Il Garante privacy, con Provvedimento del 18 dicembre 2025 (pubblicato sulla Newsletter n. 542 del 29 gennaio 2026), ha ribadito che il contenuto delle e-mail, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza. Tale garanzia, riconosciuta anche dalla Costituzione, salvaguarda la dignità della persona e il suo pieno sviluppo nelle relazioni sociali.
Nel caso affrontato dal Garante, l’amministratore dell’azienda lamentava che, dopo aver ricevuto una lettera di contestazione disciplinare cui è seguito il licenziamento, la sua impresa gli aveva negato l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva.
Il lavoratore, esercitando i propri diritti, aveva chiesto alla società di disabilitare l’account di posta elettronica, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo e-mail personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo e-mail. Richiesta tuttavia rimasta inevasa sebbene formulata correttamente ai sensi del GDPR.
Nel corso dell’istruttoria, il Garante ha accertato che l’azienda non solo continuava a ricevere le e-mail indirizzate al lavoratore, ma addirittura le inoltrava ad un altro account di posta elettronica aziendale. Una pratica scorretta che si era protratta per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.
Tale modalità prolungata nel tempo ha determinato l’accesso e la conservazione di e-mail personali, in violazione della normativa privacy. L’Autorità ha pertanto ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.
Il Garante ha quindi inflitto una sanzione di 40mila euro alla società per violazione della segretezza dell’account e-mail dell’amministratore delegato dopo la cessazione del rapporto di lavoro. Nel definirne l’ammontare, egli ha considerato la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.
