Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection TMT - Technology, Media & Telecommunications

Metadati email: il rischio invisibile che può costare caro alle aziende

Molti datori di lavoro credono che, se non leggono il contenuto delle email aziendali, non stiano violando la privacy dei dipendenti. Ma c’è un livello più sottile (e spesso ignorato) che può esporre l’azienda a gravi conseguenze: la conservazione automatica dei metadati.

Con il recente provvedimento n. 243/2025, il Garante Privacy ha inflitto una sanzione da 50.000 euro alla Regione Lombardia per aver conservato i metadati delle email dei dipendenti per 90 giorni, senza le tutele previste dallo Statuto dei lavoratori.

Non serviva leggere il contenuto dei messaggi – bastava l’archiviazione prolungata di dati come orario, destinatario, oggetto e allegati per configurare un controllo indiretto e sistematico sull’attività lavorativa.

Con il provvedimento n. 243 del 29 aprile 2025, il Garante Privacy ha irrogato la prima sanzione per il trattamento illecito dei metadati di posta elettronica in uso ai dipendenti. La misura ha colpito la Regione Lombardia, alla quale è stata comminata una sanzione di 50.000 euro per aver conservato i metadati delle e-mail dei propri dipendenti per un periodo di 90 giorni, in assenza delle garanzie previste dallo Statuto dei lavoratori – ovvero senza previo accordo sindacale né autorizzazione dell’Ispettorato territoriale del lavoro – e senza aver posto in essere i necessari adempimenti privacy.

Il provvedimento rappresenta la prima applicazione concreta del “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” adottato dall’Autorità il 6 giugno 2024.

  1. Cosa sono i metadati

I metadati sono informazioni registrate nei log prodotti dai sistemi server dedicati della gestione e dello smistamento della posta elettronica (MTA – Mail Transport Agent) e dalle postazioni coinvolte nelle interazioni tra i diversi server, nonché, se applicabile, tra questi ultimi e i client.

In termini più generali, i metadati comprendono dati relativi agli indirizzi e-mail del mittente e del destinatario, agli orari di invio e ricezione del messaggio, alla dimensione e alla presenza di eventuali allegati, nonché all’oggetto della comunicazione. Tali informazioni vengono acquisite dal sistema e archiviate in specifici registri o file distinti rispetto a quelli dedicati alle e-mail ed ai metadati relativi alle rispettive buste, al fine di garantire il corretto funzionamento del servizio di posta elettronica. Di conseguenza, le disposizioni del Garante in materia di metadati non riguardano il contenuto del messaggio né le informazioni tecniche ad esso strettamente connesse (c.d. envelope).

  1. Le criticità rilevate dal Garante

I programmi e i servizi di gestione della posta elettronica forniti in modalità cloud – come, ad esempio, quelli offerti da Microsoft e Google – raccolgono e conservano automaticamente i metadati relativi all’utilizzo della posta elettronica in modo preventivo, generalizzato e per periodi estesi, spesso non configurabili dal datore di lavoro.

I metadati, pur non includendo il contenuto del messaggio, sono astrattamente idonei a rivelare informazioni sulla vita privata del lavoratore, nonché su aspetti non pertinenti rispetto alla valutazione dell’attitudine professionale. Per tale ragione, essi sono assistiti da garanzie di segretezza costituzionalmente tutelate.

In tale prospettiva, il Garante ha chiarito che i metadati non possono essere considerati strumenti necessari per l’esecuzione della prestazione lavorativa, in quanto non sono strettamente funzionali all’attività lavorativa del dipendente, come invece lo sono i software, i servizi o gli applicativi destinati direttamente all’esecuzione della mansione.

Alla luce di ciò, l’Autorità sostiene che la conservazione dei metadati sia giustificata dal soddisfacimento delle più essenziali garanzie di sicurezza informatica e di funzionamento della posta elettronica solo quando avvenga per un periodo di tempo limitato, indicativamente non superiore a 21 giorni.

Viceversa, una conservazione per un periodo significativamente più esteso – come nel caso oggetto della recente sanzione alla Regione Lombardia, che conservava i metadati per 90 giorni in conformità alle impostazioni predefinite di Microsoft – può configurare un controllo indiretto, sistematico e non percepibile sull’attività lavorativa, incidendo sulla riservatezza dei dipendenti. In tale ipotesi, la liceità del trattamento è subordinata all’attivazione delle garanzie procedurali previste dallo Statuto dei lavoratori, quali la stipula di un accordo con le rappresentanze sindacali o l’autorizzazione preventiva dell’Ispettorato territoriale del lavoro.

  1. Adempimenti necessari alla luce dell’interpretazione del Garante

Per conformarsi alle prescrizioni del Garante Privacy in materia di trattamento dei metadati di posta elettronica in ambito lavorativo, previa l’analisi del proprio caso concreto e l’adozione delle eventuali garanzie previste dallo Statuto dei lavoratori, è necessario implementare una serie di misure sia di natura tecnica che organizzativa in ambito privacy, come ad esempio:

  • fornire ai lavoratori un’informativa trasparente e aggiornata, esplicitando le modalità di trattamento dei dati personali derivanti dall’utilizzo della posta elettronica aziendale;
  • effettuare una valutazione d’impatto sulla protezione dei dati (c.d. DPIA).
  1. Attenzione anche ai log di navigazione

Il provvedimento sanzionatorio avverso la Regione Lombardia è intervenuto anche in merito alla conservazione dei log di navigazione in Internet dei dipendenti.

Si tratta, in particolare, dei dati di registrazione dei siti web visitati o i tentativi di accesso a determinati contenuti, che – al pari dei metadati – possono consentire una ricostruzione dell’attività individuale del lavoratore, nonché della sfera privata e personale, con evidenti implicazioni sul piano della riservatezza. Anche in questo caso, la raccolta e conservazione dei log, soprattutto se sistematica e per periodi prolungati, può integrare una forma di controllo a distanza. Di conseguenza, può rendersi necessario attivare le medesime garanzie e misure imposte per il trattamento dei metadati.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Nuove disposizioni in tema di accesso e portabilità dei dati delle persone decedute
Privacy & Data Protection
Indagine del Garante Privacy sul rispetto del principio di responsabilizzazione da parte di Regioni, Province autonome e...
interessi legittimi perseguiti
Privacy & Data Protection
La mancata informazione specifica sugli interessi legittimi perseguiti da un titolare comporta l’illiceità del tratta...

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.