La gestione e la conservazione dei metadati della posta elettronica in ambito lavorativo rappresentano uno dei temi più delicati nel diritto della protezione dei dati personali. Il Garante per la protezione dei dati personali, con il recente provvedimento n. 243 del 29 aprile 2025, ha affrontato nuovamente la questione, sancendo importanti principi che intrecciano la disciplina privacy (GDPR) con quella giuslavoristica, in particolare con l’art. 4 dello Statuto dei Lavoratori.
Lo Studio Legale Bonanni Saraceno, da anni specializzato in tutela della privacy, data protection e controlli in ambito lavorativo, offre assistenza a enti pubblici e imprese per l’adeguamento alle linee guida del Garante e la gestione dei rapporti sindacali e ispettivi derivanti dall’utilizzo di strumenti informatici.
Il quadro normativo: dal 2007 al documento del 2024
Il Garante si era già espresso nel 2007 con le Linee guida per posta elettronica e Internet, che fissavano le prime indicazioni su navigazione e utilizzo degli strumenti informatici in azienda. Successivamente, con il documento di indirizzo del 6 giugno 2024 (“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”), l’Autorità aveva stabilito che il termine massimo ordinario di conservazione dei metadati non dovesse superare i 21 giorni, salvo comprovate esigenze tecniche e di sicurezza. Il provvedimento del 2025 segna però un passaggio ulteriore: per la prima volta, le indicazioni del documento di indirizzo diventano la base di un procedimento sanzionatorio.Il caso: ente regionale e conservazione dei metadati
Dall’istruttoria del Garante sono emerse tre violazioni principali:- Conservazione dei metadati della posta elettronica per 90 giorni senza accordo sindacale o autorizzazione dell’Ispettorato, sebbene successivamente l’ente vi abbia provveduto.
- Raccolta e conservazione sistematica della cronologia Internet dei dipendenti per un anno, con possibilità di ricostruzione delle attività individuali, anch’essa in assenza iniziale di accordo sindacale e valutazione d’impatto.
- Conservazione illimitata dei dati di assistenza tecnica, mantenuti dal 2016 fino alla cessazione del servizio, in contrasto con il principio di minimizzazione.
L’interpretazione del Garante: art. 4 Statuto dei Lavoratori e GDPR
Il nodo centrale riguarda l’applicazione dell’art. 4 dello Statuto dei Lavoratori:- Comma 2: legittima trattamenti connessi a esigenze tecniche, organizzative e di sicurezza, senza necessità di accordo sindacale.
- Comma 1: impone invece garanzie procedurali (accordo sindacale o autorizzazione dell’Ispettorato).
Implicazioni pratiche per enti e imprese
Il provvedimento n. 243/2025 conferma che:- Il termine di 21 giorni per i metadati è lo standard di riferimento; ogni estensione richiede rigorosa prova tecnica.
- La conservazione sistematica della cronologia Internet configura un controllo a distanza, quindi necessita di accordo sindacale o autorizzazione.
- La data retention policy deve rispettare il principio di minimizzazione e accountability, evitando conservazioni illimitate.
Conclusioni
Il provvedimento del Garante del 29 aprile 2025 rappresenta un punto di svolta: per la prima volta le indicazioni orientative del 2024 vengono tradotte in una sanzione effettiva, destinata a incidere sulle pratiche organizzative di enti e imprese.
La gestione di metadati e cronologia Internet non è più soltanto un tema tecnico, ma un ambito dove si intrecciano privacy, diritto del lavoro e compliance aziendale.
A cura dell'avv. Fabrizio Valerio Bonanni Saraceno
Ti è piaciuto l'articolo?Lascia un feedback
Scarica Versione PDF