Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

Cosa succede alla mia email aziendale se vengo licenziato? Le nuove regole del Garante della Privacy

di Marianna Quatraro pubblicato il
Garante della Privacy

Le nuove regole del Garante della Privacy impongono la disattivazione immediata delle email aziendali dopo il licenziamento, vietano inoltri automatici e pongono limiti sulla gestione.

La gestione degli account di posta elettronica aziendale in caso di fine rapporto lavorativo è oggetto di disposizioni da parte del Garante per la protezione dei dati personali. L'equilibrio tra le esigenze organizzative delle imprese e la riservatezza degli ex dipendenti si riflette nelle policy digitali interne.

Nel 2025, a seguito di un nuovo provvedimento dell'Authority, sono state fissate regole chiare ed efficaci per tutte le organizzazioni: l'account personale aziendale deve essere disattivato senza indugi e non possono essere previsti automatismi di reindirizzamento della posta. Queste misure sono volte a garantire sia la tutela della privacy degli ex collaboratori sia la correttezza dei trattamenti dei dati personali da parte delle imprese.

Obbligo di disattivazione degli account email degli ex dipendenti

Il principio generale sancito dal Garante impone che la casella di posta elettronica aziendale riconducibile a singole persone venga chiusa senza alcuna dilazione correlata a esigenze organizzative. L'indirizzo composto tipicamente dal nome e cognome del lavoratore rappresenta infatti una identità digitale di proprietà personale, non un asset liberamente gestibile dal datore di lavoro. Altri chiarimenti sono scaturiti da recenti provvedimenti (ad esempio quello pubblicato il 15 ottobre 2025), in risposta a casi pratici di gestione non conforme degli account dismessi.

Secondo il Garante:

  • L'account personale del dipendente va disattivato appena termina il rapporto di lavoro, lasciando il tempo tecnico strettamente necessario per le operazioni di chiusura;
  • Non è ammesso prolungare la vita dell'account per motivi economici o organizzativi, né l'indirizzo può essere usato per continuare a ricevere ordini, comunicazioni commerciali o informazioni gestionali, se riferito a una persona non più alle dipendenze;
  • La protezione della privacy del lavoratore cessato e dei terzi mittenti (che spesso ignorano l'avvenuta interruzione del rapporto) prevale sulle esigenze operative dell'organizzazione.
Sul piano operativo, ogni accesso successivo alla cessazione, anche solo per esigenze di passaggio di consegne, deve essere attentamente valutato e ne va giustificata la liceità secondo le condizioni previste dalla normativa. Lasciare attivo l'account o differire la sua disattivazione espone l'azienda a rischi di violazione della disciplina sulla tutela dei dati e a sanzioni amministrative di rilievo.

Divieto di inoltro e reindirizzamento automatico delle email in entrata

Uno dei punti centrali delle nuove regole è il divieto assoluto di qualsiasi automatico inoltro della posta elettronica in arrivo verso account diversi dopo la cessazione del rapporto di lavoro. Questa prassi, storicamente diffusa nelle realtà aziendali, consente all'azienda di non perdere opportunità commerciali o informative, ma nella prospettiva giuridica moderna costituisce una palese violazione della privacy.

L'Autorità ha rilevato che:

  • Il reindirizzamento automatico consente un accesso indiscriminato a comunicazioni riservate o personali;
  • I mittenti esterni non sono spesso a conoscenza del cambiamento e possono affidare alla posta elettronica informazioni sensibili (contratti, documenti personali, corrispondenza privata);
  • Qualsiasi sistema di inoltro automatico, anche se diretto a un altro indirizzo aziendale, è vietato dalla normativa vigente.
Questa restrizione si fonda, oltre che sulla legislazione italiana in materia di protezione dati, su precisi articoli del Regolamento UE 2016/679 (GDPR), orientati alla tutela della segretezza delle comunicazioni e alla minimizzazione dei trattamenti. Le aziende sono dunque chiamate a rivalutare le proprie pratiche interne e a predisporre alternative lecite alla conservazione della corrispondenza dopo la chiusura dell'account personale.

La gestione operativa del periodo di transizione: risposte automatiche e cancellazione definitiva

Per affrontare il passaggio tra la chiusura dell'account individuale e la riorganizzazione dei contatti esterni, le linee guida del Garante consentono esclusivamente l'attivazione temporanea di un sistema di risposta automatica. Questo messaggio deve informare i destinatari che la persona indicata non lavora più in azienda e indicare alternativamente:

  • un indirizzo generico o di funzione presso cui rivolgersi
  • un recapito a cui inviare nuove richieste di natura lavorativa
Il periodo di mantenimento dell'autorisponditore deve essere strettamente limitato al tempo necessario per la riorganizzazione interna e la comunicazione verso l'esterno delle nuove modalità. Solo al termine di questo breve periodo, la casella personale deve essere eliminata definitivamente, annullando ogni possibilità di recupero o accesso successivo ai dati contenuti.

Questa impostazione non solo tutela la privacy dell'ex dipendente, ma mette al riparo l'azienda da eventuali contestazioni relativi all'accesso indebito a informazioni non pertinenti. Ogni eventuale richiesta di consultazione dei dati della casella, dopo la chiusura, dovrà trovare adeguata giustificazione legale e rispettare rigorosi protocolli interni.

Email generiche e policy interne: prevenire i problemi all'origine

Il Garante per la Privacy ha suggerito un cambio di impostazione radicale nella gestione degli strumenti di comunicazione, favorendo, ove possibile, l'adozione di indirizzi email di funzione e strumenti condivisi tra più lavoratori. L'utilizzo di queste caselle non nominative:

  • Attribuisce la corrispondenza alla funzione aziendale invece che alla persona fisica
  • Abbatte il rischio di bloccare i flussi comunicativi
  • Agevola la gestione delle assenze e delle uscite
Le imprese devono inoltre dotarsi di una policy interna chiara e trasparente sulle regole di uso delle email, nella quale definire:
  • le modalità di archiviazione dei messaggi
  • le regole sull'eventuale uso personale della casella aziendale
  • le procedure da seguire in caso di assenza prevedibile o fine rapporto
  • gli standard per ogni attività di controllo e tracciamento
  • le sanzioni per mancato rispetto della policy
Avere criteri documentati e condivisi minimizza i rischi di gestione scorretta e garantisce la conformità alle linee guida del 1° marzo 2007, tutt'ora pienamente vigenti, in materia di strumenti informatici aziendali.

La questione delle assenze: differenze tra licenziamento, ferie e malattie

La gestione della posta elettronica aziendale varia sensibilmente a seconda delle diverse motivazioni di assenza del lavoratore. Nel caso di cessazione definitiva del rapporto lavorativo, come evidenziato, si applica la procedura immediata di chiusura dell'account. Ma ferie, trasferte o malattie temporanee presentano scenari differenti:

  • In caso di assenza programmata (come ferie), il lavoratore può attivare una risposta automatica informando i mittenti sugli eventuali recapiti alternativi presso cui inviare urgenti comunicazioni professionali.
  • Per le assenze improvvise e prolungate (ad esempio per malattia), eventuali accessi alla casella sono ammissibili solo in presenza di specifici protocolli e deleghe, limitando la consultazione ai messaggi strettamente professionali. Il processo deve prevedere, se possibile, la nomina di un fiduciario.
Importante inoltre predisporre disclaimer nei messaggi di posta che informino chiaramente i destinatari sulla natura potenzialmente non personale della casella in caso di gestione condivisa, prevenendo equivoci in tema di privacy.

Trasparenza e adempimenti: informativa privacy e registro dei trattamenti

La conformità alle normative sulla privacy impone alle aziende obblighi di trasparenza nei confronti di tutti i lavoratori e dei soggetti esterni con cui interagiscono. Gli adempimenti principali sono:

  • Redigere una informativa chiara (ai sensi dell'art. 13 del GDPR) su tutti i trattamenti dati effettuati tramite gli strumenti digitali messi a disposizione dei collaboratori
  • Mantenere aggiornato il registro dei trattamenti, dove siano tracciate le attività sui dati personali relative agli account email, le tempistiche e le modalità di cancellazione
L'adozione di queste misure non rappresenta un mero formalismo: l'informativa consente ai soggetti interessati di conoscere i propri diritti circa l'uso degli strumenti aziendali, mentre il registro rappresenta una garanzia in termini di responsabilità, specie in caso di ispezioni o contenziosi.

I server di posta generano e conservano automaticamente metadati tecnici (mittente, destinatario, orario di invio, indirizzo IP, dimensione degli allegati, ecc.). Secondo il Garante, la loro memorizzazione, anche se separata dal contenuto delle email, costituisce un trattamento di dati personali che deve rispettare limiti molto stringenti:

  • Il termine ordinario di conservazione dei metadati non può superare i 21 giorni
  • Solo specifici accordi sindacali o autorizzazioni dell'Ispettorato del lavoro possono giustificare una conservazione più estesa
Non attenersi a tali scadenze comporta responsabilità rilevanti in caso di verifiche, anche nei casi in cui i dati sono considerati semplici log di sistema. Le imprese devono quindi dotarsi di sistemi per il controllo e la cancellazione periodica di queste informazioni tecniche, garantendo la tracciabilità delle operazioni effettuate.


Leggi anche
LicenziamentoPrivacy dipendenti e sul luogo di lavoroEmail
© 2005-2026 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings