Home

Internal

Global

Contatto

de|en|it

Rödl & Partner Italia: il volume d’affari 2024 cresce ad un livello record di 33,3 milioni di euro |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Gestione delle e-mail dei dipendenti: le indicazioni del Garante per i datori di lavoro

Ultimo aggiornamento del 27.10.2025 | Tempo di lettura ca. 4 minuti

La decisione n. 386 del 10 luglio 2025 del Garante ha censurato un’Università laziale per l’illegittima conservazione della casella e-mail di un docente e per una non corretta gestione delle sue richieste di esercizio dei diritti. Prendendo spunto dal caso concreto il provvedimento offre indicazioni pratiche per tutti i datori di lavoro per una corretta gestione dei rapporti privacy con i propri dipendenti.

L’istruttoria è stata avviata a seguito di un reclamo di un docente che, cessato l’incarico, ha scoperto che l’Ateneo conservava ancora la sua casella di posta istituzionale. Dalle verifiche svolte è emerso che l’account del docente era rimasto attivo per circa due anni dopo la fine del rapporto, senza che fossero stati fissati tempi di conservazione precisi e senza che fosse stato previsto l’inserimento di un messaggio automatico per reindirizzare le e-mail ricevute all’indirizzo cessato. Vediamo i principali punti emersi dalla decisione del Garante.

Il Garante ha ricordato che la corrispondenza elettronica, essendo un diritto tutelato a livello costituzionale, una conservazione dei messaggi di posta per un esteso arco temporale ed in assenza di una adeguata base giuridica costituisce una violazione dei principi di liceità, correttezza e trasparenza e limitazione della conservazione ai sensi degli artt. 5 e 6 del GDPR. Infatti, in assenza di adeguate policy interne sui tempi di conservazione degli account cessati, la prolungata conservazione delle e-mail da parte del datore di lavoro diventa di per sé un trattamento illecito, a prescindere dal fatto che i messaggi di posta contenuti nella casella vengano effettivamente consultati o meno. Ha, inoltre, richiamato anche il provvedimento in materia di conservazione dei metadati relativi alla gestione della posta elettronica del 6 giugno 2024, secondo il quale l’attività di raccolta e conservazione dei file di trasporto delle e-mail deve essere limitata a 21 giorni, estensibili solo con comprovate esigenze.

Inoltre, il provvedimento ha anche evidenziato carenze nella gestione delle richieste di esercizio dei diritti ai sensi degli artt. 15 e segg. del GDPR, formulate da parte del dipendente. Il docente aveva infatti chiesto al datore di lavoro, in particolare, la conferma dei trattamenti in corso e la cancellazione dei propri dati, nonché l’opposizione al trattamento. Tuttavia, l’università si è limitata a fornire all’interessato risposte generiche e, soprattutto, tardive. L’Ateneo aveva giustificato il ritardo nella risposta affermando che l’e-mail del docente era stata allocata all’interno della cartella della posta indesiderata, per questo motivo, non era stata individuata tempestivamente. Il Garante ha ritenuto tale argomentazione irrilevante dal momento che, il titolare, tra i propri obblighi di accountability, ha l’onere di controllare regolarmente tutta la posta che riceve nella propria casella, anche nella cartella della posta indesiderata.

L’Università, aveva giustificato l’impossibilità a procedere alla cancellazione e a dare seguito alla richiesta di opposizione, appellandosi alla necessità di conservazione dei dati per finalità di accertamento, esercizio e/o difesa di un diritto in sede giudiziaria. A tal proposito, il Garante, ha ribadito che il trattamento di dati personali effettuato per la finalità di tutela dei propri diritti deve essere riferito a un contenzioso in atto e non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti.

Infine, un ulteriore profilo critico individuato dal Garante riguardava la richiesta di cancellazione, da parte dell’ex docente, anche dei risultati di ricerca online, che rimandavano a documenti interni relativi all’assegnazione della docenza. L’Ateneo, a giustificazione di tale pubblicazione, aveva invocato gli obblighi di trasparenza e pubblicità degli atti, di cui all’art. 19 del d.lgs. 33/2013. Il Garante ha ricordato che l’art. 19 del d.lgs. 33/2013 autorizza la pubblicazione di bandi, graduatorie finali e atti conclusivi, non consentendo tuttavia la pubblicazione di atti interni o endoprocedimentali. Pertanto, la pubblicazione di tali atti, soprattutto se contenente dati personali di soggetti terzi, costituisce un trattamento illecito rispetto a quanto previsto dalla normativa nazionale.

Conclusioni

Il provvedimento del Garante rappresenta un richiamo concreto per tutti gli enti pubblici e privati a rivedere le proprie prassi e processi interni per la gestione dei dati personali. Sottovalutare gli obblighi privacy nei confronti dei dipendenti può infatti tradursi in costi economici e reputazionali elevati, spesso ben superiori a quelli necessari per prevenire tali rischi dal momento che la mancata attuazione delle disposizioni previste dal GDPR può comportare sanzioni pecuniarie fino a 20 milioni di euro o al 4 per cento del fatturato, oltre a danni reputazionali e possibili contenziosi.

Alla luce delle criticità evidenziate dal Garante, è fondamentale adottare alcuni accorgimenti che consentano di prevenire situazioni analoghe, in particolare si ricorda l’importanza di:

Prevedere policy sulla conservazione dei dati. Predisporre una procedura che definisca in modo chiaro tempi e modalità di disattivazione ed archiviazione degli account aziendali alla cessazione del rapporto di lavoro è essenziale per assicurare la corretta conservazione dei messaggi entro tempistiche prestabilite. È inoltre importate ricordarsi di impostare un messaggio automatico per informare i mittenti della dismissione dell’account di posta;
Gestire le istanze degli interessati in maniera corretta. È opportuno istituire un sistema interno che consenta di tracciare e monitorare le richieste degli interessati, prevedendo altresì controlli sulla posta indesiderata per evitare ritardi. È inoltre importante garantire risposte complete entro i termini previsti per legge, giustificando puntualmente eventuali dinieghi;
Trasparenza e pubblicazione degli atti. Pubblicare online solo gli atti espressamente previsti per legge; qualsiasi pubblicazione ulteriore (ad esempio nella intranet aziendale) deve essere sorretta da una base giuridica o è necessario anonimizzare i dati personali ivi presenti;
Effettuare valutazione d’impatto. Effettuare una valutazione d’impatto (DPIA) per quei trattamenti a rischio o che implichino un potenziale controllo nei confronti dei dipendenti e, ove necessario, ottenere i necessari accordi con le rappresentanze sindacali o le necessarie autorizzazioni da dell’Ispettorato del Lavoro territorialmente competente;
Formare il personale e assicurare l’aggiornamento dei registri. È opportuno verificare che i dipendenti conoscano le regole sul corretto trattamento dei dati personali attraverso momenti di formazione periodica, assicurandosi altresì di mantenere aggiornati i registri dei trattamenti e le informative rivolte agli interessati.

La decisione del Garante riafferma in modo concreto il principio di accountability che dovrebbe sempre guidare i datori di lavoro nella gestione dei dati personali dei dipendenti. Una corretta gestione delle caselle di posta e delle richieste di esercizio dei diritti non è solo un adempimento formale, ma un segno di correttezza, proporzionalità e rispetto a tutela delle persone e dell’organizzazione stessa.