Nota a Garante per la protezione dei dati personali, provv. 18 dicembre 2025, n. 754
1. Premessa
Con il provvedimento n. 754 del 18 dicembre 2025, il Garante per la protezione dei dati personali affronta un caso di particolare rilevanza pratica in materia di gestione degli strumenti informatici aziendali dopo la cessazione del rapporto di lavoro.
L’Autorità accerta la violazione degli artt. 5, par. 1, lett. a), c) ed e), 12, par. 3, e 15 del Regolamento (UE) 2016/679 (GDPR) da parte di una società che, dopo il licenziamento dell’ex amministratore delegato, aveva mantenuto attivo l’account e-mail individualizzato per circa due mesi, inoltrandone automaticamente la corrispondenza a un diverso account aziendale e omettendo di riscontrare l’istanza di accesso dell’interessato.
Il provvedimento si inserisce nel consolidato orientamento dell’Autorità in tema di posta elettronica aziendale e tutela della vita privata nel contesto lavorativo, ribadendo la centralità del diritto di accesso e i limiti alle esigenze organizzative e difensive del datore di lavoro.
2. Il reclamo e l’oggetto dell’istruttoria
Il procedimento trae origine dal reclamo presentato da un ex amministratore delegato nei confronti della società datrice di lavoro, dopo aver ricevuto una contestazione disciplinare, la sospensione cautelare e, successivamente, il licenziamento.
L’interessato lamentava che, nonostante la cessazione del rapporto, l’account e-mail aziendale individualizzato continuasse a essere attivo e a ricevere comunicazioni, senza che fosse stato attivato un sistema di risposta automatica né disposta l’immediata disattivazione. Inoltre, a fronte di un’istanza formulata ai sensi degli artt. 15 e ss. GDPR, volta a ottenere la disattivazione dell’account e l’accesso alla corrispondenza nel frattempo pervenuta, la società non aveva fornito alcun riscontro entro i termini di legge .
Nel corso dell’istruttoria, la società giustificava la mancata risposta sostenendo di aver ritenuto la richiesta riconducibile al contenzioso giuslavoristico in corso e di aver inteso fornire riscontro in sede giudiziale. Quanto alla gestione dell’account, dichiarava di aver agito in conformità al proprio regolamento IT interno, che prevedeva la sospensione entro 30 giorni e l’inoltro automatico della posta al responsabile dell’utente uscente.
3. Il diritto di accesso e l’obbligo di riscontro ex artt. 12 e 15 GDPR
Il primo profilo di illegittimità accertato dal Garante riguarda la violazione degli artt. 12, par. 3, e 15 del GDPR.
L’art. 15 riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma dell’esistenza di un trattamento di dati personali che lo riguardano e, in tal caso, di accedere ai dati stessi. L’art. 12, par. 3, impone al titolare di fornire riscontro “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”.
Nel caso di specie, l’istanza richiamava espressamente il Regolamento (UE) 2016/679 e i diritti di cui agli artt. 15 e ss., risultando inequivocabilmente qualificabile come esercizio dei diritti dell’interessato.
Il Garante esclude che la pendenza di un contenzioso giuslavoristico possa giustificare il mancato riscontro, ribadendo che anche l’eventuale rifiuto deve essere motivato e comunicato entro i termini previsti dall’art. 12, par. 4.
Particolarmente significativo è il passaggio in cui l’Autorità rigetta la tesi secondo cui il diritto di accesso sarebbe limitato alle sole e-mail di carattere “personale”, restando la corrispondenza professionale di proprietà aziendale. Il Garante richiama la giurisprudenza della Corte europea dei diritti dell’uomo sull’estensione dell’art. 8 CEDU anche all’ambito lavorativo, affermando che la distinzione netta tra sfera privata e professionale non può essere operata in modo rigido .
La protezione della vita privata si estende, infatti, anche alle comunicazioni elettroniche scambiate su un account aziendale individualizzato, in quanto tali comunicazioni costituiscono trattamento di dati personali dell’interessato.
4. La gestione dell’account dopo la cessazione del rapporto e i principi dell’art. 5 GDPR
Il secondo profilo di violazione concerne la gestione dell’account e-mail successivamente alla cessazione del rapporto.
La società aveva mantenuto attivo l’account per circa due mesi dopo il licenziamento, inoltrando automaticamente la corrispondenza in entrata a un altro indirizzo aziendale. Tale condotta, pur prevista dal regolamento interno, è stata ritenuta in contrasto con i principi generali di cui all’art. 5, par. 1, lett. a), c) ed e) GDPR: liceità, minimizzazione dei dati e limitazione della conservazione.
Il Garante ribadisce il proprio orientamento secondo cui, a tutela delle esigenze di continuità aziendale, il titolare può:
- disattivare tempestivamente l’account;
- attivare un sistema di risposta automatica che informi i terzi della cessazione del rapporto;
- evitare la visualizzazione dei messaggi in arrivo;
- adottare sistemi di gestione documentale alternativi per la conservazione dei documenti necessari.
Non è invece conforme al GDPR l’accesso generalizzato e il reindirizzamento sistematico della posta elettronica dell’ex dipendente, soprattutto quando protratto per un periodo significativo e non strettamente necessario.
L’Autorità sottolinea che le esigenze difensive possono giustificare la conservazione di specifici dati, ma devono essere circoscritte e proporzionate, non potendo tradursi in un trattamento generalizzato e non selettivo.
5. Il bilanciamento con le esigenze difensive e l’art. 2-undecies del Codice
Nel valutare la possibilità di limitare il diritto di accesso ai sensi dell’art. 2-undecies del Codice privacy (d.lgs. n. 196/2003), il Garante osserva che la società non ha dimostrato un pregiudizio concreto e attuale derivante dall’accesso dell’interessato alla propria corrispondenza .
La norma consente la limitazione dei diritti dell’interessato quando dall’esercizio possa derivare un pregiudizio effettivo e concreto allo svolgimento di investigazioni difensive o all’esercizio di un diritto in sede giudiziaria. Tuttavia, la limitazione deve essere motivata e comunicata tempestivamente all’interessato, circostanza non verificatasi nel caso in esame.
6. La sanzione e i poteri correttivi ex art. 58 GDPR
Alla luce delle violazioni accertate, il Garante dichiara l’illiceità del trattamento e ordina alla società di:
- soddisfare l’istanza dell’interessato;
- consentire l’accesso alla corrispondenza;
- procedere alla cancellazione del contenuto della casella, salvo quanto necessario per la tutela in giudizio .
Viene inoltre irrogata una sanzione amministrativa pecuniaria di euro 40.000 ai sensi dell’art. 83, par. 5, GDPR, tenuto conto della natura delle violazioni, della loro durata, dell’assenza di precedenti e delle condizioni economiche del titolare.
7. Considerazioni conclusive
Il provvedimento conferma l’orientamento rigoroso dell’Autorità in materia di gestione degli account aziendali individualizzati dopo la cessazione del rapporto di lavoro.
Tre principi emergono con chiarezza:
- Il diritto di accesso ex art. 15 GDPR non può essere compresso sulla base di una qualificazione “aziendale” della corrispondenza.
- La continuità del business non giustifica il mantenimento indiscriminato dell’account e l’accesso sistematico ai messaggi in entrata.
- Le esigenze difensive devono essere specifiche, motivate e proporzionate.
Il provvedimento si inserisce in un quadro normativo in cui il bilanciamento tra poteri organizzativi del datore di lavoro e diritti fondamentali dell’interessato è sempre più orientato alla tutela sostanziale della dignità e della riservatezza del lavoratore, anche – e soprattutto – dopo la cessazione del rapporto.
Avv. Adamo Brunetti
