Per molte PMI, la casella email aziendale di un dipendente cessato è ancora gestita in modo improvvisato: si lascia attivo l’account per qualche settimana, si imposta un inoltro automatico al collega che prende in carico i rapporti, oppure si conserva l’accesso “nel caso serva” per recuperare informazioni utili.
È una prassi molto diffusa. Ma oggi è anche una prassi ad alto rischio.
Con il provvedimento del 18 dicembre 2025, il Garante per la protezione dei dati personali ha ribadito che la casella email aziendale nominativa dell’ex dipendente non può essere trattata come un semplice archivio interno dell’impresa. Nel caso esaminato, l’account era rimasto attivo per circa due mesi dopo la cessazione del rapporto ed era stato impostato un sistema di inoltro automatico dei messaggi in entrata verso un altro indirizzo aziendale. Secondo l’Autorità, questa gestione non è risultata conforme ai principi del GDPR.
Perché il tema riguarda da vicino le PMI
Nelle piccole e medie imprese il problema è molto concreto. Quando un commerciale, un responsabile amministrativo, un tecnico o un dirigente lascia l’azienda, la posta elettronica contiene spesso contatti, richieste, preventivi, trattative, documenti e comunicazioni operative che sembrano indispensabili per garantire continuità al business.
Proprio qui nasce l’errore più comune: confondere l’esigenza organizzativa dell’impresa con la legittimità di accedere liberamente alla corrispondenza riferibile a una persona fisica.
Il Garante ha richiamato il principio secondo cui anche l’email aziendale individualizzata, cioè nominativa e riconducibile a uno specifico lavoratore, rientra nell’ambito della tutela dei dati personali e della riservatezza della corrispondenza. Non conta solo il contenuto dei messaggi, ma anche i relativi metadati: mittente, destinatario, oggetto, data e ora.
Cosa non dovrebbe fare l’azienda
Per una PMI, il messaggio è chiaro: dopo la cessazione del rapporto non è prudente lasciare attivo l’account nominativo dell’ex dipendente per un periodo apprezzabile, né predisporre un inoltro automatico generalizzato delle email in arrivo verso altri colleghi o uffici.
Secondo il provvedimento, infatti, la continuità dell’attività aziendale non basta da sola a giustificare un accesso sistematico alla corrispondenza dell’ex lavoratore. Una gestione di questo tipo rischia di entrare in conflitto con i principi di liceità, minimizzazione e limitazione della conservazione previsti dal GDPR.
In termini pratici, questo significa che non è una buona soluzione:
mantenere per settimane o mesi l’indirizzo nome.cognome@azienda.it come se nulla fosse;
leggere i nuovi messaggi destinati all’ex dipendente;
inoltrare automaticamente tutta la posta a un altro account aziendale;
rinviare la disattivazione perché “potrebbe servire” in un eventuale contenzioso.
Cosa dovrebbe fare una PMI in modo corretto
L’approccio corretto è organizzativo prima ancora che tecnico.
Alla cessazione del rapporto, l’azienda dovrebbe prevedere una procedura interna chiara che distingua il recupero delle informazioni aziendali realmente necessarie dalla corrispondenza personale o comunque riferibile alla sfera individuale dell’ex dipendente.
In linea generale, la soluzione più prudente è:
disattivare l’account nominativo;
attivare, per un periodo limitato e proporzionato, un messaggio automatico che informi i mittenti della cessazione del rapporto;
indicare nel messaggio un indirizzo alternativo aziendale, ad esempio commerciale@, amministrazione@ o assistenza@;
evitare che terzi possano visualizzare i messaggi in arrivo destinati alla vecchia casella nominativa.
Questo assetto consente all’impresa di non disperdere i contatti commerciali e, allo stesso tempo, di ridurre il rischio di trattamenti eccedenti o non necessari.
Account nominativi e account generici: non sono la stessa cosa
Uno dei passaggi più interessanti dell’orientamento richiamato nell’articolo allegato riguarda la distinzione tra account individualizzati e account generici o funzionali.
Un indirizzo come nome.cognome@azienda.it è normalmente riconducibile a una persona precisa. Un indirizzo come info@, commerciale@, hr@ o segreteria@ ha invece una funzione organizzativa e, almeno in astratto, può essere gestito da più soggetti nel tempo. L’articolo evidenzia proprio questo possibile diverso inquadramento, pur ricordando che serve sempre una valutazione concreta delle modalità d’uso.
Per le PMI questo è un punto strategico anche in ottica preventiva: una corretta architettura degli indirizzi email riduce il rischio a monte.
Dove possibile, conviene fare in modo che i flussi davvero aziendali transitino su caselle funzionali condivise e regolamentate, mentre gli account nominativi restino limitati alle comunicazioni personali e individuali di ruolo. È una scelta che migliora sia la privacy sia la continuità operativa.
Il vero tema è l’organizzazione interna
Molte contestazioni privacy non nascono da comportamenti volutamente scorretti, ma dall’assenza di procedure.
Per questo, ogni impresa dovrebbe chiedersi:
chi decide la disattivazione della casella quando termina il rapporto;
entro quanto tempo viene eseguita;
quale autoreply viene impostato;
chi gestisce i contatti e le relazioni commerciali pendenti;
quanto tempo vengono conservati eventuali dati connessi alla dismissione dell’account;
quale informativa è stata resa in precedenza al personale.
Nel caso richiamato, il Garante ha anche rilevato che la società non aveva rispettato i tempi di conservazione previsti dalla propria stessa procedura interna. Questo è un aspetto molto importante: non basta avere una policy, bisogna anche applicarla in modo coerente.
Perché conviene intervenire subito
Per una PMI il rischio non è solo sanzionatorio. Una gestione non corretta dell’email dell’ex dipendente può generare:
contenziosi con ex lavoratori o dirigenti;
contestazioni sul trattamento dei dati personali;
problemi reputazionali;
disordine interno nella gestione dei clienti e delle comunicazioni;
criticità probatorie in eventuali giudizi.
In altre parole, non è un tema “da grandi aziende”. È un tema molto concreto anche per le realtà imprenditoriali del territorio reggiano, soprattutto quando non esistono uffici privacy strutturati e le decisioni vengono prese in emergenza.
Un check-up utile per le aziende
Se sei titolare di una PMI, amministratore o responsabile HR, questo è il momento giusto per verificare almeno quattro aspetti:
la tua azienda usa ancora account nominativi come principale contenitore dei rapporti con clienti e fornitori;
esiste una procedura scritta per la cessazione del rapporto e la disattivazione delle email;
sono previsti messaggi automatici corretti e indirizzi alternativi di contatto;
le prassi effettive sono davvero allineate alle policy interne e al GDPR.
Costruire adesso una procedura chiara
La posta elettronica aziendale dell’ex dipendente non può essere gestita con automatismi o abitudini sedimentate. Il provvedimento del Garante conferma che l’azienda deve trovare un equilibrio serio tra continuità operativa e tutela della riservatezza, soprattutto quando si tratta di account nominativi.
Per le PMI la scelta più intelligente non è aspettare un problema, ma costruire adesso una procedura chiara, proporzionata e difendibile.
La tua azienda ha una procedura corretta per la gestione dell’email aziendale alla cessazione del rapporto?
Verificare policy, informative e prassi interne aiuta a prevenire contestazioni, disfunzioni organizzative e rischi privacy.

