Il Garante privacy, con il provvedimento n. 386 del 10 luglio 2025, ha sanzionato un Ateneo per aver mantenuto attiva e conservata per un ampio arco temporale l’e-mail assegnata ad un docente dopo la cessazione del rapporto di lavoro.

L’Ateneo, a propria discolpa, ha dichiarato che, dopo la cessazione del rapporto di lavoro, aveva provveduto a resettare la password di accesso all’email del docente e ha conservato la stessa solo ai fini di archiviazione di pubblico interesse per verifiche ed eventuali obblighi legali al quale il titolare del trattamento poteva essere soggetto.

Il Garante privacy ha richiamato le proprie indicazioni sul coretto utilizzo della posta elettronica e della rete Internet nel contesto lavorativo.

In particolare, il Garante, sin dal 2007, ha fornito specifiche indicazioni ai titolari del trattamento (v. provv. “Lavoro: le linee guida del Garante per posta elettronica e internet”, adottato con Del. n. 13 del 1° marzo 2007, doc. web n. 1387522), evidenziando che “il contenuto dei messaggi di posta elettronica - come pure i dati esteriori delle comunicazioni e i file allegati - riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un´ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale)”.

Ciò comporta che, prosegue il provvedimento del Garante, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza (v, più di  recente, il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del XX, doc. web n. 10026277, par. 2, e le richiamate "Linee guida del Garante per posta elettronica e Internet", punto 5.2, lett. b).

In dette Linee guida del Garante è stato, tra le altre cose, chiarito che ogni operazione relativa al servizio di posta elettronica deve essere effettuata nel rispetto dei principi di necessità, correttezza, pertinenza e non eccedenza nonché con un livello di tutela tale da impedire interferenze ingiustificate sui diritti fondamentali dei lavoratori, dei terzi mittenti e/o dei destinatari delle medesime comunicazioni. L’Autorità ha, altresì, evidenziato (v. punto 5.2, lett. b)) che può considerarsi conforme ai predetti principi la condotta del titolare che provveda, dopo la cessazione del rapporto di lavoro dell’interessato, alla disattivazione dell’account di posta elettrica e alla contestuale adozione di sistemi automatici atti a informarne i terzi e a fornire a questi ultimi indirizzi di posta elettronica alternativi riferiti all’attività del medesimo titolare, evitando in tal modo di prendere visione delle comunicazioni in entrata o in uscita presenti nella casella di posta elettronica assegnata su base individuale al lavoratore.

Sebbene l’Ateneo abbia dichiarato di non aver acceduto ai messaggi di posta elettronica contenuti nella casella del reclamante, risulta che lo stesso ha comunque conservato detti messaggi per circa due anni dopo la cessazione dell’attività lavorativa del reclamante.

A nulla rileva la finalità di “archiviazione e conservazione della documentazione amministrativa”, atteso che possono essere legittimamente trattati dati personali per la predetta finalità solo se gli stessi sono contenuti in specifici documenti formati dalle strutture dell’Università, compresi quelli relativi al rapporto di lavoro con il personale docente e non docente, le loro aggregazioni in fascicoli e archivi, o comunque regolarmente acquisite agli atti dell’Amministrazione attraverso procedure di protocollazione.

Alla luce delle considerazioni che precedono, il Garante conclude che, ancorché senza effettuare alcun accesso alla casella di posta elettronica assegnata al reclamante in qualità di docente, l’Ateneo, effettuando una prolungata conservazione dei dati personali contenuti nei messaggi di posta elettronica contenuti in detta casella e omettendo di adottare misure finalizzate a rendere edotti i terzi mittenti della circostanza che il docente non avesse più la possibilità di accedere ai messaggi ricevuti, ha agito in maniera non conforme ai principi di liceità, correttezza e trasparenza e limitazione della conservazione, ponendo in essere un trattamento di dati privo di base giuridica, in violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento.