I metadati di posta elettronica e i log di navigazione in Internet: cosa dice il Garante?

Con il provvedimento n. 243 del 29 aprile 2025 (“Provvedimento”), il Garante per la Protezione dei Dati Personali (“Garante”) ha irrogato alla Regione Lombardia una sanzione di euro 50.000,00, e prescritto l’adozione di misure correttive, all’esito di un’attività ispettiva per verificare l’osservanza delle norme in materia di protezione dei dati personali in relazione ai trattamenti in ambito lavorativo, anche con riferimento alle modalità di svolgimento del lavoro agile.

#metadati #log #garanteprivacy #GDPR #lavoroagile #statutodeilavoratori

Contenuti principali del Provvedimento del Garante

Il Provvedimento si concentra in particolare sui metadati di posta elettronica e il relativo periodo di conservazione, nonché sulla raccolta e conservazione sistematica dei log di navigazione. Di seguito si esaminano pertanto gli aspetti sopra elencati valutando, nello specifico, l’interpretazione fornita dal Garante e le relative conseguenze.

I metadati di posta elettronica

Nel corso della propria attività, il Garante ha rilevato che la Regione aveva conservato i metadati in assenza della preventiva stipula di un accordo con le rappresentanze sindacali (accordo solo successivamente raggiunto), per un periodo complessivo pari a 90 giorni, per finalità di sicurezza informatica e assistenza tecnica nonché “allo scopo di offrire assistenza agli utenti nel momento in cui un messaggio non viene recapitato correttamente”.  

Con il Provvedimento, il Garante ha riconosciuto che i metadati di posta elettronica, in quanto strettamente riferiti alla persona, devono essere assistiti da garanzie di segretezza, tutelate costituzionalmente (artt. 2 e 15 Cost.). Inoltre, dal punto di vista giuslavoristico e, in particolare, della disciplina dei controlli a distanza prevista dallo Statuto dei Lavoratori, il Garante ha precisato che i metadati non possono beneficiare dell’esenzione prevista per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” poiché tale disposizione, avendo carattere eccezionale, deve essere oggetto di un’ interpretazione restrittiva, in forza della quale il Garante ricomprende tra gli “strumenti utilizzati per rendere la prestazione lavorativa” solo i “servizi, software o applicativi strettamente funzionali alla prestazione lavorativa”. Di conseguenza, nei casi in cui i sistemi non siano unicamente funzionali alla prestazione lavorativa, ma consentano ulteriori elaborazioni da parte del datore di lavoro per il perseguimento di proprie finalità – come nel caso dei metadati di posta elettronica sistematicamente conservati – la disposizione applicabile deve ritenersi quella di cui al comma 1 dell’art. 4 dello Statuto dei Lavoratori e non l’eccezione di cui al comma 2.

In sintesi, il Garante fa rientrare nell’ambito di applicazione della disposizione di cui al comma 1 dell’articolo 4 dello Statuto dei Lavoratori i metadati di posta elettronica qualora gli stessi siano raccolti e conservati, in modo preventivo e generalizzato, per un esteso arco temporale, dal momento che per il Garante il relativo trattamento è effettuato per esigenze proprie del datore di lavoro (nello specifico, per la tutela del proprio patrimonio informativo e della sicurezza informatica), senza, pertanto, che i metadati di posta elettronica siano nella disponibilità del lavoratore (come, invece, avviene per i messaggi di posta elettronica, che, in qualità di mittente o destinatario, il lavoratore scambia all’interno della casella di posta elettronica assegnatagli).  

I metadati di posta elettronica possono rientrare nell’eccezione di cui al comma 2 dell’art. 4 dello Statuto dei Lavoratori solo qualora la relativa raccolta e conservazione possa essere effettuata per un periodo limitato, non superiore a 21 giorni, fatte salve comprovate esigenze da parte del titolare, che dimostri la sussistenza di condizioni che possano giustificare l’estensione della conservazione, in ragione della specificità della propria realtà tecnica ed organizzativa.

Il Garante, inoltre, ha riscontrato che per i trattamenti relativi ai metadati di posta elettronica la Regione non aveva effettuato alcuna valutazione d’impatto sulla protezione dei dati personali, ai sensi dell’articolo 35 del GDPR.

Il Garante, in proposito, ha evidenziato che tali trattamenti nel contesto lavorativo comportano rischi specifici per i diritti e le libertà degli interessati, ascrivendo i profili di rischio alla “vulnerabilità” degli interessati e al fatto che i trattamenti in questione possono “presentare rischi in termini di possibile monitoraggio dell’attività dei dipendenti”, potendo gli strumenti utilizzati “comportare un controllo preterintenzionale dell’attività del dipendente”.

Le considerazioni che precedono hanno conseguentemente portato il Garante a riscontrare l’inosservanza di diverse disposizioni, dovute al fatto che il trattamento dei metadati di posta elettronica, nel caso di specie, è stato effettuato in assenza delle garanzie procedurali previste dal comma 1 dell’art. 4 dello Statuto dei Lavoratori, oltre che in violazione degli articoli 5, par. 1, lettera a), nonché 6, 35 e 88 del GDPR e in violazione dell’art. 114 del Codice della Protezione dei Dati Personali.

I log di navigazione in Internet

Anche con riferimento ai log di navigazione in Internet – nel caso specifico, conservati dalla Regione per 365 giorni – il Garante ha escluso l’applicazione dell’eccezione di cui al comma 2 dell’articolo 4 dello Statuto dei Lavoratori avendo ravvisato, invece, le condizioni per l’applicazione del comma 1 dell’articolo 4 dello Statuto dei Lavoratori, posto che i sistemi di tracciatura degli accessi a Internet non possono essere in generale ricompresi tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, dando luogo, peraltro, a un “trattamento generalizzato dei dati relativi all’attività e all’utilizzo dei servizi in rete da parte di dipendenti comunque identificabili”, potendo, in tal modo, ricostruire l’attività dagli stessi svolta.

Nel caso di specie, il Garante ha, inoltre, rilevato che il trattamento in questione poteva avere ad oggetto anche informazioni estranee all’attività lavorativa, dal momento che il sistema utilizzato consentiva operazioni di tracciatura delle connessioni e dei collegamenti ai siti internet visitati dai dipendenti, compresi i tentativi falliti di accesso ai siti web indicati in un’apposita black list.

A fronte, pertanto, di una valutazione globale delle caratteristiche del sistema e delle operazioni di trattamento consentite (raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web dei singoli dipendenti, memorizzazione per un prolungato periodo temporale e possibilità di risalire alla navigazione dei singoli dipendenti), il Garante ha ritenuto che il trattamento in questione non potesse ritenersi complessivamente proporzionato rispetto alla finalità perseguita dalla Regione, consistente nella sicurezza della rete.

Inoltre, anche per i trattamenti dei log di navigazione in Internet, per il Garante era, comunque, necessario effettuare una preliminare valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del GDPR, in considerazione dei rischi specifici connessi al contesto lavorativo (vulnerabilità degli interessati ed effetti conseguenti al possibile monitoraggio dell’attività dei dipendenti). 

Pertanto, il Garante anche con riferimento ai log di navigazione ha riscontrato: l’assenza delle garanzie procedurali di cui al comma 1 dell’art. 4 dello Statuto dei Lavoratori, la violazione degli articoli 5, par. 1, lett. a) c) ed e), nonché 25,35 e 88 del GDPR nonché degli articoli 113 e 114 del Codice della Protezione dei Dati Personali.

Il Provvedimento del Garante: le implicazioni pratiche per le imprese

Inutile negare che il Provvedimento del Garante – fatte salve ulteriori diverse interpretazioni che potranno eventualmente essere fornite da parte dell’Autorità Giudiziaria – produce effetti particolarmente impattanti per le imprese italiane, ancor più se operanti nell’ambito di gruppi e tenute, pertanto, a raffrontarsi nel contesto del gruppo con altre realtà, operanti in altri Paesi.

È indubbio che una rigorosa applicazione del Provvedimento comporterebbe per le imprese, quanto meno, alcuni oneri, tra i quali figura anzitutto l’attivazione di procedure di consultazione sindacale o, in caso di assenza del sindacato o di mancato accordo, la presentazione di richieste di autorizzazione nei confronti dell’Ispettorato Nazionale del Lavoro (laddove i metadati di posta elettronica e i log di navigazione di Internet siano conservati per periodi di tempo estesi, senza tenere conto delle limitazioni temporali indicate dal Garante). Le imprese dovrebbero poi implementare interventi tecnici, adottare misure tecniche ad hoc e formalizzare accordi con i fornitori per tenere conto delle indicazioni fornite dal Garante (ad esempio, per consentire la conservazione dei metadati per periodi non superiori a 21 giorni e prevedere sistemi che consentano la automatica cancellazione/anonimizzazione dei dati al decorso del termine stabilito o per i log di accesso ai siti inseriti nella black list). In aggiunta, i datori di lavoro dovrebbero svolgere valutazioni di impatto sul trattamento dei dati personali, volte a valutare i rischi connessi ai trattamenti e le relative misure e integrare le informative per i dipendenti, nonché adeguare i regolamenti interni, specificamente focalizzati sugli strumenti e sui trattamenti in questione.

Vi è da chiedersi se, ancor più nel contesto economico attuale, tali sforzi richiesti agli imprenditori risultino giustificati e proporzionati rispetto al bene giuridico tutelato dalla normativa sulla protezione dei dati personali: i diritti e le libertà delle persone fisiche.

I lavoratori ne trarrebbero un effettivo beneficio? Potrebbero considerarsi concretamente tutelati, ad esempio, con una conservazione dei metadati di posta elettronica per un termine massimo di 21 giorni, in quanto in tale caso si configurerebbero come “strumenti per rendere la prestazione lavorativa”, mentre nel caso di periodi di conservazione più estesi non lo sarebbero? Sono concretamente i trattamenti in questione effettuati per controllare e monitorare l’operato dei lavoratori oppure, invece, l’esigenza effettiva delle imprese è un’altra? Non possono i metadati di posta elettronica e i log di navigazione – complessivamente considerati – rientrare tra gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa? Sono veramente elevati i rischi che ne potrebbero derivare per i soggetti interessati?

Gli interrogativi sopra riportati comportano la necessità di soffermarsi particolarmente su alcuni aspetti, cercando di inquadrare nello specifico il fondamento delle disposizioni normative richiamate e dei principi applicabili nel caso di specie.

Gli strumenti utilizzati per rendere la prestazione lavorativa

Il Jobs Act ha introdotto una nuova formulazione del comma 1 dell’articolo 4 dello Statuto dei Lavoratori, in sostituzione del divieto generale originariamente previsto e, con il preciso intento di adeguare le disposizioni sul controllo a distanza alle innovazioni tecnologiche nel frattempo intervenute, ha previsto l’eccezione di cui al comma 2, stabilendo che gli oneri procedurali di cui al comma 1 non si applicano “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. In sintesi, tale eccezione è stata prevista proprio per agevolare l’operatività dei datori di lavoro, evitando il rispetto delle condizioni che il legislatore aveva previsto per gli impianti e gli strumenti audiovisivi, da cui poteva derivare la possibilità di controllo a distanza.

Lette in quest’ottica, le nuove disposizioni consentono ai datori di lavoro di non assoggettare agli oneri procedurali richiesti dal comma 1 “apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa” (cfr. Circolare INL n. 2 del 7.11.2016, confermata successivamente dallo stesso Garante, nella propria verifica preliminare del 16 marzo 2017, in cui faceva riferimento a “strumenti di lavoro utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa”).

Fra questi, in considerazione delle mansioni svolte dai lavoratori interessati, rientra inevitabilmente anche la posta elettronica – considerata in tutte le sue componenti costitutive (metadati compresi) – messa a disposizione del lavoratore ai fini dell’esecuzione della prestazione. In sintesi, una interpretazione di buon senso porterebbe non a scorporare i metadati dalla posta elettronica – come si evince, invece, dal Provvedimento del Garante – ma a considerarli come parte integrante: del resto, sembrerebbe difficile ritenere che la “corrispondenza” elettronica possa essere tale senza i dati ulteriori o i “metadati”, non strettamente riferiti al contenuto dei messaggi, come gli indirizzi email del mittente e del destinatario, gli orari di invio, ritrasmissione o ricezione, l’oggetto del messaggio spedito o ricevuto  etc.

In questa linea, si è espressa anche la giurisprudenza di merito, precisando che devono considerarsi strumenti di lavoro la posta elettronica e il pc aziendale concessi in uso al dispendente in quanto beni necessari allo svolgimento della prestazione lavorativa, con la conseguenza di legittimare da parte del datore di lavoro l’utilizzo dei dati relativi per tutti i fini connessi al rapporto di lavoro, anche disciplinare, purché sia stata data al lavoratore adeguata informazione sulla modalità d’uso della strumentazione assegnata e di effettuazione dei controlli (cfr. Tribunale di Roma, sentenza del 24.03.2017).

Sulla base di quanto sopra, si ritiene che le argomentazioni del Garante espresse nel Provvedimento in tema di metadati di posta elettronica siano eccessivamente rigoristiche e non siano in linea con la ratio della disposizione normativa in questione.

Del resto, anche la Cassazione si è pronunciata recentemente in merito al comma 2 dell’art. 4 dello Statuto dei Lavoratori, mettendo in rilievo come gli strumenti esentati dagli oneri procedurali di cui al comma 1 siano tutti gli strumenti messi a disposizione del lavoratore funzionali all’efficienza lavorativa, e precisando – con specifico riferimento al telepass che “tale strumento, se installato su auto aziendali destinate allo svolgimento di specifici servizi, sia da considerare direttamente funzionale all’efficienza della singola prestazione, oltre che ormai fortemente compenetrato con essa nell’odierna pratica lavorativa” (cfr. Cass. n. 15391/2024).  

Quanto sopra vale senza ombra di dubbio, a nostro parere, anche per la posta elettronica!

L’accountability del titolare

Merita di essere rilevato come il Provvedimento del Garante in tema di metadati di posta elettronica, che richiama il precedente provvedimento del Garante n. 384 del 2024 “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, per quanto – come precisato nel testo dello stesso non formalmente vincolante – individui in 21 giorni il termine entro il quale i metadati possono essere conservati.

Nelle indicazioni fornite dal Garante non ci sono argomentazioni che motivino il periodo di 21 giorni per la conservazione dei metadati di posta elettronica e francamente si ritiene che tale limite temporale comporti una ingiustificata compressione dell’accountability del titolare che, in funzione di tale principio, dovrebbe essere libero di valutare, argomentare e addivenire alle proprie scelte, purché in linea con i principi e le disposizioni contenute nel GDPR. 

È importante, a tale riguardo, considerare come il termine accountability sia intrinsecamente connesso a responsibility: merita, infatti, richiamare all’attenzione che la versione in inglese dell’art. 5, comma 2, del GDPR esprime uno stretto collegamento tra i due concetti, disponendo che “the controller shall be responsible for, and be able to demonstrate compliance with paragraph 1 (“accountabiity”)”. Ciò implica che i due aspetti vadano considerati congiuntamente e comporta il fatto che il titolare debba essere accouuntable, cioè tenuto al rispetto di fattori esterni (i.e.: l’osservanza delle disposizioni del GDPR), ma, al contempo, in grado di autodeterminarsi, essendo libero di prendere decisioni motivate, in funzione del proprio ruolo.

Riflessioni conclusive, con particolare riferimento alle imprese

A fronte delle considerazioni svolte, vi è da chiedersi se l’orientamento espresso dal Garante – peraltro, al momento, del tutto isolato nel panorama delle autorità dei vari paesi membri UE – possa considerarsi in linea con l’attuale contesto operativo ed economico delle imprese, sempre più assoggettate ad adempimenti ed oneri procedurali, che gravano sui processi decisionali, e ai conseguenti rischi di sanzioni pecuniarie.

Si auspica, quindi, che le forzature interpretative del Garante possano essere riequilibrate e inquadrate nell’ambito di interpretazioni di maggiore ragionevolezza ed aderenza al contesto operativo.