Con il provvedimento del 18 dicembre 2025 il Garante per la protezione dei dati personali ha ribadito che il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza.
Nel caso di specie risulta accertato che l’account di posta elettronica del dipendente di tipo individualizzato, utilizzato nel corso del rapporto di lavoro, continuava ad essere attivo e a ricevere comunicazioni, nonostante fosse intervenuta la cessazione del rapporto di lavoro. L’istruttoria permetteva di accertare che l’account era rimasto attivo per i successivi due mesi provvedendo, in questo frangente, all’inoltro su un altro account aziendale della corrispondenza nel frattempo pervenuta.
La Società nelle proprie difese evidenziava che tale condotta risultava conforme alla procedura aziendale descritta nel disciplinare interno, in base al quale “In caso di interruzione del rapporto di lavoro con l'Utente, le credenziali di autenticazione di cui sopra verranno immediatamente cambiate e disabilitate (sospese) entro un periodo massimo di 30 giorni da quella data, periodo in cui si prevedrà un inoltro automatico delle mail ricevute al Responsabile dell’Utente uscente o ad un soggetto da esso designato. (…)”. Il Regolamento, tuttavia, non conteneva nessuna specificazione relativa alle finalità dell’operazione relativa all’inoltro ad account aziendale della corrispondenza in entrata dopo la cessazione del rapporto di lavoro, ma la Società, nel corso dell’istruttoria, ha dichiarato che trattasi di operazioni dettate dall’esigenza di garantire la continuità del business aziendale. Con riguardo al caso specifico, invece, l’inoltro della corrispondenza su un altro account è stato determinato anche da esigenze di difesa in giudizio.
L’Autorità Garante con orientamento espresso in una pluralità di provvedimenti ha già in passato ritenuto conforme ai principi in materia di protezione dei dati personali che, a tutela di possibili e legittime esigenze di continuità dell’attività aziendale, dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi mittenti e a fornire, a questi ultimi, indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo, durante il periodo in cui tale sistema automatico è in funzione.
Senonché nel caso specifico, il Garante ha ritenuto che l’operazione di inoltro della corrispondenza su un altro account aziendale, per circa due mesi, della casella di posta elettronica del reclamante (quindi per un periodo di tempo diverso da quello indicato nel disciplinare interno, pari a 30 giorni), per mere esigenze organizzative, ha di fatto realizzato un trattamento di dati personali, consistente nell’accesso diretto alle e-mail nel frattempo pervenute e nella loro successiva conservazione, che risulta contrario ai principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e), del Regolamento), in base ai quali i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Di seguito il link al provvedimento del 18 dicembre 2025 del Garante.