Home Data Protection & CybersecurityIl Garante emette la prima sanzione ai sensi del GDPR per violazione della privacy sui metadati delle e-mail dei dipendenti in Italia

Il Garante emette la prima sanzione ai sensi del GDPR per violazione della privacy sui metadati delle e-mail dei dipendenti in Italia

3 Giugno 2025 by

Il Garante per la protezione dei dati personali ha emesso la sua prima sanzione ai sensi del GDPR per la conservazione illegittima dei metadati delle e-mail dei dipendenti e delle attività di navigazione web, applicando per la prima volta in Italia le sue linee guida del 2024 sull’uso dei metadati nei sistemi di posta elettronica sul luogo di lavoro.

Il trattamento dei metadati nei rapporti di lavoro

I metadati generati attraverso l’uso aziendale della posta elettronica e di Internet includono informazioni quali gli indirizzi del mittente e del destinatario, l’oggetto, la data e l’ora di trasmissione, la presenza e la dimensione degli allegati e gli indirizzi IP. Sebbene questi dati non includano il contenuto effettivo dei messaggi, possono rivelare modelli di comportamento, relazioni e, indirettamente, dedurre i livelli di rendimento o produttività.

Nel contesto lavorativo, questo tipo di metadati diventa altamente sensibile. Il loro trattamento deve essere conforme non solo ai principi del GDPR, ma anche alle leggi italiane sul lavoro, in particolare all’articolo 4 della legge n. 300/1970 (Statuto dei lavoratori), che disciplina il monitoraggio dei dipendenti. In particolare, l’articolo 114 del Codice Privacy fa esplicito riferimento allo Statuto dei lavoratori, ancorando saldamente le tutele del diritto del lavoro al regime di protezione dei dati. Pertanto, la violazione dell’articolo 4 dello Statuto dei lavoratori può comportare una violazione automatica delle leggi italiane sulla protezione dei dati.

Prima applicazione delle linee guida del Garante sui metadati delle e-mail dei dipendenti

Nel giugno 2024, il Garante ha pubblicato delle linee guida specifiche intitolate: “Programmi e servizi per la gestione delle e-mail sul luogo di lavoro e trattamento dei metadati”. Queste linee guida rappresentano un importante chiarimento per i datori di lavoro e i fornitori di servizi IT, affermando che:

  • I metadati delle e-mail dei dipendenti costituiscono dati personali e possono essere utilizzati per monitorare indirettamente la condotta dei dipendenti.
  • Il periodo massimo di conservazione senza ulteriori garanzie è di 21 giorni.
  • La conservazione oltre i 21 giorni richiede una delle due condizioni:
    • Un accordo con i rappresentanti sindacali, oppure
    • L’autorizzazione dell’Ispettorato territoriale del lavoro.

Inoltre, ai sensi della legge sulla protezione dei dati, è necessario implementare

  • Una informativa dettagliata sulla privacy che specifichi il tipo di metadati trattati, la base giuridica, le finalità del trattamento e il periodo di conservazione;
  • Una valutazione del legittimo interesse, poiché il legittimo interesse è probabilmente la base giuridica; e
  • Una valutazione d’impatto sulla protezione dei dati, data la rilevanza dei dati personali trattati.

Le Linee guida mirano a prevenire pratiche di trattamento dei dati sproporzionate o opache che potrebbero ledere i diritti dei dipendenti ai sensi del GDPR e delle leggi sul lavoro. Sebbene le Linee guida non siano vincolanti per definizione, esse rappresentano la posizione ufficiale del Garante in materia, come dimostrato nella decisione riportata di seguito, e pertanto le aziende sono tenute a rispettarle.

Il caso del Garante sul trattamento dei metadati dei dipendenti in Italia

Durante un’ispezione d’ufficio, il Garante ha scoperto che la Regione Lombardia conservava:

  • Metadati delle e-mail per un massimo di 90 giorni;
  • registri di navigazione web per 12 mesi;
  • dati dei registri dell’helpdesk (contenenti gli identificativi dei dipendenti e la cronologia dei ticket) per quasi 10 anni.

Questi periodi di conservazione superavano di gran lunga quelli ritenuti proporzionati dalle Linee guida, soprattutto in assenza di un accordo sindacale o di un’autorizzazione dell’autorità del lavoro.

Inoltre, il datore di lavoro aveva stipulato un accordo sindacale solo dopo l’inizio dell’ispezione. Il Garante ha chiarito che tale accordo non può giustificare retroattivamente il trattamento dei dati effettuato in passato.

Le Violazioni del GDPR individuate

Il Garante ha riscontrato che la Regione Lombardia ha violato diverse disposizioni del GDPR:

  1. Articolo 5, paragrafo 1, lettera c) (Minimizzazione dei dati): i dati sono stati raccolti e conservati oltre quanto necessario.
  2. Articolo 5, paragrafo 1, lettera e) (Limitazione della conservazione): i metadati sono stati conservati per periodi non giustificati da alcuna necessità dimostrata.
  3. Articolo 6, paragrafo 1 (Liceità del trattamento): non sussisteva alcuna base giuridica valida per la conservazione dei metadati per periodi prolungati.
  4. Articolo 35 (Obbligo di valutazione d’impatto sulla protezione dei dati): la Regione Lombardia non ha effettuato una valutazione d’impatto sulla protezione dei dati, nonostante l’elevato rischio connesso al trattamento sistematico dei dati dei dipendenti.
  5. Articolo 88 GDPR e articolo 114 del Codice della privacy: il trattamento non era conforme alle disposizioni nazionali che integrano le tutele del diritto del lavoro.
  6. Articolo 28 GDPR: i contratti con i fornitori di servizi informatici non erano stati aggiornati in conformità con i requisiti vigenti.

Fondamentalmente, l’Autorità italiana per la protezione dei dati ha sottolineato che la possibilità di utilizzare i metadati per monitorare i dipendenti fa scattare l’applicazione dell’articolo 4 dello Statuto dei lavoratori, anche se tale monitoraggio non viene effettuato regolarmente.

Sanzioni e misure correttive

Alla luce di quanto sopra, il Garante ha inflitto una sanzione di 50.000 euro, così ripartita:

  • 20.000 euro per il trattamento illecito dei metadati delle e-mail;
  • 25.000 euro per la conservazione eccessiva dei registri di navigazione web;
  • 5.000 euro per la conservazione dei metadati dei ticket dell’help desk per un periodo eccessivo.

Va considerato che, storicamente, le sanzioni GDPR inflitte alle autorità pubbliche sono inferiori a quelle imposte alle società private. Pertanto, se lo stesso procedimento fosse stato avviato nei confronti di una società, la sanzione potenziale sarebbe stata notevolmente più elevata.

Oltre alla sanzione pecuniaria, il Garante ha ordinato alla Regione Lombardia di:

  • Limitare la conservazione dei registri di navigazione a 90 giorni e successivamente procedere all’anonimizzazione;
  • Ridurre al minimo e crittografare i metadati delle e-mail;
  • Limitare l’accesso ai metadati al solo personale autorizzato;
  • Aggiornare le politiche interne e la documentazione sulla privacy;
  • Rivedere i contratti con i fornitori IT terzi per riflettere gli obblighi dell’articolo 28 del GDPR;
  • Condurre una DPIA per valutare e mitigare i rischi per la privacy;
  • Garantire la futura conformità agli obblighi di legge in materia di lavoro per qualsiasi trattamento che possa comportare il monitoraggio dei dipendenti.

Perché questa decisione è importante

La decisione del Garante sul trattamento dei metadati relativi alle e-mail dei dipendenti rappresenta una svolta nell’evoluzione dell’applicazione della privacy sul posto di lavoro in Italia. Essa costituisce un precedente autorevole che:

  • I metadati delle e-mail sono soggetti alla piena protezione del GDPR;
  • I datori di lavoro devono trattare i metadati con la stessa serietà dei contenuti;
  • Le tutele del diritto del lavoro si estendono alle tracce digitali, non solo agli strumenti di monitoraggio diretto come la videosorveglianza.

Essa afferma inoltre la natura giuridicamente vincolante delle linee guida del Garante. Sebbene spesso considerate strumenti di soft law, questa decisione dimostra che possono fungere da punto di riferimento per valutare la conformità e imporre sanzioni.

Implicazioni pratiche per i datori di lavoro

Le organizzazioni che operano in Italia, sia pubbliche che private, devono ora:

  1. Mappare e rivalutare tutte le pratiche di conservazione dei metadati relative alle comunicazioni dei dipendenti e alle finalità del trattamento dei loro dati.
  2. Allineare i periodi di conservazione alla soglia di 21 giorni o ottenere le autorizzazioni sindacali appropriate.
  3. Valutare i sistemi dei fornitori: le piattaforme di posta elettronica e IT devono consentire una configurazione granulare delle impostazioni di conservazione dei metadati.
  4. Aggiornare gli accordi sindacali, se necessario, per coprire nuovi tipi di trattamento dei dati.
  5. Effettuare DPIA ogni volta che sussiste un rischio di profilazione o monitoraggio e LIA quando il trattamento dei dati si basa su un interesse legittimo.
  6. Adottare informative dettagliate sulla privacy e politiche interne sull’uso dei metadati.
  7. Rafforzare la governance interna assegnando la responsabilità del monitoraggio e della conformità continui.

Guardando al futuro: una nuova base di riferimento per la conformità

Questa prima azione di applicazione delle linee guida sui metadati innalza il livello di conformità alla privacy nel contesto lavorativo. Essa dimostra che i metadati, spesso considerati a basso rischio, possono in realtà essere altamente sensibili quando sono collegati all’identità e al comportamento dei dipendenti. I datori di lavoro non devono più trattare i metadati come un sottoprodotto tecnico. Devono invece essere classificati, valutati in base al rischio e protetti nell’ambito di un quadro di privacy by design. In caso contrario, si rischia non solo un danno alla reputazione, ma anche sanzioni pecuniarie e controlli legali da parte delle autorità di regolamentazione della privacy e delle autorità del lavoro.

Conclusione

La decisione del Garante relativa alla Regione Lombardia invia un messaggio chiaro: la conservazione dei metadati è monitoraggio, e il monitoraggio è regolamentato. È ora necessario comprendere a fondo come anche i dati invisibili possano avere un impatto sui diritti fondamentali sul posto di lavoro.

Le organizzazioni che si adattano in modo proattivo a questo nuovo paradigma, rivedendo le politiche di conservazione, investendo nella governance dei dati e promuovendo la trasparenza con i dipendenti, saranno in una posizione migliore per evitare azioni normative e costruire la fiducia in un ambiente di lavoro digitalizzato.

Maggiori dettagli sulle Linee guida del Garante sull’utilizzo dei metadati relativi alle e-mail dei dipendenti sono disponibili nell’articolo disponibile QUI.

(Visited 1 times, 1 visits today)

About the Author:

Giulio Coraggio è un partner e location head del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper in Italia

Related Posts

Granularità del consenso per la comunicazione dei dati personali a terzi secondo le indicazioni del Garante

Il 27 febbraio 2025, l’Autorità Garante per la protezione dei dati personali (“Garante”) ha emesso...

Un conflitto tra AI Act e GDPR nella correzione del bias algoritmico?

Un potenziale conflitto tra AI Act e GDPR potrebbe derivare dal contrasto tra l’obiettivo dell’AI...

Quando un sistema di Intelligenza Artificiale è anonimo secondo l’EDPB

L’opinione dell’EDPB fornisce un quadro di riferimento importante per comprendere quando un...

Close Search Window