale cui inoltrare le future comunicazioni, evitando qualsiasi riferimento che possa consentire una conoscenza indiretta del contenuto dei messaggi originari.
È tuttavia essenziale che l’attivazione del risponditore automatico sia concepita come misura temporanea e strettamente funzionale alla fase di transizione successiva alla cessazione del rapporto di lavoro. Invero, il Garante ha chiarito che anche tali strumenti non possono essere mantenuti sine die, ma devono essere limitati a un arco temporale contenuto, sufficiente a consentire ai terzi di aggiornare i propri riferimenti.
Il reindirizzamento automatico dell’e-mail aziendale dell’ex dipendente
Accanto agli strumenti ritenuti leciti, possono individuarsi altre pratiche relative alla gestione dell’e-mail aziendale dell’ex dipendente che, tuttavia, dovrebbero considerarsi vietate, in quanto incompatibili con i principi fondamentali della disciplina privacy.
Tra queste, assume rilievo il reindirizzamento automatico delle comunicazioni in arrivo verso altre caselle di e-mail aziendale, intestate a colleghi, superiori o strutture interne all’organizzazione. Tale soluzione tecnica – frequentemente adottata nella prassi – è stata espressamente censurata dall’Autorità.
Il reindirizzamento automatico del messaggio e-mail comporta, infatti, la possibilità per soggetti diversi dall’originario destinatario di venire a conoscenza del contenuto delle comunicazioni, incluse quelle che possono avere natura personale o comunque non strettamente attinente all’attività lavorativa.
Sebbene l’intento del datore di lavoro sia quello di inoltrare i messaggi di carattere professionale, la struttura stessa della posta elettronica non consente di operare una selezione preventiva dei contenuti, con il rischio concreto di trattamenti eccedenti e non pertinenti rispetto alle finalità perseguite.
Particolarmente rilevante è l’affermazione del Garante, nel provvedimento citato, secondo cui il divieto di reindirizzamento dell’e-mail aziendale non può essere superato invocando esigenze di marketing, economiche o organizzative dell’impresa. Tali esigenze non sono idonee a giustificare un trattamento che incida in modo sproporzionato sulla sfera giuridica dell’ex dipendente e dei terzi mittenti.
La procedura di gestione della e-mail aziendale
La corretta gestione dell’e-mail aziendale non può essere affidata a soluzioni estemporanee o a prassi informali, ma richiede l’adozione di una procedura aziendale chiara, formalizzata e conoscibile, idonea a disciplinare l’intero ciclo di vita delle caselle di posta elettronica, dalla loro attivazione fino alla disattivazione in caso di cessazione del rapporto di lavoro.
In questa prospettiva, l’elaborazione e l’approvazione di una procedura (leggi qui un approfondimento dedicato) interna rappresentano uno degli strumenti principali attraverso cui il titolare del trattamento può dare concreta attuazione al principio di responsabilizzazione, oggi centrale nella disciplina in materia di protezione dei dati personali.
Una procedura sulla gestione delle caselle di posta aziendale consente, in primo luogo, di chiarire le responsabilità individuali nella gestione delle credenziali di accesso, attribuendo al lavoratore un obbligo di utilizzo conforme alle finalità lavorative e all’organizzazione aziendale, e al datore di lavoro il compito di definire le regole tecniche e organizzative di presidio dello strumento.
In tale quadro, risultano particolarmente rilevanti le indicazioni fornite dal Garante circa la necessità di informare preventivamente i lavoratori sulle modalità di utilizzo della posta elettronica, sulle soluzioni previste per le assenze e sulle misure adottate in caso di cessazione del rapporto.
Dal punto di vista operativo, una simile procedura dovrebbe disciplinare in modo puntuale le modalità e i tempi di disattivazione degli account, il ruolo del personale IT nelle operazioni tecniche, nonché la possibilità di redigere verbali o attestazioni che documentino l’avvenuta disattivazione.
Assistenza legale e consulenza in procedure di gestione della casella e-mail aziendale
La gestione della e-mail aziendale ha implicazioni notevoli sul versante privacy e sottende profili di responsabilità e rischio sanzionatorio per il datore di lavoro.
In tale contesto, assume particolare importanza il supporto di un avvocato grado di affiancare imprese e organizzazioni nella definizione di modelli di gestione dell’e-mail aziendale coerenti con i principi di liceità, correttezza e responsabilizzazione, anche al fine di prevenire accessi abusivi ai sistemi informatici.
L’esperienza maturata dallo Studio in ambito di protezione dei dati personali e sicurezza informatica ci consente di offrire un supporto qualificato nella valutazione delle soluzioni più idonee per la gestione degli account di posta.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.