NEWS

Limite di conservazione differente per i metadati di email e internet, le criticità del provvedimento del Garante

Con il provvedimento 243/2025 del 29 aprile, il Garante della privacy è tornato ad affrontare il tema della gestione dei metadati delle email dei dipendenti, rilevando criticità nella condotta della Regione Lombardia, che conservava i log di posta elettronica per 90 giorni, senza aver inizialmente attivato le garanzie previste dallo Statuto dei lavoratori. Il suddetto provvedimento è un’occasione utile per fare il punto su una disciplina di grande impatto pratico per tutti i datori di lavoro.

Le regole da tenere in considerazione si trovano nel documento di indirizzo 364 adottato dall’Autorità nel giugno 2024. Tale documento disciplina i cosiddetti metadati, ossia le informazioni generate automaticamente dai sistemi di posta elettronica, come l’indirizzo del mittente e del destinatario, gli orari di invio e ricezione, l’oggetto del messaggio, la dimensione del file, gli indirizzi IP e altri dati tecnici relativi all’instradamento dei messaggi. Queste informazioni, pur non comprendendo il contenuto del messaggio, sono considerate a tutti gli effetti dati personali, assistiti dalle tutele previste dal Gdpr, dal Codice Privacy, e dallo Statuto dei lavoratori, in quanto suscettibili di ricostruire abitudini, relazioni e comportamenti del dipendente.

Secondo il Garante, la raccolta e conservazione dei metadati può determinare un controllo indiretto dell’attività lavorativa, specialmente quando tali informazioni sono trattenute per un periodo esteso o utilizzati al di fuori delle finalità strettamente tecniche. In questi casi, il trattamento ricade nell’ambito dell’articolo 4, comma 1, dello Statuto dei lavoratori, che impone l’obbligo di stipulare un accordo sindacale o di ottenere un’autorizzazione da parte dell’Ispettorato del lavoro. L’unica eccezione riguarda i trattamenti effettuati tramite strumenti “necessari per rendere la prestazione lavorativa”, secondo il comma 2 dello stesso articolo, ma si tratta di un’eccezione che, come ribadito nel documento di indirizzo, deve essere interpretata in modo restrittivo.

Il Garante individua in 21 giorni il limite massimo ordinario entro cui i metadati possono essere conservati senza ricorrere alla procedura sindacale. Per andare oltre è necessario dimostrare in modo documentato l’esistenza di condizioni eccezionali legate alla specifica organizzazione tecnica del titolare del trattamento dei dati. Il principio di responsabilizzazione (accountability) impone al titolare di valutare caso per caso la necessità del trattamento e di effettuare, se richiesto, una valutazione d’impatto sulla protezione dei dati, specie quando si configurano trattamenti sistematici.

Inoltre, il datore di lavoro deve fornire ai dipendenti un’informativa chiara e trasparente sul trattamento dei metadati, adottare misure tecniche per limitarne l’accesso solo ai soggetti autorizzati e garantire la conformità dei fornitori terzi mediante apposita nomina a responsabile del trattamento.

Il Garante estende gli stessi principi alla gestione dei dati riguardanti la navigazione in internet dei dipendenti, laddove la raccolta dei log da parte dei sistemi aziendali consenta, direttamente o indirettamente, il monitoraggio dell’attività lavorativa. Anche in questo caso si applicano le garanzie dell’articolo 4 dello Statuto dei lavoratori, con l’obbligo di valutare la liceità, la proporzionalità e la durata della conservazione, pur senza indicare un limite temporale preciso come nel caso dei metadati email. Il messaggio dell’Autorità è chiaro: ogni trattamento di dati digitali che possa tradursi in un controllo, anche indiretto, va regolato con attenzione, trasparenza e misure di garanzia adeguate.

Queste regole sono molto problematiche, in quanto gran parte dei datori di lavoro non riesce a rispettare questi termini nei servizi di posta elettronica in cloud. In assenza di un accordo sindacale, il superamento del limite di conservazione può esporre l’azienda a rilievi sanzionatori (come dimostra il caso della Regione Lombardia) soprattutto se i log vengono utilizzati, anche solo potenzialmente, per finalità diverse da quelle tecniche, come ad esempio i procedimenti disciplinari o l’analisi delle performance.

Sicuramente le linee guida del Garante hanno finalità importanti: altrettanto sicuramente, i termini indicati sono poco coerenti con le esigenze di sicurezza informatica e gestione operativa delle strutture complesse. Alcuni scenari, come gli attacchi informatici o altre situazioni delicate per le quali i metadati costituiscono una fonte di prova importanti, sono rilevabili solo a distanza di settimane (se non mesi), e quindi richiedono una conservazione dei log su periodi ben superiori a 21 giorni.

Fonte: Il Sole 24 Ore

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Siglato protocollo d’intesa tra la Guardia di finanza e l’Agenzia per la Cybersicurezza Nazionale
Next Piattaforme digitali aziendali: quando anche l’uso ‘innocuo’ può trasformarsi in controllo a distanza

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy