I recenti provvedimenti n. 364 del 23 giugno 2025 e n. 386 del 10 luglio 2025 del Garante per la protezione dei dati personali riguardano una questione che sembra aver difficoltà a trovare un congruo baricentro e spesso relegata a mera questione tecnica: la gestione delle caselle di posta elettronica nominative.

Dalla disamina di tali Provvedimenti emerge l’indicazione per i Titolari a non trattare la gestione di tali caselle come un fatto meramente amministrativo, ma di un ambito in cui si riflettono diritti fondamentali, principi costituzionali e regole europee sulla protezione dei dati.

Conservazione delle e-mail: gli interventi del Garante privacy

Il primo caso esaminato riguarda il reclamo presentato al Titolare da una ex dipendente perché, dopo la cessazione del rapporto di lavoro (marzo 2023), la sua casella di posta aziendale è rimasta attiva per diversi mesi ed è stata utilizzata con inoltro automatico dei messaggi verso altri account aziendali.

La società ha giustificato la scelta con esigenze operative e commerciali, sostenendo anche che l’indirizzo fosse “anonimo” e che non si trattasse di un vero dato personale.

La seconda fattispecie riguarda il reclamo di un docente universitario cessato dal servizio, al quale erano state revocate le credenziali di accesso.

Nonostante ciò, la sua casella di posta elettronica è rimasta attiva per un biennio, accumulando messaggi in entrata e trattenendo quelli in uscita, fino alla tardiva disattivazione, che solo allora ha iniziato a restituire ai mittenti, fino ad allora inconsapevoli e magari in attesa di riscontro, il messaggio di mancata consegna.

A questo episodio si è aggiunta la pubblicazione online di atti endoprocedimentali riferiti al docente, senza base normativa che ne imponesse la diffusione, nonché una gestione inadeguata delle richieste da lui avanzate all’amministrazione.

In entrambi i casi il Garante ha dichiarato l’illiceità del trattamento e nel secondo risulta anche imposta una sanzione pecuniaria.

Requisiti minimi per la corretta conservazione delle e-mail

Aldilà delle misure adottate dal Garante nei due casi, ciò che qui preme osservare sono le indicazioni che emergono dai dispositivi dei Provvedimenti e che costituiscono dei requisiti minimi che andrebbero osservati.

Dalla disamina del Provvedimento 364 emerge che:

1. l’account individualizzato riconducibile a una persona va disattivato in tempi ragionevoli dopo la cessazione del rapporto di lavoro;
2. è possibile solo predisporre sistemi automatici che informino i terzi e indichino un nuovo recapito, ma non è ammissibile il reindirizzamento delle mail, che comporta l’accesso a corrispondenza personale;
3. andrebbe fornita un’informativa e adottato un regolamento interno “relativo all’utilizzo degli strumenti informatici nell’ambito del rapporto di lavoro, con particolare riferimento alla gestione della posta elettronica”.

Tali aspetti sono corroborati dalle indicazioni desumibili dal Provvedimento 386 secondo cui non occorre un accesso abusivo o la lettura indebita delle comunicazioni per configurare un trattamento illecito. È sufficiente la conservazione eccedente e non necessaria delle email per violare principi basici quali liceità, correttezza, proporzionalità e limitazione della conservazione.

Mantenere dati senza finalità giustificata equivale a spostare la posta elettronica da strumento di lavoro a bacino incontrollato di informazioni, sottratto a logiche di responsabilità.

Quindi occorre non solo proteggere l’ex lavoratore ma anche i terzi che, scrivendo a un indirizzo inattivo, finiscono inconsapevolmente per consegnare i loro dati a un contenitore che non ha più alcuna ragione di esistere.

Il rispetto della riservatezza deve quindi estendersi anche a chi comunica dall’esterno, evitando che i messaggi cadano in un limbo di conservazione ingiustificata.

Distinzione tra archiviazione amministrativa e mera custodia tecnica

Un punto essenziale del secondo Provvedimento riguarda la distinzione tra archiviazione amministrativa e mera custodia tecnica.

Se un documento ha valore giuridico o amministrativo, deve essere protocollato ed entrare nei sistemi ufficiali di gestione documentale. Lasciarlo semplicemente nella mailbox di un dipendente cessato equivale a una conservazione informale e priva di garanzie, che il Garante considera incompatibile con il principio di trasparenza.

È questo un passaggio su cui occorre soffermare l’attenzione e che aiuterebbe anche a superare le difficoltà tecniche ventilate spesso di gestione per tempo limitato dei metadati.

Se una email ha rilevanza documentale, anche se pervenuta a un dipendente, occorre che vengano date istruzioni per farle confluire nel sistema di gestione documentale.

Il tema della pubblicazione online

Il Provvedimento 386 dedica attenzione anche al tema della pubblicazione online, chiarendo che la trasparenza amministrativa non è un lasciapassare per diffondere qualunque atto.

Solo i documenti espressamente previsti dalla legge, come le graduatorie finali, possono essere resi pubblici.

Diversamente, la divulgazione di atti interni o procedimentali si traduce in un trattamento sproporzionato e potenzialmente lesivo della reputazione degli interessati.

Procedure organizzative di competenza di DPO e privacy manager

I pronunciamenti in esame del Garante offrono spunti per alcuni adempimenti che andrebbero recepiti nelle procedure organizzative e che dovrebbero essere presidiati, per i profili di competenza, da DPO e da privacy manager:

1. regolamentare il ciclo di vita delle caselle di posta elettronica messe a disposizione dei dipendenti;
2. disattivare subito le caselle nominative alla cessazione, attivando solo per breve tempo un messaggio automatico che indichi, per questioni di lavoro, contatti alternativi;
3. protocollare e archiviare i messaggi rilevanti secondo le regole ufficiali, evitando la permanenza in mailbox inattive;
4. definire regole di conservazione e cancellazione tracciabili;
5. pubblicare online solo gli atti previsti dalla legge, come graduatorie finali;
6. dare risposte complete e tempestive alle richieste degli interessati secondo il GDPR;
7. selezionare fornitori che offrano soluzioni conformi, con retention configurabili, cancellazioni certificate e tracciabilità delle operazioni;
8. garantire informative aggiornate.

La lezione del Garante

I due Provvedimenti rappresentano un promemoria per i titolari del trattamento: la violazione della privacy non nasce solo da intrusioni evidenti, ma anche da inerzie silenziose, dalla tendenza a conservare per abitudine ciò che non ha più ragione di restare.

Trasformare la posta elettronica da rischio latente a strumento coerente di una gestione responsabile significa adottare scelte consapevoli, documentare i processi e garantire un dialogo costante tra i diversi soggetti organizzativi coinvolti.

Inoltre, l’azione del DPO non deve ridursi a una supervisione formale, ma diventare leva culturale per ricordare, in primis al privacy manager, che la gestione della corrispondenza digitale è parte integrante del rispetto dei diritti fondamentali.

Solo così la memoria digitale potrà essere amministrata come risorsa evitando rischi (inutili).