Quando un dipendente lascia l'azienda, la sua casella email non è un dettaglio da gestire "quando c'è tempo". È una bomba a orologeria — legale, operativa e reputazionale. Eppure la maggior parte delle PMI italiane la ignora, la lascia attiva per mesi, o peggio: la monitora di nascosto.
Vediamo cosa dice il Garante Privacy e come un consulente IT serio gestisce la cosa, passo dopo passo.
Il problema: perché non puoi ignorarlo
L'email aziendale contiene dati personali del dipendente e di terzi. Mantenerla attiva dopo la cessazione del rapporto di lavoro viola il GDPR e le linee guida del Garante Privacy italiano. Le sanzioni non sono teoriche: parliamo di migliaia di euro e, nei casi più gravi, di vertenze da parte degli ex dipendenti stessi.
Ma c'è un aspetto che molti trascurano: la responsabilità in solido. Se un consulente IT prende in carico la gestione dei sistemi aziendali, diventa co-responsabile delle violazioni. Non è un rischio ipotetico — è un fatto giuridico.
Il protocollo operativo: tempi e azioni
Ecco la procedura corretta, quella che il Garante Privacy si aspetta:
Giorno 1 — Disattivazione immediata
Il giorno stesso della cessazione del rapporto, la casella viene disattivata. Non il giorno dopo, non "appena possibile". Il giorno stesso.
Giorno 1 — Risponditore automatico
Contestualmente alla disattivazione, si attiva un risponditore automatico che informa i mittenti che l'indirizzo non è più attivo e fornisce un contatto alternativo. Questo è il famoso avviso ai terzi — un passaggio che molti consulenti IT saltano completamente, ma che è fondamentale per la compliance.
Entro 2-3 mesi — Cancellazione definitiva
L'account viene cancellato definitivamente. Non archiviato, non spostato in un backup dimenticato: cancellato.
La conservazione: zero archivio indiscriminato
Qui si gioca la partita vera. La tentazione di molti titolari è "teniamo tutto, non si sa mai". Sbagliato.
Non si conserva l'archivio email. Se esiste un contenzioso in corso o ragionevolmente prevedibile, si estraggono solo i documenti rilevanti tramite un sistema documentale strutturato — mai leggendo la casella dopo la cessazione. Tutto il resto viene eliminato.
Questo principio si chiama minimizzazione dei dati: conservi solo quello che ti serve, per il tempo che ti serve, con una base giuridica che lo giustifica.
Come parlarne col cliente
Se sei un consulente IT, sai che il modo in cui presenti il problema fa la differenza tra un cliente che collabora e uno che si chiude a riccio pensando che gli stai vendendo qualcosa.
La chiave è evitare il legalese. Non servono citazioni di articoli del GDPR o riferimenti normativi astratti. Serve spiegare in modo concreto:
- Che se prendi in carico tu la gestione, diventi responsabile in solido
- Che le sanzioni del Garante sono reali e documentate
- Che un ex dipendente può fare vertenza se la sua casella resta attiva
- Che la procedura corretta è semplice e non costa nulla di extra
Non è una vendita. È un paletto professionale.
Il fai da te è il rischio più grande
La verità che pochi dicono ad alta voce: in certi ambiti, il fai da te può far più danni di un dipendente infedele.
Un titolare che gestisce in autonomia la cessazione di un account email — senza protocollo, senza tempi certi, magari curiosando nell'archivio "per sicurezza" — si espone a rischi che un consulente strutturato eliminerebbe in un'ora di lavoro.
La gestione delle email degli ex dipendenti non è un tema IT. È un tema di governance aziendale. E come tale, va trattato con metodo, non con l'improvvisazione.
Checklist operativa
| Azione | Quando | Responsabile |
|---|---|---|
| Disattivazione casella | Giorno della cessazione | Consulente IT / Reparto IT |
| Attivazione risponditore automatico | Giorno della cessazione | Consulente IT / Reparto IT |
| Avviso ai terzi (contatto alternativo) | Giorno della cessazione | Titolare + Consulente IT |
| Estrazione documenti (se contenzioso) | Prima della cancellazione | Consulente IT + Legale |
| Cancellazione definitiva account | Entro 2-3 mesi | Consulente IT / Reparto IT |