Con il Provvedimento n. 243/2025 (doc. web. 10134221), il Garante Privacy ha sanzionato la Ragione Lombardia per 50.000 euro, contestando un trattamento illecito dei metadati relativo alle e-mail dei dipendenti. Per la prima volta, l’Autorità ha dato concreta applicazione al Documento di indirizzo n. 364/2024, dedicato ai metadati di posta elettronica nel contesto lavorativo[1] (il “Documento di Indirizzo”). La decisione del Garante Privacy: metadati e limiti temporali Secondo il Garante Privacy, i datori di lavoro possono trattare i metadati della posta elettronica aziendale dei dipendenti – quali orari di invio/ricezione, indirizzi IP, dimensioni dei messaggi, destinatari, e in taluni casi anche l’oggetto – solo nel rispetto di precise condizioni e garanzie. In particolare, tali dati possono essere conservati per un periodo massimo di 21 giorni, salvo esigenze particolari e comprovate. Nel caso oggetto di sanzione, la Regione Lombardia conservava i metadati delle e-mail per 90 giorni, giustificando tale prassi con finalità di sicurezza informatica, assistenza tecnica e gestione dei casi di mancato recapito dei messaggi[2]. Tali finalità, tuttavia, sono state ritenute insufficienti dall’Autorità a giustificare un trattamento così esteso e privo delle garanzie previste dall’art. 4 dello Statuto dei Lavoratori[3]. Il nodo della sorveglianza indiretta Il provvedimento si inserisce in un orientamento ormai consolidato del Garante Privacy in materia di controlli datoriali. Fin dal 2007 l’Autorità ha dettato regole sull’utilizzo di strumenti informatici – posta elettronica e Internet – nell’ambiente di lavoro (Linee Guida per posta elettronica e internet). Tuttavia, il Documento di Indirizzo ha chiarito in modo più puntuale che anche quegli elementi ricavabili dai dati esteriori della posta elettronica – cioè, i metadati – sono soggetti a garanzie analoghe a quelle previste per il contenuto dei messaggi (i.e. le garanzie di segretezza tutelate anche dagli artt. 2 e 15 della Costituzione), in quanto potenzialmente idonei a ricostruire abitudini, tempi e modalità dell’attività lavorativa. Secondo il Garante Privacy, la conservazione prolungata di tali dati (superiore a 21 giorni) potrebbe integrare una forma di controllo indiretto a distanza dell’attività dei dipendenti[4] e, in quanto tale, sarebbe subordinata alle condizioni di legittimità previste dalla disciplina giuslavoristica: accordo sindacale o autorizzazione dell’Ispettorato del lavoro, finalità lecite (organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale) e informativa preventiva ai lavoratori. Tuttavia, queste garanzie non si rendono necessarie qualora lo strumento di lavoro sia utilizzato dal lavoratore per rendere la prestazione lavorativa. È lecito, allora, domandarsi se i metadati di posta elettronica possano rientrare tra tali strumenti. La risposta è dipende: se la raccolta e la conservazione dei metadati avvengono per un arco temporale contenuto – comunque non superiore a 21 giorni – tali trattamenti possono essere considerati come finalizzati ad assicurare il funzionamento di uno strumento funzionale alla prestazione lavorativa. In tal caso, è sufficiente che il datore di lavoro informi adeguatamente i dipendenti circa le modalità d’uso dello strumento e l’eventuale presenza di controlli. Diversamente, la generalizzata raccolta e conservazione dei metadati delle e-mail, per un lasso di tempo più esteso, potrebbero comportare un indiretto controllo a distanza dei lavoratori e richiedere, quindi, il rispetto delle garanzie previste dalla disciplina giuslavoristica. Nel caso di specie, la conservazione per un periodo di 90 giorni, ha portato il Garante Privacy a ritenere che la finalità di trattamento in concreto perseguita non potesse essere ricondotta solo nell’ambito del mero funzionamento delle infrastrutture del sistema di posta elettronica e del suo regolare utilizzo, configurandosi, piuttosto, come un’attività funzionale alla tutela dell’integrità del patrimonio informativo e di sicurezza informatica. Il Garante Privacy, inoltre, ha evidenziato come questa tipologia di trattamento comporti rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo, rendendo necessario svolgere una DPIA, sia in virtù della particolare “vulnerabilità” degli interessasti nel cotesto lavorativo, sia del fatto che in tale ambito l’impiego di questi sistemi potrebbe comportare un monitoraggio sistematico dell’attività dei dipendenti. Spunti operativi: come evitare simili sanzioni? Il caso che ha coinvolto la Regione Lombardia offre importanti indicazioni operative per datori di lavoro, pubblici e privati, che intendano trattare e conservare metadati della posta elettronica nel rispetto della normativa vigente: Conclusioni Il provvedimento del Garante Privacy nei confronti della Regione Lombardia conferma che i metadati della posta elettronica, laddove riferibili a lavoratori identificati o identificabili e suscettibili di delinearne comportamenti o abitudini di lavoro, costituiscono dati personali meritevoli di particolari cautele, anche in un’ottica di privacy by design e by default. L’intervento dell’Autorità, inoltre, sembrerebbe superare la qualificazione del Documento di Indirizzo come atto di natura meramente orientativa, attribuendogli un valore operativo nell’orientare l’azione ispettiva e sanzionatoria del Garante Privacy. Ne consegue che i datori di lavoro, pubblici o privati, onde evitare importanti sanzioni, dovranno mappare e aggiornare i periodi di conservazione dei metadati, allineandoli alla soglia di 21 giorni o, in caso contrario, attivarsi per stipulare un accordo con le rappresentanze sindacali o ottenere l’autorizzazione dell’Ispettorato del lavoro. Il provvedimento si impone, dunque, come un precedente rilevante per tutti i titolari del trattamento che intendono trattare e conservare i metadati derivanti dai sistemi di posta elettronica e dai quali possa sorgere un potenziale controllo indiretto a distanza dell’attività dei lavoratori. [1] Per un maggior approfondimento sul tema, si rinvia a un nostro precedente contributo disponibile qui. [2] Oltre alla conservazione dei metadati per un periodo eccessivo, il Garante Privacy ha contestato altresì la conservazione e la raccolta di log di navigazione in Internet in assenza di un accordo collettivo con le rappresentanze sindacali e senza aver adottato adeguate garanzie a tutela dei lavoratori, consentendo al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti, nonché la violazione dei principi di limitazione della conservazione e di privacy by design e by default in riferimento al trattamento dei dati relativi alle richieste di assistenza tecnica (sistema OTRS dismesso). [3] Tuttavia, nel corso dell’istruttoria, la Regione, anche tenuto conto delle indicazioni del proprio DPO, ha dato atto di aver stipulato, in relazione ai trattamenti in questione, un accordo collettivo con le rappresentanze sindacali. [4] Ciò perché queste operazioni di trattamento sono effettuate per esigenze proprie del datore di lavoro, automaticamente e indipendentemente dalla volontà del lavoratore e, inoltre, i metadati rimangono nell’esclusiva disponibilità del datore di lavoro (e per suo conto del fornitore del servizio), documentando il traffico anche dopo l’eventuale cancellazione del messaggio da parte del lavoratore.
