Informazioni utili per adeguarsi alle indicazioni del Garante sulla gestione dei metadati nelle email

di Aldo Maugeri e Milena Bortoli, Privacy Consultant per Docuverse

Sommario

Il Garante per la protezione dei dati personali ha recentemente richiamato l’attenzione sul trattamento dei metadati delle email, sostenendo che:

• – sebbene non riguardino direttamente il contenuto del messaggio, quest’ultimi possono comunque costituire dati personali e di conseguenza rientrare nell’ambito del GDPR;  
• – la conservazione oltre 21 giorni dei metadati fa rientrare tale trattamento nell’ambito dell’art. 4 dello Statuto dei lavoratori (controllo a distanza dell’attività dei lavoratori) consentendo il tracciamento in modo dettagliato di comportamenti, abitudini lavorative e relazioni professionali dei detentori degli account.

I provvedimenti rilevanti del Garante sono: 

• – il n. 364 del 6 giugno 2024, e 
• – il n. 243 del 29 aprile 2025

A tali metadati, quindi, si applica la normativa sulla protezione dei dati, con conseguenti obblighi di gestione a norma dei trattamenti, trasparenza, limitazione della finalità e adeguata protezione.

È inoltre opportuno precisare che con il provvedimento del 6 giugno 2024, il Garante adotta un documento di indirizzo relativo ai trattamenti di dati personali in ambito lavorativo, la cui finalità è quella di evidenziare i rischi derivanti dall’uso di programmi e servizi (anche cloud) per la gestione delle email, che potrebbero raccogliere metadati sugli account dei dipendenti.

Nonostante il Garante, nel medesimo provvedimento del 6 giugno 2024, avesse precisato che il documento di indirizzo aveva natura puramente orientativa e non introduceva nuovi adempimenti o responsabilità, nel maggio 2025 ha sanzionato la Regione Lombardia. 

La sanzione è scaturita da un controllo che ha rilevato come i trattamenti dei metadati effettuati non fossero conformi alle indicazioni contenute nel suddetto documento.

Analisi tecnica

Di seguito, esponiamo raccomandazioni utili per effettuare un’analisi tecnica per verificare che i trattamenti siano allineati ai provvedimenti del Garante. 

Includiamo anche una descrizione delle misure che le aziende devono implementare per adeguarsi ai requisiti previsti.

Quali sistemi sono in ambito?

Programmi e servizi informatici di gestione della posta elettronica in contesto lavorativo e trattamento dei metadati.

Quali metadati sono in ambito?

I metadati registrati dai sistemi server (MTA) e client (MUA) che includono:

• – indirizzi email del mittente/destinatario;
• – indirizzi IP dei server/client;
• – orari di invio/trasmissione/ricezione;
• – dimensione del messaggio e degli allegati;
• – oggetto del messaggio (in alcuni casi).

I metadati non comprendono il contenuto dei messaggi o l’envelope della posta elettronica.

Quali sono i requisiti per la raccolta dei metadati?

La raccolta deve essere limitata ai metadati necessari per il funzionamento del sistema e la loro conservazione non dovrebbe superare i 21 giorni per evitare un controllo a distanza sull’attività dei lavoratori.

Eventuali conservazioni per tempi superiori fanno rientrare il trattamente nell’ambito dell’art 4 dello Statuto dei lavoratori e di conseguenza richiedono accordo sindacale o autorizzazione da parte dell’Ispettorato del Lavoro.

Esistono degli obblighi anche verso soluzioni cloud che gestiscono la posta elettronica?

Il titolare deve assicurarsi che i servizi di gestione email (soprattutto in modalità cloud) rispettino le norme di protezione dati, compresi i limiti sulla conservazione dei metadati, in linea con le indicazioni del Garante.

Quali sono i prossimi passi?

Sulla base dell’ultimo provvedimento sanzionatorio del Garante, raccomandiamo le seguenti attività: 

1. verificare se e come si stanno trattando i metadati delle email; 
2. se i metadati vengono registrati (come supponiamo), vi supporteremo:
   – aggiornando o redigendo una DPIA (valutazione d’impatto), specificando chiaramente:
   >>> le finalità del trattamento;
   >>> le basi giuridiche adottate;
   >>> la durata della conservazione;
   >>> le misure tecniche e organizzative in essere per proteggere i dati;
3. nel caso in cui i metadati non possano essere conservati per meno di 21 giorni (ad esempio perché è necessario che siano utilizzati anche per finalità organizzative o disciplinari), sarà indispensabile provvedere a effettuare un accordo sindacale o autorizzazione ITIL, in linea con l’art. 4 dello Statuto dei Lavoratori;
4. verificare o aggiornare eventuali informative o documenti destinati ad informare i dipendenti dei trattamenti in essere al fine di assicurare che siano chiare, complete e aggiornate.
5. ove attuabile, implementare misure tecniche a protezione dei dati, fra cui:
6. cifrare o pseudonimizzare i dati contenuti nei log, ove tecnicamente possibile;
7. coinvolgere il reparto IT per valutare l’impatto sulle misure di sicurezza già in essere.

Conclusioni

È importante sottolineare che il tema del trattamento dei metadati — in particolare quelli legati alla posta elettronica — è ancora in forte evoluzione, sia dal punto di vista normativo che interpretativo. 

Va considerato, infatti, che l’impostazione sulla gestione dei metadati richiesta dal Garante ha suscitato un ampio dibattito, in particolare a causa del disallineamento con altre normative e standard di riferimento, come la direttiva NIS2 o la certificazione ISO/IEC 27001. Questi, al contrario, promuovono esplicitamente la conservazione strutturata di log e metadati, riconoscendoli come elementi fondamentali delle strategie di cybersecurity, audit, continuità operativa e tracciabilità degli accessi.

In un contesto orientato alla sicurezza, infatti, il mantenimento dei log di accesso alla posta elettronica e ai sistemi informativi è considerato un requisito essenziale per individuare incidenti di sicurezza, prevenire violazioni e ricostruire con precisione eventi critici.

Pur essendo la posizione del Garante attualmente da considerare come riferimento operativo, non si può escludere che essa possa essere oggetto di future revisioni o ridefinizioni, in seguito a eventuali pronunce giurisprudenziali.

In questo caso, infatti, i provvedimenti dell’Autorità si estendono oltre l’ambito della protezione dei dati personali (disciplinato principalmente dal GDPR e dal Codice della Privacy), per coinvolgere anche il tema dei diritti dei lavoratori. In particolare, entrano nel campo di applicazione dell’articolo 4 dello Statuto dei lavoratori, che disciplina i limiti e le condizioni dell’uso di strumenti dai quali possa derivare un controllo, anche indiretto, sull’attività lavorativa.

Non si può escludere, quindi, che eventuali soggetti destinatari di sanzioni possano proporre ricorsi, portando i giudici a doversi esprimere sul delicato bilanciamento tra protezione dei dati personali, esigenze organizzative, sicurezza delle informazioni e tutela dei diritti dei lavoratori. Tali decisioni potrebbero anche portare a esiti difformi rispetto all’orientamento attuale.

Nonostante le incertezze derivanti da un quadro normativo potenzialmente conflittuale, è fondamentale che le aziende agiscano con piena consapevolezza dei rischi, adottando soluzioni che rispettino le indicazioni del Garante senza tuttavia compromettere altri obblighi normativi o operativi.

L’approccio più efficace rimane quello dell’accountability, ovvero un modello documentato, trasparente e fondato su valutazioni di impatto. In tale percorso, il nostro supporto si affianca al coinvolgimento del Referente Privacy e dell’Ufficio IT della vostra organizzazione, al fine di garantire scelte coerenti, equilibrate e conformi sotto ogni profilo.