L’azienda può leggere o tenere attiva la mail dell’ex dipendente?

Scopri le regole del Garante sulla chiusura dell’account aziendale, il divieto di reindirizzamento automatico e come gestire la privacy e i contatti dopo il licenziamento.

Quando un rapporto di lavoro si interrompe, che sia per dimissioni o licenziamento, ci sono molte procedure da seguire. Si restituiscono le chiavi, il badge, il computer portatile. Tuttavia, esiste una “chiave” digitale che spesso viene trascurata o gestita in modo improprio: l’indirizzo di posta elettronica aziendale che riporta il nome e cognome del lavoratore. Molti datori di lavoro, preoccupati di perdere contatti commerciali o comunicazioni importanti, tendono a lasciare aperta la casella postale dell’ex dipendente per mesi, magari leggendone il contenuto. Questa pratica, seppur mossa da esigenze organizzative, si scontra frontalmente con il diritto alla riservatezza.

Capire se l’azienda può leggere o tenere attiva la mail dell’ex dipendente è fondamentale per tutelare la propria privacy e per le imprese che vogliono evitare sanzioni. Il Garante della Privacy ha tracciato una linea netta: l’efficienza non può calpestare la segretezza della corrispondenza.

In questo articolo spiegheremo come deve avvenire la disattivazione dell’account, perché è vietato deviare le mail verso altri colleghi e quali sono i documenti obbligatori, come l’informativa e il disciplinare interno, che regolano la vita digitale in ufficio. Analizzeremo le corrette procedure per gestire i contatti e i cosiddetti metadati, garantendo il rispetto delle regole anche quando le strade professionali si dividono.

Cosa succede alla casella email quando finisce il lavoro?

La regola generale impone che l’account di posta elettronica che contiene il nome del lavoratore (quindi riferibile a una persona specifica) debba essere rimosso. Questa operazione non può avvenire dopo anni, ma deve essere completata entro un tempo tecnico ragionevole dalla cessazione del rapporto.

Il datore di lavoro non può mantenere attiva la casella per i propri interessi economici o lucrativi a tempo indeterminato.

La procedura corretta prevede prima la disattivazione dell’account e, contestualmente, l’attivazione di sistemi automatici di risposta. Questi messaggi automatici servono ad avvisare chi scrive che quella persona non lavora più lì e a fornire indirizzi alternativi a cui rivolgersi per gestire la pratica. Una volta trascorso questo breve periodo tecnico necessario per informare i terzi, l’account deve essere eliminato definitivamente (Provv. Garante 25 giugno 2025).

È legale deviare le mail dell’ex dipendente su un altro indirizzo?

Assolutamente no. Una pratica molto diffusa, ma sanzionata dal Garante, è il reindirizzamento automatico dei messaggi. Capita spesso che l’azienda imposti il sistema affinché tutte le mail in arrivo sulla casella dell’ex dipendente vengano girate automaticamente a un collega o al titolare. Questa operazione viola la normativa sulla privacy.

Il motivo è semplice: nella casella nominativa potrebbero arrivare comunicazioni personali e riservate. Deviare la posta permetterebbe a terzi non autorizzati di leggere contenuti privati, violando la legittima aspettativa di riservatezza sulla corrispondenza. Un esempio concreto riguarda un’azienda sanzionata per aver tenuto attiva la mail di una lavoratrice per otto mesi dopo il licenziamento, reindirizzando tutto il traffico su un altro account aziendale.

Come non perdere i contatti con i clienti senza violare la privacy?

Per evitare problemi, l’azienda deve organizzarsi prima. Il Garante suggerisce l’uso di indirizzi generici o impersonali (come info@società.it o commerciale@società.it) oppure indirizzi condivisi tra più lavoratori. In questo modo, se un dipendente va via, l’indirizzo resta attivo e accessibile agli altri senza violare la privacy di nessuno.

Inoltre, è utile affiancare a questi strumenti la possibilità per il lavoratore di avere un indirizzo diverso per uso privato. Per gestire le assenze programmate, come le ferie o il lavoro fuori sede, la soluzione migliore è sempre il messaggio di risposta automatica. Questo deve contenere le coordinate (email o telefono) di un altro soggetto o della struttura, permettendo al lavoro di proseguire senza che nessuno debba entrare nella casella altrui (Linee guida Garante 1° marzo 2007).

Il capo può controllare la posta se il dipendente si ammala?

Ci sono casi di assenze non programmate, come una malattia improvvisa, in cui il lavoratore non fa in tempo ad attivare il risponditore automatico. Se l’assenza si prolunga e ci sono necessità lavorative improrogabili, il titolare del trattamento può intervenire. Tuttavia, deve farlo con cautela, solo se strettamente necessario e incaricando personale apposito.

La prassi migliore è preventiva: il lavoratore dovrebbe poter delegare un collega di fiducia (fiduciario). Questo delegato verificherà il contenuto dei messaggi e inoltrerà al titolare solo quelli rilevanti per il lavoro.

È anche opportuno inserire nei messaggi un avviso per i destinatari, chiarendo la natura non personale della corrispondenza e specificando che le risposte potrebbero essere lette da altre persone all’interno dell’organizzazione.

Quali documenti deve preparare l’azienda per essere in regola?

La trasparenza è un obbligo di legge. I lavoratori devono ricevere un’informativa dettagliata (ex art. 13 Gdpr) che spieghi esattamente come vengono trattati i loro dati connessi all’uso della mail e degli strumenti informatici.

L’azienda deve anche aggiornare il proprio registro del trattamento descrivendo queste operazioni.

Fondamentale è l’adozione di un disciplinare interno o policy aziendale sull’uso di internet e posta elettronica. Questo documento deve chiarire:

• le regole per l’uso corretto della posta;

• se è permesso l’uso personale e in che misura;

• come viene archiviata la posta;

• cosa succede in caso di assenza o fine rapporto;

• come vengono fatti i controlli e le conseguenze per chi non rispetta le regole.

Per quanto tempo si possono conservare i dati tecnici delle email?

Oltre al contenuto dei messaggi, esistono i metadati. Si tratta di informazioni tecniche registrate dai sistemi (mittente, destinatario, orari, indirizzi IP, dimensioni allegati). Anche se non mostrano il testo della mail, i metadati possono rivelare molto sulla vita lavorativa e personale del dipendente. Il Garante considera questi dati come non necessari per l’esecuzione dell’attività lavorativa standard.

Le imprese possono conservare i metadati di trasporto per un periodo limitato, fissato fino a 21 giorni. Se l’azienda ha bisogno di conservarli per più tempo, non può decidere da sola: deve ottenere un accordo con le organizzazioni sindacali oppure richiedere l’autorizzazione all’Ispettorato territoriale del lavoro.