Il Garante per la protezione dei dati personali, con il provvedimento n. 754/2025, ha comminato una sanzione di 40.000 euro a una società, riaffermando con forza la tutela del diritto alla segretezza della corrispondenza, principio di rango costituzionale essenziale per la dignità individuale e il pieno sviluppo delle relazioni sociali.
La pronuncia scaturisce dalla violazione della privacy di un ex amministratore delegato, il cui account email aziendale è stato accessibile e monitorato dalla società anche dopo la cessazione del rapporto di lavoro a seguito di licenziamento. L'ex dipendente aveva correttamente esercitato i propri diritti ai sensi del GDPR, richiedendo la disattivazione dell'account, l'inoltro dei messaggi al suo indirizzo personale e l'attivazione di una risposta automatica, istanze rimaste però inevase.
L'istruttoria condotta dall'Autorità ha accertato che l'azienda non solo aveva continuato a ricevere la corrispondenza indirizzata al lavoratore, ma l'aveva sistematicamente inoltrata a un altro account aziendale per circa due mesi, un periodo che eccedeva significativamente il limite di 30 giorni previsto dalle stesse policy interne della società. Tale modalità prolungata ha comportato un accesso e una conservazione non autorizzati di comunicazioni potenzialmente personali, configurando una grave violazione della normativa in materia di protezione dei dati personali.
Il Garante ha pertanto ordinato alla società di consentire al lavoratore l'accesso al proprio account e, successivamente, di procedere alla sua cancellazione, fatta salva l'unica eccezione di conservazione strettamente necessaria per la tutela dei diritti in sede giudiziaria.
Nel definire l'ammontare della sanzione, sono stati considerati la tipologia e la durata delle violazioni, il mancato riscontro all'istanza di esercizio dei diritti dell'interessato e l'assenza di precedenti violazioni privacy da parte della società.