I fatti

Il provvedimento del Garante per la protezione dei dati personali 18 dicembre 2026 n. 754 trae origine dal reclamo presentato dall'ex amministratore delegato di una società (che si presume avesse anche un rapporto di lavoro subordinato alle dipendenze della medesima), il quale, a seguito di un licenziamento per giusta causa (frutto di procedimento disciplinare con applicazione della sospensione cautelare), è stato inibito dall'accesso al proprio account di posta elettronica aziendale.

Nonostante la cessazione del rapporto di lavoro, l'account di posta elettronica era rimasto attivo continuando, dunque, a ricevere comunicazioni, tra cui messaggi contenenti informazioni personali del dipendente. A fronte di ciò, il dipendente ha quindi inoltrato un'istanza alla società al fine di richiedere la disattivazione dell'account, la trasmissione delle e‑mail sopravvenute (post cessazione del rapporto) e l'attivazione di un sistema di risposta automatica diretta a terzi contenente l'indicazione dell'indirizzo di posta elettronica personale a cui reindirizzare eventuali comunicazioni per il dipendente.

La suddetta richiesta d'accesso ai dati è stata formulata ai sensi dell'art. 15 del GDPR il cui dettato prevede che "l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali" e a informazioni sulla finalità del trattamento, sulle categorie di dati, etc. tutte elencate nel medesimo art. 15.

Contrariamente alle chiare disposizioni di legge, il dipendente non ha ricevuto alcun riscontro dalla società (si noti a tal proposito che l'art. 12 c. 3 GDPR fissa dei termini precisi di riscontro a simili richieste - "Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa").

Alla luce di quanto sopra, il dipendente ha quindi proposto reclamo all'Autorità Garante al fine di “accertare l'illegittimità del trattamento dei dati personali e lavorativi”, di “ingiungere la cessazione dei suddetti trattamenti (…), eventualmente disponendo anche la cancellazione o la limitazione nel trattamento” e di adottare i provvedimenti di propria competenza nei confronti del titolare del trattamento.

Il Garante ha preliminarmente individuato le contestate violazioni relative al mancato riscontro all'istanza e alla gestione della casella di posta elettronica dopo l'interruzione del rapporto di lavoro e, per l'effetto, ha avviato un procedimento nei confronti della società.

L'istruttoria del Garante

Nelle fasi istruttorie del procedimento, la società ha chiarito di aver gestito l'account e la posta per ragioni di continuità operativa e, inoltre, per esigenze difensive nel contenzioso giuslavoristico che andava avviandosi in relazione al licenziamento per giusta causa irrogato al dipendente. Nello specifico, la società ha evidenziato che, in caso l'account fosse stato integralmente cancellato, si sarebbe verificata una compromissione delle proprie esigenze di difesa sia nel contenzioso giuslavoristico instaurato dal dipendente, sia in eventuali altri contenziosi instaurandi in considerazione dell'operato del reclamante.

Fermo restando quanto sopra, è emerso che, ai sensi del regolamento interno alla società, la disattivazione dell'account avrebbe dovuto avvenire entro 30 giorni, con un inoltro temporaneo delle comunicazioni. Nel caso concreto, tuttavia, l'inoltro e l'accesso alla corrispondenza si sono protratti per un periodo di circa 2 mesi. La società ha in ogni caso ribadito di non aver effettuato controlli sull'account durante il rapporto di lavoro e di essere disponibile a consentire l'accesso ai dati personali del dipendente.

Infine, con specifico riferimento al mancato riscontro all'istanza d'accesso formulata dal dipendente, la società ha affermato che tale richiesta si inseriva nella più ampia vicenda che ha comportato il licenziamento per giusta causa del soggetto da parte della società e il medesimo reclamante ha, successivamente, impugnato il licenziamento in sede giudiziale. Alla data dell'istanza (22 settembre 2023) era, di fatto, già in corso un "pre-contenzioso" e la società ha, in buona fede, ritenuto la comunicazione del 22 settembre 2023 riferita integralmente all'ambito giuslavoristico e, di conseguenza, di poter rispondere a tale comunicazione in sede giudiziale e, nello specifico, con la propria memoria difensiva.

Le suddette argomentazioni non hanno influito sulla valutazione del caso da parte dell'Autorità Garante che, all'esito dell'istruttoria, ha rilevato la violazione:

1. del diritto di accesso del dipendente;
2. dei principi generali di correttezza e liceità nel trattamento dei dati personali.

Il mancato riscontro all'istanza ex artt. 12 e 15 GDPR

Il Garante ha ritenuto ingiustificato il mancato riscontro alla richiesta d'accesso ai dati formulata da parte del dipendente.

In tal senso, ai sensi del GDPR, il titolare è tenuto a rispondere entro un mese, anche solo per comunicare le ragioni dell'eventuale impossibilità di adempiere. In proposito, vale la pena osservare che il diritto di accesso alle informazioni è soggetto unicamente ai limiti derivanti dall'art. 15 c. 4 del GDPR (i.e. mancata lesione di diritti e libertà altrui) e dall'art. 12 c. 5 del GDPR (i.e. quando le richieste sono manifestamente infondate o eccessive).

A parer del Garante non è neanche stato dimostrato alcun concreto pregiudizio che potesse giustificare una limitazione del diritto di accesso ai sensi dell'art. 2‑undecies del D.Lgs. 196/2003 (i.e. "i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del GDPR, qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto a (…) allo svolgimento di investigazioni difensive o all'esercizio di un diritto in sede giudiziaria (…)”).

Rispetto, quindi, alla configurabilità al caso di specie della fattispecie prevista dal citato art. 2-undecies deve osservarsi che non è stato (adeguatamente) dimostrato alcun pregiudizio concreto e attuale che potesse derivare alla società dall'accesso alla propria corrispondenza da parte dell'interessato. In ogni caso, in base al comma 3 della medesima norma, il datore di lavoro sarebbe comunque tenuto ad inviare all'interessato, una “comunicazione motivata e resa senza ritardo” in caso in cui ritenga di ritardare o escludere l'esercizio dei diritti.

Infine, il Garante ha altresì rigettato l'argomentazione addotta dalla società in base alla quale l'eventuale accesso alla posta elettronica del reclamante dovesse essere limitato alle sole e-mail di carattere personale, in quanto la corrispondenza di contenuto lavorativo/professionale sarebbe di proprietà aziendale.

In proposito, rilevato che la corrispondenza oggetto dell'istanza di accesso riguarda comunicazioni elettroniche ricevute su un account di tipo individualizzato successivamente all'interruzione del rapporto di lavoro, si ritiene che il limite imposto dalla società (limite che non è contemplato da alcuna disposizione del GDPR) non sia lecito, piuttosto configurandosi come una violazione dell'art. 15 del GDPR che, infatti, riconosce all'interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l'accesso ai dati personali (…)” (art. 15 c. 1 GDPR).

La violazione dei principi di liceità, minimizzazione e limitazione della conservazione

Il mantenimento dell'account attivo per 2 mesi dopo la cessazione del rapporto e l'inoltro sistematico dei messaggi verso altri indirizzi aziendali hanno comportato trattamenti non conformi ai principi dell'art. 5 GDPR.

In proposito, il Garante ha ribadito il proprio orientamento ormai consolidato: in seguito alla cessazione di un rapporto di lavoro, il datore deve disattivare l'account individuale e attivare un messaggio automatico informativo, evitando la lettura dei messaggi in arrivo.

L'inoltro delle e‑mail e la loro conservazione non rientrano tra le misure ammesse per garantire la continuità aziendale, che devono invece fondarsi su adeguati sistemi di gestione documentale e non sulla posta personale dell'ex dipendente.

La decisione del Garante

Rilevata l'illiceità della condotta aziendale, il Garante ha ordinato alla società di:

• comunicare all'interessato tutte le informazioni richieste per mezzo dell'istanza del 22 settembre cui la società non aveva mai risposto;
• pagare una sanzione amministrativa pecuniaria di ammontare pari a 40.000 euro;
• comunicare all'Autorità le misure adottate per ottemperare al provvedimento.

È stata disposta anche la pubblicazione dell'ordinanza di ingiunzione sul sito internet del Garante, in considerazione della gravità della violazione.

Fonte: Provvedimento Garante privacy 18 dicembre 2025 n. 754 (Newsletter 29 gennaio 2026)