La posta elettronica è uno strumento essenziale di lavoro, ma anche una delle aree più delicate per la privacy. Ogni giorno attraverso le email aziendali passano comunicazioni interne, dati personali, documenti riservati e informazioni sensibili. Per questo motivo, il Garante per la protezione dei dati personali è intervenuto più volte a chiarire le regole che aziende ed enti pubblici devono rispettare.
L’ultimo intervento riguarda un tema molto pratico: cosa fare con la casella email di un dipendente dopo la cessazione del rapporto di lavoro. Il Garante ha stabilito che mantenerla attiva, anche solo per un periodo di tempo prolungato, costituisce una violazione del GDPR. La posta elettronica aziendale, anche se legata a un ruolo professionale, può contenere comunicazioni personali e dati che restano sotto la tutela dell’ex lavoratore.
Secondo il Garante, la casella email deve essere disattivata tempestivamente alla cessazione del rapporto. Non è lecito accedere ai messaggi o monitorare la corrispondenza dell’ex dipendente. L’unica eccezione ammessa riguarda l’attivazione di un messaggio automatico di risposta (autoresponder) che informi i mittenti della cessazione del rapporto e fornisca un nuovo indirizzo di contatto aziendale.
Per evitare di perdere comunicazioni importanti, le aziende possono e dovrebbero utilizzare indirizzi generici o funzionali (come info@, contatti@, amministrazione@) invece di indirizzi nominativi. In questo modo si garantisce continuità operativa senza compromettere la riservatezza dei singoli.
Le violazioni, anche se commesse in buona fede, possono costare caro. Il GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo, ma ancora più grave è il danno reputazionale: un’azienda che non tutela i dati dei propri dipendenti mostra scarsa cultura della privacy e rischia di perdere la fiducia di collaboratori e clienti.
Il rispetto delle regole non riguarda solo la fase di cessazione del rapporto, ma l’intera gestione della posta elettronica. Le aziende devono adottare policy interne chiare, informare i lavoratori sulle modalità di utilizzo della mail, e prevedere controlli solo quando strettamente necessari e nel rispetto del principio di proporzionalità.
Tra le buone pratiche operative raccomandate:
- aggiornare periodicamente le policy e i registri dei trattamenti;
- informare i dipendenti sulle procedure di gestione delle email;
- disattivare tempestivamente le caselle personali al termine del rapporto;
- attivare messaggi automatici di risposta per la continuità aziendale;
- utilizzare indirizzi generici per ruoli e funzioni;
- evitare l’accesso diretto ai contenuti delle email personali.
Inoltre, è fondamentale formare costantemente il personale: molti errori derivano da comportamenti inconsapevoli, come l’uso improprio delle email aziendali per scopi personali o la condivisione di dati sensibili senza adeguate misure di sicurezza.
Gestire bene la posta elettronica significa anche rafforzare la sicurezza informatica. Le email sono infatti il principale vettore di attacchi cyber e furti di dati. Impostare procedure chiare e controlli adeguati riduce anche questi rischi, migliorando la resilienza complessiva dell’organizzazione.
Il messaggio del Garante è semplice: la continuità aziendale non può giustificare la violazione della privacy. Disattivare subito le caselle personali, usare strumenti tecnici appropriati e informare correttamente i lavoratori sono passaggi indispensabili per rispettare la legge e dimostrare professionalità.
In definitiva, la gestione corretta delle email aziendali non è solo un adempimento legale, ma un segno di maturità organizzativa e di rispetto reciproco. Le aziende che sanno coniugare efficienza e tutela dei dati dimostrano di avere una cultura digitale evoluta — e, oggi più che mai, la fiducia è la vera risorsa su cui costruire il futuro.
