Studio Legale Di Biase

Gestione e-mail del lavoratore licenziato: sanzioni del Garante Privacy

Immagine estratta dal sito https://it.freepik.com/


Il caso

Con provvedimento n. 754 del 18 dicembre 2025, il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento dei dati personali effettuato da una società nei confronti di un proprio ex dirigente, irrogando una sanzione amministrativa pecuniaria pari a 40.000 euro.

La vicenda trae origine dal licenziamento per giusta causa di un soggetto che aveva ricoperto la carica di Amministratore Delegato. A seguito della cessazione del rapporto di lavoro, il lavoratore constatava che il proprio account di posta elettronica aziendale di tipo individualizzato — ovvero un account intestato nominativamente alla persona fisica — risultava ancora attivo e continuava a ricevere corrispondenza, compresa comunicazione proveniente dallo studio legale della controparte nell’ambito del nascente contenzioso giuslavoristico.

Il lavoratore, tramite il proprio difensore, presentava un’istanza formale di esercizio dei diritti ai sensi degli artt. 15 e seguenti del Regolamento (UE) 2016/679 (GDPR), con cui richiedeva: la disattivazione dell’account, il trasferimento della corrispondenza nel frattempo ricevuta all’indirizzo email personale e l’attivazione di un sistema di risposta automatica verso i terzi mittenti. Tale istanza, regolarmente notificata a mezzo PEC, rimase integralmente priva di riscontro.

Le violazioni accertate

All’esito dell’istruttoria, il Garante ha ravvisato violazioni sotto un duplice profilo.

1. Violazione degli artt. 12, par. 3, e 15 del Regolamento: mancato riscontro all’istanza di accesso

L’art. 12, par. 3, del GDPR impone al titolare del trattamento di fornire riscontro a qualsiasi richiesta di esercizio dei diritti dell’interessato entro il termine perentorio di trenta giorni dal ricevimento, prorogabile di ulteriori due mesi nei casi di particolare complessità. Ove il titolare non intenda dar seguito alla richiesta, è comunque tenuto a comunicarne i motivi entro il medesimo termine, senza indugio.

La società aveva giustificato il silenzio sostenendo che l’istanza — formulata con espresso richiamo al Regolamento europeo e ai diritti ivi previsti — sarebbe stata riconducibile alla controversia giuslavoristica in corso e che vi avrebbe risposto mediante memoria difensiva depositata in giudizio circa sei mesi dopo. L’Autorità ha respinto tale difesa in modo netto.

Sul punto, il Garante ha richiamato le Linee guida 1/2022 dell’EDPB (European Data Protection Board), secondo cui il GDPR non impone all’interessato alcun requisito formale per la presentazione della richiesta di accesso. Ancor più rilevante è la circostanza che, nel caso di specie, l’istanza contenesse un esplicito riferimento agli artt. 15 e seguenti del Regolamento, rendendo inequivoca la natura della richiesta. L’eventuale risposta giudiziale, inoltre, sarebbe comunque pervenuta ben oltre il termine di legge e in ogni caso non avrebbe integrato un valido riscontro ai sensi del GDPR.

Il Garante ha altresì rigettato l’argomentazione secondo cui la società potesse limitare l’accesso alla sola corrispondenza di natura strettamente personale, escludendo quella di contenuto lavorativo in quanto “di proprietà aziendale”. In linea con la consolidata giurisprudenza della Corte europea dei diritti dell’uomo — richiamata nei casi Niemietz c. Allemagne (1992), Copland v. UK (2007), Bărbulescu v. Romania (2017) — e con le proprie Linee guida in materia di posta elettronica e internet, il Garante ha ribadito che la tutela della vita privata si estende all’ambito lavorativo e che la corrispondenza elettronica ricevuta su un account aziendale individualizzato configura comunque un trattamento di dati personali riferibili all’interessato. La distinzione tra sfera privata e sfera professionale non è, in questo contesto, tracciabile con nettezza.

2. Violazione dell’art. 5, par. 1, lett. a), c) ed e), del Regolamento: principi di liceità, minimizzazione e limitazione della conservazione

Sotto il secondo profilo, il Garante ha accertato che la società, nei circa due mesi successivi alla cessazione del rapporto di lavoro, aveva mantenuto attivo l’account email individualizzato dell’ex dipendente, provvedendo all’inoltro automatico di tutta la corrispondenza in entrata verso un altro account aziendale. Tale operazione si era protratta per un periodo superiore ai trenta giorni previsti dal regolamento IT interno, ed aveva determinato l’accesso diretto al contenuto dei messaggi ricevuti nonché la loro conservazione.

L’Autorità ha chiarito il perimetro di legittimità entro cui il datore di lavoro può operare in questa fase: è consentito disattivare l’account e attivare un sistema di risposta automatica verso i terzi mittenti, informandoli dell’indirizzo alternativo a cui rivolgersi. Non è invece conforme al GDPR procedere all’inoltro e alla lettura della corrispondenza pervenuta, poiché tale condotta viola i principi fondamentali di liceità del trattamento, minimizzazione dei dati (i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità) e limitazione della conservazione (i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità).

Il Garante ha peraltro osservato che i sistemi di posta elettronica non sono, per loro stessa natura, strumenti idonei a garantire la conservazione documentale necessaria per l’attività aziendale — funzione che deve essere assolta mediante sistemi di gestione documentale specificamente predisposti.

I provvedimenti adottati

Il Garante ha esercitato i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, disponendo:

  • l’ordine di riscontro all’istanza: la società deve consentire all’interessato l’accesso al contenuto della corrispondenza pervenuta sull’account durante il periodo in cui questo è rimasto attivo, entro trenta giorni dalla notifica del provvedimento;
  • la cancellazione dei dati, fatta salva la conservazione strettamente necessaria per le esigenze di difesa in sede giudiziaria, nei limiti temporali a tal fine indispensabili e nel rispetto dell’art. 160-bis del Codice Privacy;
  • la sanzione amministrativa pecuniaria di 40.000 euro, determinata tenendo conto della natura e durata della violazione, dell’assenza di precedenti a carico della società, delle sue condizioni economiche e della persistente inottemperanza.

Il Garante ha inoltre raccomandato alla società di adeguare i propri regolamenti IT ai principi del GDPR e alla disciplina sui controlli a distanza di cui alla legge n. 300/1970 (Statuto dei Lavoratori).

Profili di interesse pratico per le imprese

Il provvedimento in esame si inserisce in un filone giurisprudenziale ormai consolidato dell’Autorità e offre indicazioni operative di primaria importanza per i datori di lavoro.

In primo luogo, l’istanza di esercizio dei diritti privacy non può essere ignorata o elusa, nemmeno in presenza di un contenzioso giudiziale parallelo: si tratta di un obbligo autonomo, distinto e inderogabile. Il titolare del trattamento deve rispondere entro i termini di legge o, quanto meno, comunicare i motivi dell’eventuale impossibilità.

In secondo luogo, la gestione dell’account email aziendale alla cessazione del rapporto di lavoro richiede una procedura strutturata e previamente comunicata ai dipendenti, che preveda la disattivazione tempestiva, l’attivazione di messaggi automatici di risposta ai terzi e l’adozione di misure tecniche che impediscano l’accesso al contenuto dei messaggi. Il semplice inoltro della posta su un altro account aziendale non è conforme al GDPR.

In terzo luogo, la qualità di ex dirigente apicale non priva il soggetto dei diritti riconosciuti dal Regolamento: il diritto di accesso ai propri dati personali è un diritto fondamentale, non comprimibile in ragione del ruolo ricoperto o del contenzioso in atto.


CHIEDI UN ESAME GRATUITO DEL TUO CASO

ARTICOLI DAL BLOG

Avvocato Lucio Di Biase

Lucio Di Biase

Avvocato

Telefono: +39 335 325917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti anni l’Avv. Lucio Di Biase ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i più comuni problemi legali, prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso, su tutto il territorio nazionale.
Dal 2014 al 2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.
E’ autore di articoli di approfondimento giuridico pubblicati sul sito dello Studio, con particolare attenzione ai temi della privacy, dell’intelligenza artificiale e dell’evoluzione normativa.

Accesso agli atti amministrativi Accountability GDPR Base giuridica trattamento Caratteristiche del bene locato Codice Privacy Colleghi di lavoro Compliance GDPR Consenso genitori Contratto preliminare Controlli a distanza lavoratori Controllo dipendenti Cyberbullismo; Danni da cose in custodia Dati sanitari Deepfake Divorzio DPIA valutazione d’impatto e-mail Foto bambini online Garante privacy GDPR Informativa privacy Intelligenza Artificiale (AI) Licenziamento Mantenimento del figlio maggiorenne Minimizzazione dei dati personali Minorenni Privacy dei bambini Protezione dei dati Pubblica Amministrazione Responsabile Protezione Dati (RPD) Responsabilità medica Revenge Porn Rischi AI Separazione Sharenting Sinistri stradali Social Media Statuto dei Lavoratori Statuto dei lavoratori e privacy Telecamere Trattamento dei dati e consenso Trattamento dei dati personali Videosorveglianza Volenza Digitale