Correo electrónico de exempleados: qué hacer (realmente) según la Autoridad de Protección de Datos

Cuando un empleado se va de la empresa, su buzón de correo no es un detalle que gestionar "cuando haya tiempo". Es una bomba de relojería — legal, operativa y reputacional. Sin embargo, la mayoría de las pequeñas y medianas empresas italianas la ignora, la deja activa durante meses, o peor: la monitorea en secreto.

Veamos qué dice la Autoridad de Protección de Datos y cómo un consultor IT serio gestiona la cuestión, paso a paso.

El problema: por qué no puedes ignorarlo

El email corporativo contiene datos personales del empleado y de terceros. Mantenerlo activo después de la terminación del contrato de trabajo viola el GDPR y las directrices de la Autoridad de Protección de Datos italiana. Las sanciones no son teóricas: hablamos de miles de euros y, en los casos más graves, de demandas por parte de los antiguos empleados.

Pero hay un aspecto que muchos descuidan: la responsabilidad solidaria. Si un consultor IT se encarga de la gestión de los sistemas empresariales, se convierte en corresponsable de las violaciones. No es un riesgo hipotético — es un hecho legal.

El protocolo operativo: tiempos y acciones

Este es el procedimiento correcto, el que la Autoridad de Protección de Datos espera:

Día 1 — Desactivación inmediata

El mismo día de la terminación, el buzón se desactiva. No al día siguiente, no "cuando sea posible". El mismo día.

Día 1 — Respuesta automática

Simultáneamente con la desactivación, se activa un respuesta automática que informa a los remitentes que la dirección ya no está activa y proporciona un contacto alternativo. Este es el famoso aviso a terceros — un paso que muchos consultores IT se saltan completamente, pero que es fundamental para el cumplimiento normativo.

En 2-3 meses — Eliminación definitiva

La cuenta se elimina definitivamente. No archivada, no movida a una copia de seguridad olvidada: eliminada.

La conservación: cero archivo indiscriminado

Aquí es donde se juega la partida real. La tentación de muchos propietarios es "guardemos todo, nunca se sabe". Incorrecto.

No se conserva el archivo de email. Si existe un litigio en curso o razonablemente previsible, solo se extraen los documentos relevantes a través de un sistema documental estructurado — nunca leyendo el buzón después de la terminación. Todo lo demás se elimina.

Este principio se llama minimización de datos: conservas solo lo que necesitas, por el tiempo que lo necesitas, con una base legal que lo justifique.

Cómo hablarlo con el cliente

Si eres un consultor IT, sabes que la forma en que planteas el problema marca la diferencia entre un cliente que colabora y uno que se cierra en banda pensando que le estás vendiendo algo.

La clave es evitar el lenguaje legal. No sirven citas de artículos del GDPR o referencias normativas abstractas. Se trata de explicar de manera concreta:

• Que si asumes la gestión, te conviertes en corresponsable
• Que las sanciones de la Autoridad de Protección de Datos son reales y documentadas
• Que un ex empleado puede demandar si su buzón permanece activo
• Que el procedimiento correcto es simple y no cuesta nada extra

No es una venta. Es un estándar profesional.

El improviso es el riesgo más grande

La verdad que pocos dicen en voz alta: en ciertos ámbitos, el improviso puede causar más daño que un empleado deshonesto.

Un propietario que gestiona por su cuenta la terminación de una cuenta de email — sin protocolo, sin plazos definidos, quizás curioseando en el archivo "por seguridad" — se expone a riesgos que un consultor estructurado eliminaría en una hora de trabajo.

La gestión de emails de ex empleados no es un tema IT. Es un tema de gobernanza empresarial. Y como tal, debe tratarse con método, no con improvisación.

Lista de verificación operativa