logo-poc logo-upi logo-dipartimento-funzione-pubblica
Piattaforma Collaborativa Pi.Co.
Piattaforma Collaborativa Pi.Co.
Unione delle Province d'Italia
Cerca
Blog

Ancora sulla posta elettronica: il Garante ribadisce i concetti di base

Andrea Susa
Data di Pubblicazione2 Mesi Fa

Didascalia

Torniamo sul tema della posta elettronica, dopo i blog del 26 maggio e del 9 giugno 2025, per illustrare quanto indicato nel Provvedimento del Garante Privacy del 10 luglio 2025 [10162267] relativamente alla gestione degli account in caso di cessazione del rapporto di lavoro. Il Provvedimento in questione è articolato e le doglianze del reclamante varie, ma vogliamo concentrarci solo sulla parte relativa alla posta elettronica.

 

La vicenda: un caso da manuale

Il caso esaminato dal Garante riguarda un docente a contratto di una Università, il quale ha presentato reclamo perché, anche dopo la cessazione del proprio incarico, l’Ateneo aveva mantenuto attiva la casella di posta elettronica istituzionale a lui intestata per un lungo periodo, pur avendo revocato le credenziali di accesso.

In particolare, il reclamante lamentava il fatto che l'Ateneo:

  1. non avesse disattivato l'account al termine del contratto ma solo cambiato la password, rendendolo inaccessibile al docente ma, virtualmente, a disposizione dell'Amministrazione;

  2. non avesse predisposto sistemi automatici per informare i terzi della cessazione del rapporto;

  3. avesse conservato i messaggi di posta elettronica per almeno un anno.

Su questi punti il Garante ha richiesto informazioni all'Ateneo che, in sostanza, ha proposti i seguenti argomenti a difesa:

  • l'accesso è stato revocato al docente per utilizzo scorretto della posta elettronica, mediante cambio di password, prima della scadenza del contratto. Tuttavia, la casella di posta elettronica risultava attiva e funzionante per tutti i mittenti;
  • la disattivazione dell’account è avvenuta in una data successiva (oltre un anno dalla cessazione del contratto) e, a partire da questa specifica data, i mittenti ricevevano un messaggio di errore (“Delivery Status Notification – Failure”);
  • il ritardo nella disattivazione della posta elettronica è da considerarsi "evento eccezionale e non come prassi amministrativa negligente", giustificata dalle "difficoltà organizzative legate alla pandemia COVID-19, che avevano assorbito le risorse tecniche e amministrative in altre priorità" e da un “errore materiale, legato alla gestione di decine di migliaia di account”;
  • nessun dipendente dell'Ateneo ha avuto accesso alla posta elettronica del docente, in quanto i dati erano “solo conservati” e non trattati o utilizzati, ovvero il trattamento sarebbe stato puramente tecnico e non avrebbe inciso sulla sfera privata del reclamante.

Inoltre, tra le argomentazioni proposte per giustificare la conservazione della mail, l'Ateneo ha ritenuto che tale trattamento fosse lecito in quanto:

  • finalizzato all'archiviazione per pubblico interesse, ai sensi del Codice dei Beni culturali e del Paesaggio (d.lgs. n. 42/2004);

  • per necessità di eventuali verifiche o adempimenti legali collegati alle istanze del docente che, nel frattempo, aveva presentato reclami e richieste di accesso documentale, proponendo ricorso alla Commissione di accesso ai documenti amministrativi (CADA), istituita presso la Presidenza del Consiglio.

A seguito dell'attivazione dell'istruttoria del Garante, l'Ateneo ha collaborato attivamente, implementando le seguenti misure:

  • attivazione un sistema automatico di risposta per informare i mittenti e fornire indirizzi alternativi;

  • cancellazione integrale dell’account e dei messaggi in esso contenuti.

 

Valutazione del Garante e come comportarsi

Il Garante ha riconosciuto la collaborazione dell’Ateneo e il fatto che non vi fosse stata consultazione del contenuto delle email, ma ha comunque ritenuto che:

  • la prolungata conservazione dei messaggi e la mancata informativa ai terzi mittenti costituissero una violazione dei principi di liceità, correttezza e trasparenza;

  • non vi fosse alcuna base giuridica sufficiente per mantenere attivo un account personale di un lavoratore cessato per oltre un anno;

  • la giustificazione dell’archiviazione “per pubblico interesse” fosse inconferente, perché le email personali non rientrano tra i documenti amministrativi protocollati o rilevanti ai fini istituzionali.

In sintesi, conservare e gestire una casella di posta elettronica personale di un dipendente o un collaboratore dopo la cessazione del rapporto senza una valida motivazione, costituisce un trattamento illecito di dati personali.

Nel Provvedimentosi richiamano esplicitamente le "Linee guida del 2007 su posta elettronica e internet" e il "Documento di indirizzo sui programmi di gestione della posta elettronica nel contesto lavorativo (2023)", che contengono regole operative ancora valide.

In particolare, le buone pratiche previste dal Garante sono le seguenti:

1. Disattivazione dell’account: alla cessazione del rapporto di lavoro, il datore deve:

  • disattivare tempestivamente la casella di posta elettronica nominativa (es. nome.cognome@azienda.it);

  • evitare di accedere al contenuto dei messaggi;

  • predisporre un messaggio automatico di risposta che informi i mittenti della cessazione del rapporto e indichi un indirizzo alternativo per comunicazioni di servizio.

2. Conservazione dei messaggi: la conservazione dei messaggi è lecita solo se:

  • limitata nel tempo e giustificata da motivi specifici (ad es. obblighi legali o archiviazione di atti amministrativi);

  • effettuata con procedure tracciate e con ruoli di accesso definiti;

  • esclude ogni lettura o utilizzo a fini diversi da quelli istituzionali.

I messaggi di posta, infatti, sono corrispondenza privata e tutelata costituzionalmente (artt. 2 e 15 Cost., art. 616 c.p.), anche se inviati o ricevuti tramite strumenti aziendali.

3 Informativa e policy interne: le organizzazioni devono dotarsi di regolamenti o policy aziendali che definiscano:

  • le modalità d’uso della posta elettronica;

  • i tempi di conservazione degli account dopo la cessazione del rapporto;

  • le procedure di backup, accesso e cancellazione;

  • le responsabilità di amministratori di sistema e DPO.

 

Conclusioni

La corretta gestione della posta elettronica non è solo una questione di efficienza organizzativa, ma di tutela dei diritti fondamentali dei lavoratori e di rispetto del principio di proporzionalità nel trattamento dei dati personali.

Il caso in esame dimostra che anche un uso che appare neutro, come la semplice conservazione di email disattivate, può tradursi in una violazione significativa della privacy. Per questo motivo è necessario verificare se e come le procedure interne garantiscano un approccio conforme a quanto indicato dal Garante e se tali procedure vengano effettivamente eseguite.

Commento (0)

Altri Articoli Blog

thumbnail

Welfare aziendale e vincoli di spesa: dal blocco apparente alla reale opportunità per gli enti locali

Bertagna Gianluca
16 ott
0
thumbnail

L’ANAC CHIRISCE IL RUOLO DELLA COMPONENTE ECONOMICA NEI PROJECT FINANCING E PPP

Andrea Gandino
14 ott
2
Blog