Con il recente provvedimento n. 754/2025, l’Autorità Garante per la protezione dei dati personali ha comminato una sanzione di euro 40.000 contro la società LTL S.p.A. per aver illecitamente gestito l’account e-mail di un ex amministratore delegato dopo il suo licenziamento e per non aver dato seguito alle sue richieste di esercizio dei diritti previsti dal Regolamento UE 679/2016.
Il caso L’ex Amministratore Delegato della Società, rimosso dall’incarico nell’agosto 2023 con contestuale inibizione dell’accesso al proprio account di posta elettronica, ha presentato reclamo al Garante Privacy, lamentando che nonostante l’interruzione del rapporto, il suo account e-mail aziendale fosse rimasto attivo e che i messaggi in arrivo fossero stati visualizzati da terzi. In particolare: il reclamante aveva inviato per errore una bozza di impugnazione del licenziamento alla propria vecchia casella aziendale ; lo studio legale della controparte aveva inviato una risposta proprio a quell’account, confermando che la casella era ancora operativa e monitorata; nonostante una richiesta formale di disattivazione dell’account , invio della corrispondenza ricevuta e sistema di risposta automatica a terzi contenente indirizzo a cui inviare le comunicazioni inviata il 22 settembre 2023, la Società non ha fornito alcun riscontro entro il termine di trenta giorni ex GDPR. La Società si è difesa sostenendo che l’account era rimasto attivo per soli due mesi per garantire la continuità aziendale e che la richiesta era stata “fraintesa” come una mera contestazione giuslavoristica. Violazioni Il Garante privacy ha riscontrato diverse violazioni di principi essenziali del GDPR. 1. Mancato riscontro alla richiesta di esercizio dei diritti (articolo 12 e 15 GDPR). La Società non ha risposto all’istanza dell’interessato entro i 30 giorni previsti. A tal riguardo, il Garante Privacy ha chiarito che: non sono richiesti requisiti di forma per la richiesta di accesso ai dati personali. Inoltre, nel caso di specie, la richiesta citava espressamente principi del GDPR e quindi difficilmente riconducibile ad una controversia giuslavoristica; l’esistenza di un contenzioso non esonera il titolare dall’obbligo di riscontro né tanto meno permette di rispondere in sede giudiziale. 2. Trattamento illecito della casella di posta dopo l’interruzione del lavoro (articolo 5 GDPR). Il mantenimento dell’account e l’inoltro automatico delle mail verso altri account aziendali violano i principi di liceità, minimizzazione e limitazione della conservazione dei dati personali. Richiamando la giurisprudenza CEDU, il Garante Privacy ha ribadito che la protezione della vita privata si estende anche al luogo di lavoro. Gli account individualizzati possono contenere comunicazioni personali, estranee o meno all’attività lavorativa, protette dalla segretezza della corrispondenza. Le esigenze aziendali devono essere soddisfatte con strumenti meno invasivi quali sistemi automatici che informano il mittente della cessazione del rapporto e indicano nuovi referenti, senza possibilità di visualizzare i messaggi destinati all’ex dipendente, prima della rimozione e disattivazione dell’account. La decisione Il Garante Privacy ha ritenuto la condotta particolarmente lesiva e oltre alla sanzione e alla pubblicazione del provvedimento sul proprio sito ha, altresì, ordinato alla Società di: soddisfare le richieste di accesso dell’interessato entro 30 giorni, fornendo accesso alla corrispondenza ricevuta sull’account; eliminare il contenuto della posta, salvo quanto strettamente necessario per la difesa in giudizio. Conclusioni Il provvedimento in oggetto ribadisce un principio chiaro ed essenziale: al termine del rapporto di lavoro, il titolare deve disattivare immediatamente l’account di posta elettronica individualizzato. Qualsiasi forma di accesso o inoltro automatico post-licenziamento è considerata un’ interferenza illecita nella vita privata del lavoratore , non giustificabile da generiche esigenze di difesa o continuità operativa.