Con il provvedimento n. 754/2025, il Garante Privacy ha inflitto una sanzione di 40.000 euro a una società per trattamento illecito dei dati connessi all’account email aziendale di un amministratore delegato dopo la cessazione del rapporto di lavoro.
L’Autorità ha ribadito che:
- contenuto delle email,
- dati di contatto,
- allegati,
rientrano nella nozione di corrispondenza, tutelata dall’art. 15 della Costituzione e dalla normativa in materia di protezione dei dati personali.
Le condotte contestate
La società aveva:
- mantenuto attiva la casella aziendale,
- negato l’accesso all’interessato,
- disposto l’inoltro automatico delle comunicazioni verso altro account interno,
- omesso il riscontro all’istanza di esercizio dei diritti ai sensi del GDPR.
La pratica si è protratta per circa due mesi, determinando accesso e conservazione di email anche di natura personale.
I principi affermati
Il Garante ha chiarito che, anche in ambito lavorativo:
- l’account aziendale non consente un accesso generalizzato alla corrispondenza,
- la gestione post-cessazione deve essere temporalmente limitata,
- eventuali esigenze organizzative devono rispettare i principi di proporzionalità e minimizzazione.
È stata ordinata la cancellazione dell’account, fatta salva la conservazione dei dati necessari alla tutela in sede giudiziaria.
Profili operativi
Il provvedimento conferma la necessità per le imprese di adottare:
- policy formalizzate sulla gestione degli strumenti informatici,
- procedure specifiche per la disattivazione degli account,
- limiti chiari all’inoltro automatico delle comunicazioni.
La corretta gestione della fase di cessazione del rapporto rappresenta oggi un passaggio essenziale per prevenire responsabilità e sanzioni.
Fonte: Garante privacy
