Il Garante Privacy, con provvedimento n. 243 del 29 aprile 2025, ha sanzionato un ente pubblico per il trattamento non conforme alla normativa in materia di tutela dei dati personali, posto in essere sui metadati di posta elettronica e sui log di navigazione internet dei propri lavoratori dipendenti.
Al contempo, ha fornito importanti precisazioni in ordine alla nozione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, di cui al comma 2 dell’art. 4 dello Statuto dei Lavoratori, ovvero quelli strumenti a cui non si applicherebbero le garanzie procedurali di cui al comma 1, ovvero il previo accordo sindacale, o autorizzazione dell’INL).
Sul trattamento dei metadati di posta elettronica
In particolare, ed in riferimento specifico al caso di specie, il Garante ha accertato che i metadati di posta elettronica venivano conservati dalla Regione, in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali (cfr. art. 4, c. 1, L. 300/1970 – Statuto dei Lavoratori), per 90 giorni, per finalità di sicurezza informatica e assistenza tecnica, nonché allo scopo di offrire assistenza agli utenti nel momento in cui un messaggio non viene recapitato correttamente.
Si ricorda che recentemente il Garante ha affrontato il delicato tema della conservazione dei metadati di posta elettronica, fornendo indicazioni e chiarimenti volti ad orientare le scelte organizzative e tecniche dei datori di lavori con il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato con provvedimento n. 364/2024.
I metadati di posta elettronica, ovvero le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client, comprendono generalmente gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I metadati di posta elettronica risultano assistiti da garanzie di segretezza, tutelate anche costituzionalmente (artt. 2 e 15 Cost.), in quanto volte ad assicurare protezione al nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali: pertanto, anche nel contesto lavorativo, per il Garante, sussiste una legittima aspettativa di riservatezza in relazione alla corrispondenza e agli elementi ricavabili dai dati esteriori della stessa, che ne definiscono i profili temporali (come la data e l’ora di invio/ricezione) nonché gli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto.
Anche questi dati sono, a propria volta, infatti, suscettibili di aggregazione, elaborazione e di controllo.
L’art. 88 del GDPR individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica, ex art. 114 del Codice, che richiama l’art. 4, c. 1, dello Statuto dei Lavoratori, come modificato dal D. Lgs. 151/2015).
Pertanto, nella nozione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, di cui al citato art. 4, c. 2, che costituisce un’eccezione, rispetto al comma 1 – e che, come tale, per il Garante, deve essere oggetto di stretta interpretazione stante altresì le responsabilità anche sul piano penale che ne conseguono – possono ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa.
Tali principi hanno trovato applicazione in numerosi provvedimenti del Garante, anche alla luce degli orientamenti della giurisprudenza, del Ministero del lavoro e dell’INL, che ritengono non applicabile l’eccezione del comma 2, nei casi in cui:
- il sistema agisca con modalità non percepibili dal lavoratore e in modo del tutto indipendente rispetto alla normale attività dello stesso
- in presenza di sistemi che non sono solo funzionali alla prestazione, ma consentono anche ulteriori elaborazioni da parte del datore di lavoro per il perseguimento di proprie finalità e specie nei casi in cui tali funzionalità non possano essere disabilitate dal dipendente.
Tali caratteristiche ricorrono, per il Garante, nel caso del trattamento dei metadati di posta elettronica, qualora gli stessi siano raccolti e conservati, in modo preventivo e generalizzato, per un esteso arco temporale dai programmi e servizi informatici per la gestione della posta elettronica, in quanto:
- tali operazioni di trattamento sono effettuate per esigenze proprie del datore di lavoro, automaticamente e indipendentemente dalla percezione e dalla volontà del lavoratore
- tali metadati rimangono nella disponibilità esclusiva del datore di lavoro e, per suo conto, del fornitore del servizio, documentando il traffico anche dopo l’eventuale cancellazione del messaggio da parte del lavoratore.
La conseguenza è un rischio di un indiretto controllo a distanza dell’attività dei lavoratori e, per tali ragioni, in tali casi non può essere generalmente invocata l’eccezione di cui al comma 2 dell’art. 4, trovando invece di regola applicazione il comma 1.
In tale quadro, affinché sia ritenuto applicabile il comma 2 citato, l’attività di raccolta e conservazione dei soli metadati che assicurino il funzionamento delle infrastrutture del sistema della posta elettronica e il soddisfacimento di essenziali garanzie di sicurezza informatica, deve essere effettuata, di norma, per un periodo limitato a pochi giorni, comunque non superiore ai 21 giorni, salvo che il titolare comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l’estensione, in ragione delle specificità della propria realtà tecnica e organizzativa.
Diversamente, la generalizzata raccolta e la conservazione dei metadati di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, c. 1, dello Statuto dei Lavoratori.
Nel caso di specie, i metadati di posta elettronica venivano conservati dalla Regione per 90 giorni: peraltro, per il Garante, entro tale termine, la finalità di trattamento in concreto perseguita non è riconducibile solo all’ambito del mero funzionamento delle infrastrutture del sistema della posta elettronica e delle essenziali garanzie di sicurezza del servizio, ma altresì come un’attività funzionale alla tutela dell’integrità del patrimonio informativo e della sicurezza informatica, finalità riconducibile al comma 1 dell’art. 4.
Nel caso di specie, il Garante ha dunque concluso che il trattamento in questione è stato effettuato in assenza delle garanzie procedurali previste dall’art. 4, c. 1, L. 300/1970, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del GDPR, nonché dell’art. 114 del Codice Privacy, quantomeno sino alla stipula degli accordi collettivi con le competenti parti sindacali.
Sul trattamento dei log di navigazione web
Preliminarmente, il Garante precisa che i log di navigazione web, sono da intendersi quelle informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema.
Nel caso di specie, tali informazioni venivano raccolte e conservate dalla Regione in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali.
Il Garante ricorda che la raccolta e la conservazione dei log di navigazione richiedono il rispetto dell’art. 4, c. 1, dello Statuto dei Lavoratori, posto che i sistemi che consentono la tracciatura degli accessi ad Internet non possono essere, in generale, ricompresi nell’ambito di applicabilità del citato comma 2, diversamente dai sistemi di inibizione automatica di consultazione in rete (senza conservazione dei tentativi di accesso), da parte dei dipendenti, di specifici contenuti vietati dall’organizzazione di appartenenza.
La raccolta e la conservazione sistematica di tutti i file di log, implica, infatti, a un trattamento generalizzato dei dati relativi all’attività e all’utilizzo dei servizi di rete da parte di dipendenti comunque identificabili, e comporta, in presenza di un collegamento univoco con il dipendente e con la sua specifica postazione di lavoro, la possibilità di ricostruirne l’attività mediante l’impiego di sistemi tecnologici.
Conseguentemente, in tali casi, il datore di lavoro deve assicurare il rispetto delle garanzie procedurali previste dall’art. 4, comma 1, che costituisce condizione di liceità del trattamento di tali dati.
Il Garante precisa poi che il trattamento:
- deve essere “necessario” rispetto alla lecita finalità perseguita (art. 6, par. 1 GDPR)
- deve avere ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), GDPR)
- in base al principio di limitazione della conservazione, deve concernere dati personali da conservare “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), GDPR)
- deve essere posto in essere, da parte del titolare del trattamento, con l’adozione, ”fin dalla progettazione” e “per impostazione predefinita” (art. 25 GDPR), di misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati
- non può consistere nella raccolta, “anche a mezzo di terzi” di dati personali relativi alle “opinioni politiche, religiose o sindacali del lavoratore”, nonché a “fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”
Poste tali premesse, il Garante ricorda che i log di navigazione in Internet, soprattutto se comprende i file di log relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema, possono riguardare aspetti della sfera personale e della vita privata dei dipendenti: la linea di confine tra l’ambito lavorativo e professionale e quello strettamente privato, come ricorda il Garante, non può sempre essere tracciata in modo netto.
Nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro e soprattutto quando operi in modalità agile, sussiste per lo stesso una legittima aspettativa di riservatezza: l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa non può, infatti, giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta con la predisposizione di misure tecniche e organizzative idonee a prevenire in radice che le eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali “non pertinenti”, che ricadono nell’ambito di applicazione dell’art. 113 del Codice.
In riferimento al caso di specie, il sistema adottato dalla Regione per finalità di sicurezza della rete, consentiva nei fatti operazioni di tracciatura delle connessioni e dei collegamenti ai siti Internet visitati dai dipendenti, compresi i tentativi falliti di accesso ai siti web indicati nell’apposita black list, la memorizzazione di tali dati e la loro conservazione per 365 giorni, e comportava pertanto il trattamento di informazioni anche estranee all’attività professionale: in definitiva, non è risultata pertanto conforme, per il Garante, alla disciplina di protezione dei dati, ponendosi in violazione degli artt. 5, par. 1, lett. a), c) ed e), e 25 del GDPR, e dell’art.113 del Codice, in riferimento all’art. 8 dello Statuto dei Lavoratori e all’art. 10 del D. Lgs. n. 276/2003.
