Il caso: e-mail attiva per mesi dopo l’uscita del dipendente

Tutto ha avuto origine dal reclamo di un ex dipendente, che lamentava la mancata disattivazione della propria casella e-mail per oltre sei mesi, nonostante le ripetute richieste.
La società aveva confermato che l’indirizzo era ancora attivo, sebbene solo per ricezione: le e-mail in entrata venivano reindirizzate ad altri indirizzi aziendali, senza che fosse consentito inviare messaggi dal vecchio account.Nel corso dell’istruttoria, il Garante ha accertato che il reindirizzamento era rimasto attivo per circa otto mesi e che un altro operatore aveva avuto accesso alla casella per scaricare documenti fiscali e reimpostare credenziali di accesso a piattaforme online. Tutto ciò è avvenuto in assenza di un disciplinare interno che regolasse l’uso della posta elettronica aziendale.

Le motivazioni dell’azienda e la valutazione del Garante

L’azienda aveva giustificato la scelta spiegando che l’ex dipendente ricopriva un ruolo strategico e che la mancata gestione della sua casella avrebbe potuto comportare la perdita di rapporti commerciali rilevanti con clienti esteri.Tale motivazione, tuttavia, non è stata ritenuta sufficiente dall’Autorità, che ha ravvisato violazioni ai principi di liceità, limitazione della conservazione e minimizzazione dei dati, oltre che al principio di correttezza, poiché l’interessato non era stato adeguatamente informato sulle modalità del trattamento.

Le regole ribadite dal Garante

Nel provvedimento, il Garante ha riaffermato alcuni principi chiave già consolidati in materia di posta elettronica aziendale:

• Gli account personali riconducibili a persone identificabili devono essere disattivati dopo la cessazione del rapporto di lavoro.
• È necessario impostare un messaggio automatico di risposta, che informi i mittenti della cessazione del rapporto e fornisca un contatto alternativo aziendale.
• Il reindirizzamento automatico delle e-mail è una forma di trattamento dei dati personali e consente di conoscere informazioni private dell’ex dipendente.
• Il periodo di mantenimento dell’account deve essere ragionevole, proporzionato e limitato ai tempi tecnici necessari alla chiusura della casella e all’attivazione della risposta automatica.

Il Garante sottolinea che la gestione della posta elettronica non può basarsi su esigenze aziendali di convenienza, ma deve trovare un equilibrio con il diritto alla riservatezza di ex dipendenti, collaboratori e terzi.

La lezione: serve una policy chiara

Il caso non introduce novità sostanziali, ma ribadisce l’importanza di pianificare con attenzione la gestione delle e-mail aziendali.
Ogni organizzazione dovrebbe adottare un disciplinare interno che definisca procedure e tempi per la disattivazione delle caselle personali e la gestione dei contatti in uscita.Agire in modo estemporaneo o per “necessità del momento” espone invece l’azienda a rischi concreti di violazione della normativa privacy, in un ambito tanto comune quanto frequentemente sottovalutato.