Image by rawpixel.com on Freepik

Sanzione da 40 mila euro per la gestione illecita dell’account aziendale dopo la cessazione del rapporto di lavoro

Il Garante per la protezione dei dati personali ha sanzionato una società con una multa di 40.000 euro per la gestione irregolare della casella e-mail di un ex amministratore delegato rimasta attiva dopo la cessazione del rapporto di lavoro. Il provvedimento n. 754 del 18 dicembre 2025 chiarisce ancora una volta le regole che le aziende devono rispettare nella gestione degli account aziendali.

Il caso nasce dal reclamo dell’ex dirigente che, dopo il licenziamento, aveva perso l’accesso alla propria casella di posta elettronica, ma aveva scoperto che l’account era rimasto attivo e che le e-mail ricevute venivano automaticamente inoltrate ad altri indirizzi aziendali. Tra i messaggi erano presenti anche dati personali riferibili all’interessato.

L’ex amministratore aveva quindi esercitato il diritto di accesso previsto dall’articolo 15 del Regolamento UE 2016/679 (GDPR) chiedendo la disattivazione della casella, la trasmissione delle e-mail ricevute dopo la cessazione del rapporto e l’attivazione di un risponditore automatico per informare i mittenti di un diverso contatto aziendale.

La società non aveva però fornito risposta nei termini previsti dalla normativa, ritenendo che la richiesta fosse collegata al contenzioso giuslavoristico in corso. Una posizione che il Garante non ha ritenuto valida.

Nel corso dell’istruttoria è emerso inoltre che il regolamento interno dell’azienda prevedeva la disattivazione della casella entro 30 giorni dalla cessazione del rapporto, con eventuale inoltro temporaneo dei messaggi. Nel caso concreto, invece, l’account era rimasto operativo per circa due mesi.

Secondo l’Autorità, tale comportamento viola diversi principi fondamentali del GDPR, tra cui quelli di liceità, correttezza, minimizzazione dei dati e limitazione della conservazione. Il Garante ha inoltre ribadito che, al termine del rapporto di lavoro, la casella di posta individuale deve essere disattivata in tempi ragionevoli e sostituita con un messaggio automatico che indichi un contatto alternativo.

Le esigenze organizzative o difensive dell’azienda non possono quindi giustificare l’uso prolungato della casella personale dell’ex dipendente, né il reindirizzamento sistematico delle e-mail verso altri account aziendali.

Il provvedimento rappresenta un ulteriore richiamo per le imprese sull’importanza di adottare policy interne chiare e procedure strutturate per la gestione degli strumenti digitali aziendali, in particolare nelle fasi di cessazione del rapporto di lavoro. Le linee guida del Garante suggeriscono inoltre di affiancare alle caselle personali indirizzi funzionali o condivisi (ad esempio amministrazione@azienda.it), così da ridurre il rischio di violazioni della privacy e garantire la continuità operativa dell’organizzazione.