Con il provvedimento n. 243 del 29 aprile 2025, il Garante per la protezione dei dati personali ("Garante") ha irrogato nei confronti di Regione Lombardia ("Regione") una sanzione amministrative pecuniaria di 50.000 euro per aver conservato, in assenza delle necessarie garanzie procedurali, i metadati generati dai sistemi di gestione della posta elettronica dei propri dipendenti per un periodo di 90 giorni e i log di navigazione Internet per 365 giorni. In particolare, la Regione ha omesso di adempiere agli obblighi previsti dall'articolo 4(1) della Legge n. 300/1970 (“Statuto dei lavoratori”) e non ha effettuato una preventiva valutazione d'impatto sulla protezione dei dati personali (DPIA) ai sensi dell’art. 35 del GDPR.
Nel provvedimento in esame, il Garante ha ribadito che i metadati generati dai sistemi di gestione della posta elettronica e i log di navigazione Internet sono dati personali e che la loro raccolta generalizzata, in quanto consente il controllo a distanza dell'attività lavorativa, impone al datore di lavoro, ricorrendo determinate circostanze, di esperire le procedure previste dall'articolo 4(1) dello Statuto dei lavoratori.
Il Documento di indirizzo del Garante del 6 giugno 2024 aveva del resto già cristallizzato questo orientamento, precisando che i metadati generati dai sistemi di gestione della posta elettronica dei dipendenti possono essere conservati per periodo limitati, di regola non superiori a 21 giorni. In caso di conservazione oltre i 21 giorni, è necessario – secondo il Garante – esperire le procedure previste dall'articolo 4(1) dello Statuto dei lavoratori. Ciò a meno che il titolare non sia in grado di dimostrare la sussistenza in concreto di particolari ragioni di natura tecnica o organizzativa (connesse ad esempio alla sicurezza informatica del servizio di posta elettronica) che rendano necessaria l’estensione della conservazione oltre i 21 giorni.
Tali ragioni non sono state rinvenute nel caso di specie.
La Regione, peraltro, mediante tre fornitori esterni, era in grado di combinare indirizzi IP, indirizzi MAC e identità dei dipendenti, avendo così piena disponibilità di informazioni che consentivano una potenziale profilazione e un controllo individuale dei dipendenti. Il Garante ha giudicato sproporzionato e eccedente i principi di minimizzazione e limitazione della conservazione tale trattamento e ha imposto, tra l'altro, l'anonimizzazione dei tentativi di accesso ai siti web blacklistati, la riduzione della conservazione dei log di navigazione Internet da 365 a 90 giorni (con possibilità di conservazione oltre tale termine solo previa anonimizzazione dei dati), la limitazione degli accessi ai dati al solo personale espressamente autorizzato e la cifratura dei dati che permettono l'associazione tra dispositivo e dipendente.
Il Garante ha altresì chiarito che, in considerazione del fatto che il trattamento dei metadati generati dai sistemi di gestione della posta elettronica dei dipendenti comporta, almeno potenzialmente, "rischi elevati" per i diritti e le libertà degli interessati (in quanto comporta il monitoraggio sistematico di soggetti – i dipendenti – considerati vulnerabili in ragione della loro subordinazione al datore di lavoro), effettuare una DPIA è obbligatorio e non effettuarla configura una violazione dell'articolo 35 del GDPR.
L'orientamento del Garante è quindi chiaro: la conservazione dei metadati non dovrebbe eccedere i 21 giorni e conservarli oltre i 21 giorni, senza esperire le procedure previste dall’art. 4(1) dello Statuto dei Lavoratori, è legittimo solo in presenza di comprovate ragioni di natura tecnica connesse al funzionamento e alla sicurezza informatica del servizio (le quali in ogni caso non possono consistere in generiche ragioni connesse alla sicurezza informatica delle reti e dei sistemi informativi del datore di lavoro). Nel caso in cui tali ragioni non sussistano, è necessario, a seconda dei casi, raggiungere un accordo con le rappresentanze sindacali o ottenere l’autorizzazione del competente Ispettorato del Lavoro. In ogni caso è sempre necessario effettuare e documentare una DPIA e un Legitimate Impact Assessment (LIA), aggiornare le informative sul trattamento dei dati personali rilevanti e le policy e procedure interne e adottare adeguate misure tecniche e organizzative per garantire un livello adeguato di protezione ai dati personali trattati.
Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi connessi alla raccolta e conservazione dei metadati generati dai sistemi di gestione della posta elettronica aziendale, rivolgiti ai tuoi professionisti di riferimento.
