Un recente provvedimento del Garante privacy, riferito a una società privata , torna su un tema molto pratico: che cosa può fare il datore di lavoro con la casella email individuale di un ex dipendente (anche apicale) e come deve gestire le richieste di accesso ai dati (DSAR).

La richiesta ex art. 15 non si ignora (mai)

La società non ha risposto nei termini a un’istanza del lavoratore che chiedeva disattivazione dell’account, accesso alla corrispondenza arrivata dopo la cessazione e gestione ordinata dei flussi. La difesa (“era scritta in modo equivoco”, “c’era un contenzioso”) non regge:

• non esistono requisiti di forma per una DSAR;
• se non si può rispondere, bisogna almeno motivare entro un mese (art. 12 GDPR).

Risultato: violazione degli artt. 12 e 15 GDPR.

“È posta di lavoro, quindi è dell’azienda” non basta

Il Garante ribadisce un principio chiave: anche la corrispondenza professionale contiene dati personali ed è protetta (richiami CEDU e linee guida). Quindi non è lecito limitare l’accesso solo alle email “personali”: la distinzione è spesso sfumata e non è una categoria prevista dal GDPR per restringere il diritto.

Offboarding email: minimizzazione e tempi certi

Nel caso concreto, la società ha mantenuto attivo l’account e inoltrato la posta verso altri indirizzi aziendali per circa due mesi. Per il Garante, questa gestione ha realizzato un trattamento non conforme ai principi di:

• liceità,
• minimizzazione,
• limitazione della conservazione (art. 5 GDPR).

Messaggio netto: la “continuità del business” si tutela con processi e strumenti di gestione documentale, non trasformando la mailbox in un archivio e, soprattutto, non con inoltri che equivalgono a rendere conoscibile la corrispondenza a terzi interni.

Esigenze di difesa? Sì, ma solo se concrete e tracciate

Invocare la difesa in giudizio può avere senso, ma non come formula generica: serve un pregiudizio effettivo e concreto e, in ogni caso, una comunicazione motivata senza ritardo se si intende limitare o differire l’esercizio dei diritti.

Sanzione e ordini: 40.000 euro e misure correttive

Il Garante ha ordinato di:

• consentire l’accesso alla corrispondenza richiesta,
• cancellare i contenuti, salvo quanto strettamente necessario per difesa,
  e ha applicato una sanzione di 40.000 euro, con pubblicazione del provvedimento.

E gli Enti pubblici?

Le regole di base non cambiano: DSAR nei termini, offboarding rispettoso, minimizzazione. Anzi, per la PA il tema è ancora più sensibile perché la corretta conservazione passa (o dovrebbe passare) da protocollo/gestione documentale, non dalla casella individuale.

Tre takeaway operativi (privati e PA)

1. Procedura DSAR: ogni richiesta “GDPR” deve essere riconosciuta e gestita con SLA (chi risponde, entro quando, e con quale priorità) chiari.
2. Exit email standard: disattivazione rapida, auto-reply, stop agli inoltri indiscriminati, gestione documentale.
3. Litigation hold mirato: conservare solo ciò che serve, con accessi limitati e tracciati.