🔑 Prima di tutto: una storia che conosci bene

Marco gestisce un'impresa di serramenti a Lamezia Terme, 11 dipendenti. A maggio scorso uno dei suoi commerciali, quello che seguiva i clienti da anni, ha dato le dimissioni. Marco era preso dalla ricerca del sostituto, dai preventivi in scadenza, da mille cose. L'email aziendale del commerciale? Rimasta attiva per tre mesi. I file dei clienti? Ancora nella cartella personale del dipendente sul server. Le password dei gestionali condivisi? Le stesse di prima.

Un giorno un cliente importante scrive a quell'email. Nessuno risponde. Il cliente si arrabbia, chiama, minaccia di andarsene. Marco si rende conto che c'è un problema, ma non sa da dove cominciare.

Se ti riconosci anche solo in una parte di questa storia, questo articolo fa per te.

📋 Cosa dice il GDPR quando un dipendente se ne va

Il GDPR non dedica un articolo specifico alle dimissioni di un dipendente, ma le regole ci sono e si applicano eccome.

Quando una persona lascia la tua azienda, smette di essere un tuo incaricato del trattamento dei dati. Questo significa che:

• Non può più accedere ai sistemi aziendali
• Non può conservare dati personali di clienti o colleghi sul proprio dispositivo
• Non può usare l'email aziendale per comunicazioni proprie

Dal tuo lato, hai l'obbligo di garantire che quell'accesso venga revocato tempestivamente. "Tempestivamente" non significa settimane dopo. Significa entro le prime 24-48 ore dalla cessazione del rapporto, idealmente il giorno stesso.

Ignorare questo ti espone a sanzioni del Garante Privacy che nelle PMI possono partire da qualche migliaio di euro e salire in base alla gravità della situazione.

📧 L'email aziendale: il punto più delicato

L'email è il campo minato. Dentro ci sono conversazioni con clienti, dati personali, offerte riservate, magari anche dati sensibili di fornitori o dipendenti.

Cosa puoi fare legalmente con l'email di un ex dipendente?

Puoi:

• Impostare un messaggio automatico che informa chi scrive che quella persona non lavora più in azienda e indica un contatto alternativo
• Reindirizzare le email in arrivo a un collega o al titolare per un periodo limitato (di solito 3-6 mesi)
• Archiviare le email per adempiere a obblighi legali o fiscali (qui i tempi variano: in genere dai 5 ai 10 anni a seconda del tipo di contenuto)

Non puoi:

• Lasciare l'account attivo e accessibile senza controllo
• Permettere all'ex dipendente di continuare a usarlo
• Accedere alle email personali che il dipendente potrebbe aver ricevuto su quell'account
• Conservare tutto a tempo indeterminato senza una base giuridica

Il punto critico? Prima che il dipendente lasci l'azienda, dovresti avere già una policy scritta che regola tutto questo. Se non ce l'hai, sei in una zona grigia che può diventare costosa.

🔐 Credenziali e accessi: il rischio invisibile

L'email è visibile. Le credenziali no, e per questo sono ancora più pericolose.

Pensa a tutti i sistemi che usa un dipendente durante il suo lavoro: il gestionale, il cloud aziendale, il CRM, la piattaforma di fatturazione, magari l'accesso alla telecamera di sicurezza o al sistema di allarme. Se quella persona se ne va e le credenziali restano attive, quella persona può tecnicamente accedere ancora a tutto.

Non stiamo parlando di malafede, nella maggior parte dei casi l'ex dipendente non lo fa. Ma basta che quelle credenziali finiscano in mani sbagliate, che il suo dispositivo personale venga compromesso, che qualcuno usi quelle password per accedere ai tuoi sistemi, ed il danno è fatto. E la responsabilità, davanti al Garante, è tua.

Caso reale — Prima/Dopo:

Una piccola agenzia di comunicazione a Reggio Calabria, 6 dipendenti, ha perso un grafico nel 2023. Nessuno aveva disattivato l'accesso al cloud condiviso dove stavano tutti i materiali dei clienti: loghi, contratti, brief riservati. Tre mesi dopo il grafico (ora in un'altra agenzia) ha ancora pieno accesso a quei file. Quando l'azienda se ne accorge, deve notificare il potenziale data breach al Garante, bloccare tutto in emergenza e spiegare ai clienti cosa è successo. Costo stimato tra consulenza legale, ore perse e cliente perso: oltre 4.000 euro.

Dopo aver implementato una procedura di offboarding strutturata, lista di accessi da revocare, responsabile designato, checklist firmata, lo stesso studio gestisce le uscite in meno di 2 ore senza rischi.

🗂️ I file: cosa conservare, cosa eliminare

I file creati da un dipendente durante il suo lavoro appartengono all'azienda, questo è chiaro. Ma i file che contengono dati personali (di clienti, fornitori, altri dipendenti) richiedono attenzione.

Le domande da farti:

• Questi file sono ancora necessari per l'attività aziendale?
• C'è un obbligo legale o fiscale che mi impone di conservarli?
• Li sto conservando in modo sicuro, accessibili solo a chi ne ha bisogno?

Se la risposta alle prime due è no, quei dati vanno cancellati. Conservare dati senza una finalità precisa è già una violazione del principio di minimizzazione del GDPR.

Questo è un punto dove avere un tecnico IT di fiducia fa la differenza: sapere dove sono effettivamente tutti i file di un ex dipendente, sul server, sul cloud, su un PC aziendale, su un account condiviso, richiede una mappatura che spesso le PMI non hanno mai fatto.

⚠️ I diritti dell'ex dipendente: cosa può chiederti

Sì, anche il dipendente che se ne va ha diritti sul GDPR e può esercitarli.

Può chiederti:

• Accesso ai propri dati personali che hai trattato durante il rapporto di lavoro (buste paga, valutazioni, comunicazioni)
• Cancellazione di dati che non hai più motivo di conservare
• Rettifica di informazioni errate

Non può chiederti di cancellare dati che hai l'obbligo legale di conservare, come i dati fiscali o previdenziali.

Avere un registro dei trattamenti aggiornato ti permette di rispondere a queste richieste in modo ordinato, senza panico e senza rischi.

Caso reale — Prima/Dopo:

Un agriturismo vicino a Crotone con 9 dipendenti stagionali riceveva ogni anno, a fine stagione, richieste confuse dagli ex lavoratori su buste paga, contratti e dati personali. Il titolare perdeva ore a cercare documenti sparsi tra email, cartelle e raccoglitori fisici. Dopo aver digitalizzato e organizzato i fascicoli del personale con accessi differenziati, il tempo per rispondere a una richiesta è sceso da 3-4 ore a meno di 20 minuti. Zero sanzioni, zero tensioni.

✅ Cosa puoi fare subito

1. Crea una checklist di offboarding digitale: elenca tutti i sistemi a cui ha accesso ogni dipendente dal primo giorno. Quando se ne va, quella lista diventa la tua guida per revocare tutto.
2. Nomina un responsabile per le uscite: anche in una piccola impresa, qualcuno deve essere il punto di riferimento quando un dipendente lascia che sia il titolare, l'amministrativo o un referente IT esterno.
3. Imposta subito il messaggio automatico sull'email e reindirizza le comunicazioni in arrivo: è la prima cosa da fare il giorno delle dimissioni, non tre settimane dopo.
4. Fai un inventario degli accessi digitali della tua azienda: quanti account, quante password condivise, quanti accessi cloud attivi? Se non lo sai, è il momento di scoprirlo prima che te lo chieda il Garante.
5. Scrivi (o fai scrivere) una policy interna che regoli l'uso degli strumenti aziendali e le procedure alla cessazione del rapporto: non serve un documento di 50 pagine, bastano 2-3 pagine chiare e firmate dal dipendente all'assunzione.

Hai già vissuto uno di questi problemi? Parliamone concretamente con una call gratuita di 30 minuti con il team di Innovathio per capire da dove partire: [Prenota qui] https://calendly.com/innovathio