Garante privacy: necessario disattivare gli indirizzi e-mail dopo la cessazione del rapporto

Il Garante per la protezione dei dati personali, con provvedimento n. 386 del 10 luglio 2025, ha sanzionato un ateneo perché, pur avendo disposto il blocco dell’account di posta elettronica di un docente con cui aveva cessato il rapporto di lavoro, in realtà aveva soltanto provveduto a resettare la password di accesso, mantenendo, tuttavia, attiva la relativa casella di posta elettronica e conservando per circa 2 anni i messaggi in entrata e in uscita.

L’ateneo, effettuando una prolungata conservazione dei dati personali contenuti nei messaggi di posta elettronica e omettendo, per un lungo periodo, di adottare misure finalizzate a rendere edotti i terzi mittenti della circostanza che il docente non avesse più la possibilità di accedere ai messaggi ricevuti, ha agito in maniera non conforme ai principi di liceità, correttezza e trasparenza e limitazione della conservazione, ponendo in essere un trattamento di dati privo di base giuridica, in violazione degli artt. 5, par. 1, lettere a) ed e), e 6, Regolamento (UE) 2016/679.

Il Garante richiama il provvedimento “Lavoro: le linee guida del Garante per posta elettronica e internet”, adottato con delibera n. 13 del 1° marzo 2007 (doc. web n. 1387522) riguardo al corretto utilizzo della posta elettronica e della rete internet nel contesto lavorativo, con cui ha fornito specifiche indicazioni ai titolari del trattamento, evidenziando, in particolare, che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un’ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale)”.

Il provvedimento sottolinea come, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza, rimandando anche al “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (doc. web n. 10026277, par. 2).

Il Garante ha chiarito che ogni operazione relativa al servizio di posta elettronica dev’essere effettuata nel rispetto dei principi di necessità, correttezza, pertinenza e non eccedenza nonché con un livello di tutela tale da impedire interferenze ingiustificate sui diritti fondamentali dei lavoratori, dei terzi mittenti e/o dei destinatari delle medesime comunicazioni. L’Autorità ha anche evidenziato che può considerarsi conforme ai predetti principi la condotta del titolare che provveda, dopo la cessazione del rapporto di lavoro dell’interessato, alla disattivazione dell’account di posta elettrica e alla contestuale adozione di sistemi automatici atti a informarne i terzi e a fornire a questi ultimi indirizzi di posta elettronica alternativi riferiti all’attività del medesimo titolare, evitando in tal modo di prendere visione delle comunicazioni in entrata o in uscita presenti nella casella di posta elettronica assegnata su base individuale al lavoratore.