Il Garante Privacy infligge una sanzione di 40.000 euro per violazione della segretezza della email aziendale dopo la cessazione del rapporto di lavoro in un caso seguito dall’Avv. Domenico Tambasco
La gestione degli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro rappresenta uno dei profili più delicati nel rapporto tra poteri organizzativi del datore e diritti fondamentali della persona.
Con provvedimento del 18 dicembre 2025, il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento dei dati effettuato da una società che, dopo il licenziamento di un amministratore delegato, aveva mantenuto attivo l’account email individuale, continuando a ricevere e inoltrare la corrispondenza aziendale senza riscontro alle richieste dell’interessato.
All’esito dell’istruttoria, l’Autorità ha irrogato una sanzione amministrativa pari a 40.000 euro, ritenendo particolarmente grave la violazione dei principi del GDPR, tra cui:
- – mancato riscontro all’esercizio dei diritti dell’interessato;
- – accesso e conservazione indebita della corrispondenza;
- – violazione dei principi di liceità, minimizzazione e limitazione della conservazione;
- – gestione non conforme dell’account email dopo la cessazione del rapporto.
Il Garante ha inoltre ordinato alla società di consentire l’accesso alla corrispondenza e di procedere alla cancellazione dei dati, salvo quanto necessario per la tutela in sede giudiziaria.
La segretezza della corrispondenza come diritto fondamentale
Nel provvedimento viene ribadito un principio di particolare rilievo:
il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati rientrano nella nozione di corrispondenza e sono tutelati dal diritto alla segretezza, riconosciuto anche a livello costituzionale quale presidio della dignità della persona e del libero sviluppo della personalità nelle relazioni sociali.
La protezione si estende anche al contesto lavorativo, in linea con l’orientamento della Corte europea dei diritti dell’uomo, che riconosce la tutela della vita privata anche nello svolgimento dell’attività professionale.
Il caso seguito dallo Studio
Il procedimento trae origine da un reclamo promosso con l’assistenza legale dell’Avv. Domenico Tambasco, volto a denunciare la prosecuzione del trattamento dei dati personali e della corrispondenza elettronica dopo la cessazione del rapporto, nonché il mancato riscontro alle richieste formulate ai sensi del GDPR.
L’esito conferma la centralità del rispetto delle garanzie in materia di protezione dei dati nei contesti lavorativi e la necessità per le organizzazioni di adottare procedure conformi nella gestione degli strumenti informatici.
Implicazioni per aziende e dirigenti
Il provvedimento ribadisce alcuni principi operativi di grande impatto:
- – l’account email individuale non può essere utilizzato come archivio aziendale;
- – anche la posta elettronica e le comunicazioni aziendali sono considerate corrispondenza, con il presidio delle relative garanzie di riservatezza e inviolabilità;
- – dopo la cessazione del rapporto devono essere adottati sistemi automatici che informino i terzi senza consentire l’accesso ai contenuti;
- – l’eventuale conservazione deve essere limitata e giustificata;
- – le richieste di esercizio dei diritti devono essere riscontrate tempestivamente.
Si tratta di indicazioni che incidono direttamente sui modelli organizzativi, sulle policy IT e sulla gestione del contenzioso lavoristico.