studiolegale@pdbvm.it

Le Noterelle Operative

Le Noterelle Operative Febbraio 2026

12 Feb 2026
,
0

Cessazione del rapporto di lavoro e account di posta elettronica aziendale: quali sono gli obblighi gravanti sul datore di lavoro.

A cura di Paolo de Berardinis, Irene Nisio e Giovanna Flora Ragusa

 

Il Garante per la protezione dei dati personali, con il provvedimento n. 364 del 23 giugno 2025, pubblicato il 15 ottobre 2025, si è pronunciato su una questione di particolare interesse per i datori di lavoro, vale a dire la disattivazione degli account di posta elettronica aziendale dei dipendenti a seguito della cessazione dei rapporti di lavoro degli stessi.

Nel caso di specie, una lavoratrice aveva presentato reclamo al Garante, lamentando una presunta violazione della disciplina in materia di protezione dei dati personali da parte della Società, sua ex datrice di lavoro.

L’Azienda in questione, anche successivamente all’interruzione del rapporto di lavoro della dipendente, aveva mantenuto attiva la casella di posta elettronica assegnata alla stessa per più di otto mesi.

Inoltre la Società aveva proceduto al reindirizzamento automatico dei messaggi su altro account aziendale, per tutto l’arco temporale intercorrente tra la cessazione del rapporto di lavoro e la cancellazione dell’account della lavoratrice.

Nel corso dell’istruttoria era altresì emerso che l’Azienda di cui si tratta non aveva né fornito ai dipendenti un’informativa sul trattamento dei dati personali, né adottato un regolamento aziendale, relativamente all’utilizzo degli strumenti informatici nell’ambito del rapporto di lavoro, con particolare riferimento alla gestione della posta elettronica.

Il Garante ha ritenuto illecito il comportamento della Società, in quanto posto in essere in violazione del principio di correttezza e, in particolare, dell’obbligo di fornire all’interessato, prima dell’inizio del trattamento dei dati, tutte le informazioni relative alle caratteristiche essenziali del trattamento stesso (ai sensi dell’art. 13 del Regolamento UE 2016/679, ‘GDPR’), nonché in violazione dei principi di liceità, di limitazione della conservazione e di minimizzazione dei dati (sanciti dall’art. 5, par. 1, lett. a), c) ed e) del citato Regolamento).

La domanda che allora occorre porsi è: quali sono gli obblighi gravanti sul datore di lavoro relativamente alla gestione degli strumenti informatici utilizzati dai dipendenti per svolgere la loro prestazione lavorativa e, in particolare, quelli relativi all’account di posta elettronica aziendale?

In primo luogo è necessario adottare un regolamento interno, da diffondere in maniera capillare a tutti i dipendenti, gli apprendisti, i lavoratori somministrati e gli stagisti della Società, che disciplini l’utilizzo dei personal computer fissi e portatili, dei dispositivi elettronici di proprietà aziendale in genere, della rete Intranet, della posta elettronica ed Internet.

Tale regolamento dovrà prevedere che i predetti strumenti possono essere utilizzati esclusivamente per finalità proprie del rapporto di lavoro inerenti l’esecuzione della prestazione lavorativa o dell’incarico ricevuto, essendone vietato ogni altro diverso uso, come quello per fini personali ovvero e comunque extra-lavorativi.

Relativamente alla gestione della posta elettronica aziendale dovrà anche essere indicato -secondo quanto disposto dal Garante Privacy nel Provvedimento in commento- che, a seguito della cessazione del rapporto di lavoro di ciascun dipendente, il suo account individuale verrà rimosso dopo che, nei tempi tecnici necessari, l’Azienda avrà provveduto alla disattivazione dello stesso ed alla contestuale adozione di sistemi automatici volti ad informare i terzi ed a fornire a questi ultimi indirizzi di posta elettronica alternativi.

Altresì i datori di lavoro dovranno aver cura di fornire a ciascun dipendente, preferibilmente al momento dell’instaurazione del rapporto di lavoro, un’adeguata informativa ai sensi dell’art. 13 del Regolamento UE 2019/679, afferente al trattamento dei dati raccolti dai predetti strumenti informatici ed alle modalità con cui l’Azienda potrà effettuare controlli sugli stessi.

In tal modo, ai sensi dell’art. 4 Legge 300/1970, tali dati potranno essere legittimamente utilizzati dalle Società per tutti i fini connessi ai rapporti di lavoro, ivi compresi quelli disciplinari.

Quanto sopra non appaia eccessivo, in quanto il mancato rispetto dei citati obblighi può esporre il datore di lavoro all’adozione di provvedimenti da parte del Garante per la protezione dei dati personali.

Inoltre, nelle aule dei Tribunali si assiste frequentemente a declaratorie di illegittimità dei provvedimenti disciplinari (e, in particolar modo dei licenziamenti) adottati sulla base di informazioni acquisite da parte delle Aziende mediante accesso agli strumenti informatici utilizzati dai dipendenti, in assenza di una preventiva informativa sulle modalità d’uso dei predetti strumenti e di effettuazione dei controlli.

Il nostro Studio ha, direttamente sul campo, potuto verificare quanto giovamento dia la corretta predisposizione di “policy”, adeguate e studiate sulle effettive necessità dell’impresa di gestire e controllare adeguatamente, in definitiva l’informazione che riguarda i mezzi di cui trattasi. In tale contesto non può che agirsi con soluzioni c.d. taylor made, studiate per assicurare quanto si è detto.

, , , ,