Con il provvedimento n. 364/2025, l’Autorità Garante per la protezione dei dati personali torna ad affrontare la questione della corretta gestione dell’account email assegnato a seguito della cessazione del rapporto di lavoro.
Il provvedimento prospetta il caso di un ex dipendente che lamentava il persistente funzionamento dell’indirizzo e-mail lavorativo nonostante le reiterate richieste all’organizzazione di disattivare l’account.
Nel corso dell’attività istruttoria ,il Garante ha accertato che il re-indirizzamento era rimasto attivo per un periodo di circa otto mesi dopo la cessazione del rapporto di lavoro, con l’accesso da parte di un altro operatore alla casella per scaricare documenti fiscali esteri e reimpostare le credenziali di accesso a siti e piattaforme in cui era stato registrato l’account, senza la previsione di un disciplinare interno sull’ utilizzo della posta elettronica aziendale.
In risposta alle richieste del Garante, il titolare del trattamento si è giustificato motivando la propria scelta per il ruolo strategico del dipendente e con la necessità di mantenere l’account nominale per il contatto con alcuni clienti esteri ai fini di gestione della documentazione fiscale al fine di non rischiare di perdere i contatti e/o rapporti giuridici di notevole interesse economico.
Le argomentazioni apportate non sono però risultate sufficienti per giustificare il persistente funzionamento dell’account. Viene così riscontrata una violazione dei principi di liceità, limitazione della conservazione e minimizzazione dei dati trattati oltre all’ inosservanza del principio di correttezza per la mancata adozione di un disciplinare interno oltre che per non aver fornito all’interessato le informazioni relative al trattamento posto in essere.
Questi principi più volte richiamati nei provvedimenti del Garante non sono di per sè sufficienti a delineare le corrette linee di condotta da seguire in un’attività, come la disattivazione dell’account email, che può apparire banale ma che assai di frequente espone le aziende a violazioni della normativa.
Per quanto riguarda la regola generale di disattivazione della casella e-mail del dipendente cessato, il Garante anche in questa occasione ha ribadito una linea già tracciata da tempo, per cui: «in conformità ai principi in materia di protezione dei dati personali, gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili [ come gli account nominali ] debbano essere rimossi dopo l’interruzione del rapporto di lavoro previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento».
Ulteriori accortezze si rendono necessarie in caso di redirect. Il re-indirizzamento automatico del flusso e-mail di account cessati è un’operazione di trattamento che “consente di conoscere alcune informazioni personali relative all’interessato”. Pertanto, qualsiasi azione deve rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR), richiedendo il consenso dell'interessato o una base giuridica valida per il trattamento.
Per quanto riguarda l’ ultimo aspetto, ossia il tempo di disattivazione dell’account, questo deve essere “ ragionevole “. La ragionevolezza richiede un contemperamento tra le legittime aspettative di riservatezza sulla corrispondenza da parte di dipendenti e gli interessi datoriali. Da ciò consegue che la disattivazione debba avvenire con riferimento ai parametri dettati dai tempi tecnici di disattivazione e chiusura della casella di posta, nonché della predisposizione dei sistemi di risposta automatica.
WST Law & Tax