Il quadro normativo di riferimento

Il Garante per la protezione dei dati personali, con il recente provvedimento n. 243/2025 del 29 aprile scorso, ha nuovamente affrontato il tema della conservazione dei metadati email, sanzionando la Regione Lombardia per aver mantenuto i log di posta elettronica per 90 giorni senza le necessarie garanzie previste dallo Statuto dei lavoratori.

Questo caso evidenzia l’importanza di rispettare le regole stabilite dal documento di indirizzo n. 364 del giugno 2024, che disciplina il trattamento di queste informazioni tecniche.

Cosa sono i metadati e perché sono rilevanti

I metadati sono informazioni generate automaticamente dai sistemi informatici, che includono:

  • Indirizzi email di mittenti e destinatari
  • Orari di invio e ricezione dei messaggi
  • Oggetto delle email
  • Dimensione dei file
  • Indirizzi IP
  • Altri dati tecnici relativi all’instradamento

Pur non contenendo il messaggio vero e proprio, questi dati sono considerati informazioni personali a tutti gli effetti, in quanto permettono di ricostruire abitudini, relazioni e comportamenti dei dipendenti.

I limiti temporali da rispettare

Per i metadati email: il Garante ha stabilito un limite massimo ordinario di 21 giorni per la conservazione senza necessità di accordi sindacali o autorizzazioni. Superare questo termine richiede la dimostrazione documentata di condizioni eccezionali legate alla specifica organizzazione aziendale.

Per i dati di navigazione internet: pur non indicando un limite temporale preciso, si applicano gli stessi principi di liceità, proporzionalità e durata limitata della conservazione.

Gli adempimenti richiesti

Quando la conservazione dei metadati può determinare un controllo indiretto dell’attività lavorativa, è necessario:

  1. Stipulare un accordo sindacale oppure ottenere autorizzazione dall’Ispettorato del lavoro (art. 4, comma 1, Statuto dei lavoratori)
  2. Fornire informativa chiara e trasparente ai dipendenti sul trattamento dei metadati
  3. Adottare misure tecniche per limitare l’accesso solo ai soggetti autorizzati
  4. Garantire la conformità dei fornitori terzi mediante apposita nomina a responsabile del trattamento
  5. Valutare la necessità di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per trattamenti sistematici

Le criticità pratiche

Riconosciamo che queste regole presentano significative difficoltà applicative, specialmente per:

  • I servizi di posta elettronica in cloud, dove spesso non è possibile controllare direttamente i tempi di conservazione
  • Le esigenze di sicurezza informatica, che richiedono spesso conservazioni più lunghe
  • La gestione di incidenti di sicurezza o attacchi informatici, rilevabili talvolta solo dopo settimane

Le nostre raccomandazioni

Vi consigliamo di:

  1. Verificare immediatamente i tempi di conservazione dei metadati nei Vostri sistemi aziendali
  2. Valutare la necessità di attivare procedure sindacali o richiedere autorizzazioni
  3. Aggiornare le informative ai dipendenti
  4. Rivedere i contratti con i fornitori di servizi cloud
  5. Documentare le motivazioni di eventuali conservazioni superiori ai 21 giorni

I rischi di non conformità

Il mancato rispetto di queste disposizioni può comportare:

  • Sanzioni amministrative da parte del Garante Privacy
  • Rilievi in sede di ispezioni del lavoro
  • Nullità di eventuali provvedimenti disciplinari basati su dati raccolti irregolarmente