Lavoro: quando le email diventano sorveglianza

A seguito delle indicazioni fornite dal Garante rimane tuttavia un aspetto fortemente dibattuto: per quanto tempo la conservazione di tali metadati è considerata lecita?

Il Garante ha ritenuto che un periodo di conservazione di 21 giorni rappresenti un tempo indicativo ragionevole, compatibile con le finalità tecniche del trattamento e la tutela dei dipendenti. Tuttavia, l’indicazione orientativa del termine di 21 giorni ha suscitato un ampio dibattito tra gli operatori, poiché non risultavano chiari né i margini entro cui il titolare potesse legittimamente estendere il periodo di conservazione dei metadati delle e-mail, né quali misure e adempimenti fossero necessari per assicurare la conformità del trattamento al GDPR e, soprattutto, all’art. 4 dello Statuto dei Lavoratori.

Dopo le prime interpretazioni fornite da alcune associazioni di categoria, il Garante è recentemente tornato sul tema con un provvedimento sanzionatorio con cui ha cercato di chiarire in modo più preciso gli obblighi a carico di imprese e pubbliche amministrazioni.

Ma andiamo per gradi.

Cosa sono i metadati delle e-mail e perché sono importanti

Secondo quanto delineato dal Garante italiano per la protezione dei dati (“Garante”) nel documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 6 giugno 2024, i metadati di posta rappresentano le “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica” ossia l’insieme delle informazioni tecniche associate all’invio, ricezione e smistamento dei messaggi scambiati quali orario di invio o ricezione, mittente, destinatario, oggetto, dimensione del messaggio e indirizzo IP dei server coinvolti nell’instradamento dei messaggi.

I metadati di posta, anche detti log di trasporto, corrispondono quindi ai dati generati automaticamente dai server e dai client di posta elettronica durante il normale funzionamento del servizio. Come ribadito dal Garante nel citato documento d’indirizzo, tali metadati vanno distinti dal contenuto (body part) e dall’envelope del messaggio.

Infatti, i dati dell’envelope, pur tecnicamente assimilabili a metadati, sono parte integrante del messaggio stesso e rimangono nella piena disponibilità dell’utente. Di conseguenza la loro conservazione segue le ordinarie regole di gestione delle e-mail e non risulta soggetta ai limiti temporali individuati dal Garante nel citato documento d’indirizzo.

Proprio perché questi log di trasporto sono distinti dal contenuto del messaggio e sono generati per garantire il corretto funzionamento del servizio di posta (ad esempio, per assicurare la tracciabilità del messaggio o assicurarsi che esso sia stato effettivamente recapitato), il Garante ha ritenuto necessario assoggettare il trattamento di tali dati a specifici tempi di conservazione, proporzionati alla finalità tecnica perseguita e al rischio di un eventuale utilizzo improprio da parte del datore di lavoro.

Le indicazioni fornite dal Garante nel documento d’indirizzo del 2024

In linea generale, il Garante ritiene che il trattamento di questi “log di trasporto” possa considerarsi lecito solo se finalizzato a esigenze di funzionamento tecnico del servizio di posta elettronica e, quindi, per un tempo limitato. Diversamente, se i log sono conservati per un periodo superiore rispetto a quello ritenuto adeguato dal Garante per tale finalità (indicativamente 21 giorni, come si vedrà nel proseguo), una conservazione maggiore è ammessa solo se giustificata da specifiche esigenze organizzative, produttive ovvero per la tutela del patrimonio aziendale (ad esempio, al fine di garantire la sicurezza dei sistemi, adempiere agli obblighi previsti dalle normative in materia di cybersecurity, svolgere attività di audit o per finalità difensive), in questo caso il trattamento dovrà avvenire nel rispetto delle garanzie previste dall’art. 4. comma 1 Statuto dei Lavoratori (“Stat. Lav.”).

Secondo il Garante, una conservazione prolungata dei metadati relativi ai “log di trasporto” delle e-mail potrebbe presentare rilevanti criticità sia sotto il profilo privacy che giuslavoristico in quanto idonea a realizzare un potenziale controllo sistematico e pervasivo dell’attività del dipendente. Infatti, una retention superiore ai 21 giorni potrebbe consentire al datore di lavoro di ricostruire indirettamente comportamenti, tempi e attività lavorativa svolta da parte del dipendente, determinando un potenziale controllo sull’attività lavorativa, con conseguente necessità di accordo sindacale o autorizzazione da parte dell’Ispettorato del Lavoro ai sensi dell’art. 4 comma 1 Stat. Lav..

In altre parole, se i metadati di posta vengono conservati per finalità di gestione tecnica (ossia assicurare il corretto funzionamento del sistema di posta), il Garante ritiene che si possa applicare l’eccezione prevista dall’art. 4 comma 2 Stat. Lav. qualificando lo strumento come “necessario per lo svolgimento della prestazione lavorativa”. In questo caso, la conservazione dei log può ritenersi lecita entro un termine orientativo di 21 giorni che, ad avviso del Garante, rappresenta la soglia temporale compatibile per una gestione puramente tecnica del sistema. Se invece tali dati vengono conservati per un tempo superiore (ad esempio fino a 90 giorni, come si vedrà nel proseguo) il Garante ritiene che non si possa più applicare l’eccezione prevista dall’art. 4 comma 2 Stat. Lav. ma vada presunta l’applicabilità dell’art. 4 comma 1 Stat. Lav., con la necessità di predisporre accordo sindacale o autorizzazione da parte dell’Ispettorato del Lavoro.

Le posizioni delle associazioni di categoria all’indomani del documento d’indirizzo

Le indicazioni fornite dal Garante nel documento di indirizzo hanno tuttavia suscitato un ampio dibattito tra gli operatori a causa di alcuni elementi interpretativi non del tutto univoci. In particolare, l’individuazione del termine di conservazione di 21 giorni come limite “orientativo” ha generato notevoli incertezze sull’effettiva portata delle indicazioni del Garante e sull’obbligo o meno di attivare le garanzie previste dall’art. 4 comma 1 Stat. Lav. nel caso di conservazioni più estese.

A fronte di tale incertezza, diverse associazioni di categoria – tra cui ABI (Associazione Bancaria Italiana) e Confindustria – sono intervenute con documenti di indirizzo verso i propri associati con l’obiettivo di interpretare e chiarire quanto rappresentato dal Garante nel documento d’indirizzo. Entrambe le associazioni hanno posto l’accento sul carattere ordinatorio e non vincolante del documento, evidenziando per l’appunto che il provvedimento del Garante non stesse introducendo nuove regole.

In questa prospettiva, sia ABI che Confindustria hanno infatti stressato il passaggio in cui il Garante riconosce espressamente la possibilità di poter superare il limite orientativo dei 21 giorni, purché ciò sia motivato da esigenze tecniche concrete ed adeguatamente documentate, in applicazione del principio di accountability previsto dal GDPR.

In altre parole, la principale difficoltà interpretativa lasciata aperta dal documento di indirizzo riguardava l’effettiva ampiezza del margine discrezionale riconosciuto ai titolari del trattamento nell’estendere i tempi di conservazione oltre i 21 giorni. Questa zona grigia ha generato significative incertezze applicative e letture divergenti tra gli operatori, in particolare sull’effettiva validità del termine di 21 giorni individuato dal Garante (originariamente di 7 giorni ed esteso a 21 a seguito della consultazione pubblica avvenuta prima della pubblicazione del documento definitivo). Infatti, pur avendo indicato il termine di 21 giorni come limite orientativo, il Garante non ha chiarito con precisione fino a che punto fosse consentito estendere tale tempo di conservazione in presenza di motivate esigenze tecniche.

Le conferme ricevute dal Garante con il recente provvedimento di aprile 2025

A chiarire i margini e i limiti applicativi dell’orientamento espresso nel documento di indirizzo del 2024, è intervenuto il provvedimento n. 243 del 29 aprile 2025, con cui il Garante ha adottato il primo provvedimento sul tema post pubblicazione del documento d’indirizzo. Il provvedimento trae origine da un’attività ispettiva condotta dal Garante nei confronti della Regione Lombardia in relazione ad un utilizzo non corretto della posta elettronica nell’ambito del lavoro agile.

Nello specifico il Garante ha contestato alla Regione una conservazione sistematica dei log di trasporto per 90 giorni tramite il servizio Microsoft 365 in assenza di un’informativa specifica ai dipendenti, di una valutazione d’impatto (DPIA) e delle garanzie previste dall’art. 4 comma 1 Stat. Lav.. La Regione, a propria difesa, ha richiamato che tali dati, nel rispetto del documento d’indirizzo, erano conservati per finalità tecniche di funzionamento del sistema, in applicazione dell’eccezione prevista dal secondo comma dell’art. 4 Stat. Lav.. Inoltre ha affermato che il termine di 90 giorni corrispondeva al tempo di conservazione predefinito impostato dal fornitore del servizio di posta elettronica (Microsoft) e che non fosse tecnicamente possibile configurare un periodo di conservazione più breve.

Tale argomentazione è stata espressamente rigettata dal Garante chiarendo innanzitutto che, sebbene il documento di indirizzo del 2024 non abbia carattere formalmente vincolante, ciò non ne esclude la sua rilevanza giuridica. Infatti, ad avviso del Garante, tale documento richiama e ribadisce principi già noti e vincolanti stabiliti dalla normativa vigente, nonché già espressi in precedenti provvedimenti. In particolare, il Garante ha sottolineato che le indicazioni riportate nel documento di indirizzo si collocano nel solco di un orientamento già consolidato che, sin dal 2016, ribadisce la necessità di prevedere un termine di conservazione limitato – fino a 7 giorni – per la conservazione dei log di trasporto delle e-mail (si veda in particolare provv. n. 303 del 13 luglio 2016 nei confronti dell’Università di Chieti; provv. n. 409 del 1 dicembre 2022 nei confronti della Regione Lazio).

Pertanto, sebbene il documento di indirizzo del 2024 abbia formalmente natura non prescrittiva, i principi in esso contenuti assumono secondo il Garante carattere vincolante.

Nel caso esaminato, il Garante ha poi osservato che il termine di 90 giorni previsto dalla Regione Lombardia costituisce un periodo di conservazione eccessivo e non giustificabile in considerazione della finalità tecnica perseguita, circostanza che determina la responsabilità del titolare, il quale ha sempre il dovere di attivarsi per assicurarsi che i trattamenti da lui effettuati siano conformi alla normativa vigente.. E ciò anche quando

i fornitori di servizi cloud prevedono, per impostazione predefinita, la conservazione automatica dei log di trasporto per periodi prolungati, anche fino a 90 giorni, senza consentire al titolare del trattamento di modificare tale durata. Il Garante ha chiarito che eventuali vincoli tecnici imposti dal provider non esonerano il titolare dalle responsabilità a suo carico.

Tuttavia, in assenza di collaborazione da parte del fornitore, le indicazioni del Garante rischiano di risultare di impossibile applicazione, poiché il controllo e la decisione effettivi sull’infrastruttura tecnologica (e quindi sulle misure di sicurezza e sui tempi di conservazione) resta in mano al provider, impedendo di fatto al titolare di intervenire in modo efficace sul trattamento. Circostanza che contribuirebbe tra l’altro a ripensare alla stessa qualificazione dei ruoli privacy delle parti, dovendo il provider piuttosto essere classificato come titolare del trattamento direttamente responsabile per carenza di privacy by design e by default (art. 25 GDPR).

In questo contesto, la valutazione d’impatto sulla protezione dei dati (DPIA) assume un ruolo fondamentale. Come previsto dall’art. 35 del GDPR, la DPIA è obbligatoria ogniqualvolta un trattamento presenta rischi elevati per i diritti e le libertà degli interessati. Nel provvedimento in oggetto l’assenza di una DPIA è stata uno degli elementi contestati dal Garante alla Regione Lombardia. Il titolare aveva sostenuto che, a suo avviso, non ricorrevano i criteri per la necessità di effettuare una DPIA (in particolare la Regione affermava che non risultavano applicabili i criteri del “monitoraggio sistematico” e dell’uso di “nuove soluzioni tecnologiche od organizzative” previsti dalle Linee guida WP248 rev. 01). Il Garante ha tuttavia respinto tale interpretazione, sottolineando che il trattamento dei metadati nel contesto lavorativo comporta rischi specifici, in quanto coinvolge soggetti vulnerabili, come i dipendenti e, anche se solo potenziali, può dare luogo a forme di controllo sistematico dell’attività lavorativa. Per queste ragioni, il Garante ha ritenuto che una DPIA fosse necessaria nel caso in esame, soprattutto considerando la durata prolungata della conservazione.

Indicazioni operative: cosa fare e quando serve l’accordo sindacale

Alla luce delle indicazioni fornite dal Garante, è possibile delineare alcune indicazioni operative concrete per il trattamento dei metadati di posta elettronica in ambito lavorativo. Da questo punto di vista la durata della conservazione dei log di trasporto rappresenta il principale criterio per determinare gli adempimenti necessari. Ciò permette di distinguere tre differenti scenari:

Scenario 1: conservazione dei metadati entro 21 giorni

Se i log di trasporto sono conservati per un periodo non superiore a 21 giorni, il trattamento può essere ricondotto all’eccezione prevista dal comma 2 dell’art. 4 Stat. Lav., in quanto finalizzato al mero funzionamento tecnico del servizio di posta elettronica. In questo caso non è richiesto l’accordo sindacale né l’autorizzazione da parte dell’Ispettorato del Lavoro. Restano però fermi gli obblighi previsti dall’art. 4 commi 2 e 3 Stat. Lav. e dal GDPR, per cui è comunque necessario: i) svolgere una DPIA in quanto il trattamento coinvolge dipendenti e può potenzialmente incidere sui loro diritti e libertà e/o una valutazione del legittimo interesse, ove applicabile; ii) predisporre adeguata informativa ai sensi degli artt. 13 GDPR e art. 4 comma 3 Stat. Lav., specificando le finalità, la durata e le modalità del trattamento; iii) aggiornare il registro dei trattamenti e il Regolamento Strumenti Aziendali, indicando i metadati tra le tipologie di dati trattati nell’ambito dei sistemi di posta elettronica.

Scenario 2: conservazione oltre i 21 giorni ma in presenza di particolari condizioni

Come detto il Garante ritiene possibile, in via eccezionale ed in presenza di particolari e comprovate condizioni, estendere leggermente il termine orientativo di 21 giorni. Pur senza fissare un limite preciso, il Garante ha chiarito che un’estensione del tempo di conservazione fino a 90 giorni è da considerarsi eccessiva e non giustificabile per il solo funzionamento tecnico del servizio. Pertanto, per analogia e prudenza applicativa, si ritiene che un’estensione del tempo di conservazione fino a un massimo di 30 giorni possa essere valutata caso per caso sulla base delle esigenze della propria organizzazione. In questo scenario, dal momento che il trattamento rimane comunque riconducibile all’eccezione prevista dall’art. 4 comma 2 Stat. Lav., non risulterebbe necessario predisporre apposito accordo sindacale. Tuttavia, anche in questo caso, risulta necessario:

i) svolgere una DPIA che analizzi attentamente i rischi derivanti dal prolungamento della conservazione e documenti le ragioni tecniche specifiche che ne giustifichino l’estensione e/o una valutazione del legittimo interesse, ove applicabile;

ii) predisporre adeguata informativa ai sensi degli artt. 13 GDPR e art. 4 comma 3 Stat. Lav.;

iii) aggiornare il registro dei trattamenti e il Regolamento Strumenti Aziendali.

Scenario 3: conservazione dei metadati oltre i 21 giorni in assenza di particolari condizioni

In caso di conservazione notevolmente superiore ai 21 giorni (ad esempio, fino a 90 giorni) il Garante presume che il trattamento non possa più essere considerato proporzionato e necessario al solo fine del funzionamento tecnico del servizio di posta elettronica e, di conseguenza, non rientri più nell’eccezione prevista dall’art. 4, comma 2 dello Statuto dei Lavoratori. In tal caso si presume che, un tempo di conservazione così lungo, è potenzialmente idoneo a realizzare un controllo a distanza dell’attività lavorativa con conseguente applicazione del comma 1 dell’art. 4 Stat. Lav.. Pertanto, oltre agli adempimenti sopra indicati, sarà necessario attivare le garanzie giuslavoristiche previste dall’art. 4 Stat. Lav. comma 1, ossia sottoscrivere un accordo sindacale con le rappresentanze aziendali (RSU/RSA), oppure richiedere l’autorizzazione preventiva all’Ispettorato del Lavoro.

Azioni correttive prioritarie per la conformità normativa

È evidente come la gestione dei metadati relativi alle e-mail richieda al titolare un approccio strutturato e documentato, dovendo bilanciare le esigenze tecnico-organizzative con il rispetto dei diritti dei lavoratori, nonché con una deficitaria situazione tecnologica.

Al fine di rafforzare la propria conformità e provare a ridurre il rischio di contestazioni, le seguenti azioni correttive saranno quindi prioritarie:

• Attivare, se necessario, l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro, quando la conservazione eccede l’ambito del mero funzionamento tecnico.
• Mappare i metadati raccolti all’interno dell’organizzazione, indicando finalità e tempi di conservazione effettivi.
• Verificare le impostazioni tecniche e dei vincoli previsti dei fornitori IT, valutando eventuali limiti alla configurazione dei tempi di retention.
• Definire chiaramente le finalità del trattamento, distinguendo i trattamenti tecnici da quelli che possono comportare forme di controllo indiretto.
• Ridurre, dove possibile, i tempi di conservazione dei log, adottando misure di minimizzazione e segmentazione dei dati.
• Aggiornare le informative interne, specificando chiaramente le caratteristiche del trattamento dei metadati.
• Effettuare una DPIA, nei casi previsti dall’art. 35 GDPR o in presenza di trattamenti estesi o sistematici e/o una valutazione del legittimo interesse, ove applicabile.
• Documentare tutte le valutazioni nel registro dei trattamenti, nei contratti con i fornitori e nelle policy aziendali e aggiornare il Regolamento Strumenti Aziendali