Metadati e-mail e cronologia Internet del lavoratore. Il provvedimento sanzionatorio del Garante Privacy
Nel recente provvedimento l’Autorità rilevava come l’ente regionale conservasse i metadati per un periodo complessivo di 90 giorni - per finalità di sicurezza informatica e assistenza tecnica - in assenza di accordo collettivo, poi stipulato
Il Garante per la protezione dei dati personali, come è noto, ha affrontato il tema della conservazione dei metadati della posta elettronica in ambito lavorativo, da ultimo, nel documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 6 giugno 2024. La questione ha suscitato grande dibattito, tanto che gli orientamenti dell’Autorità sono giunti a seguito di una consultazione pubblica, indetta dal Garante alla luce delle numerose richieste di chiarimenti ricevute all’esito della pubblicazione di un primo documento.
L’iniziativa si colloca in un più ampio quadro di azioni in materia di trattamento dei dati personali dei lavoratori, che possono farsi risalire almeno al 2007, quando l’Autorità emanava le “Linee guida per posta elettronica e Internet”, ove si fornivano indicazioni, tra l’altro, in materia di navigazione Internet.
Entrambi i temi – la conservazione dei metadati e della cronologia Internet in ambito lavorativo – ricorrono nel recente provvedimento sanzionatorio del Garante che coinvolge un ente regionale (il n. 243 del 29 aprile 2025, doc. web n. 10134221).
L’Autorità, nell’ambito di accertamenti avviati d’ufficio, riscontrava violazioni inerenti tre aspetti.
In fatto, l’Autorità rilevava come l’ente regionale conservasse i metadati della posta elettronica per un periodo complessivo di 90 giorni, per finalità di sicurezza informatica e assistenza tecnica, compreso il caso dell’assistenza agli utenti in caso di mancato recapito del messaggio di posta. Poi addivenuto alla stipula di un accordo collettivo con le competenti parti sindacali e avendo proceduto alla valutazione d’impatto, l’ente regionale, per un certo periodo di tempo, risultava aver applicato il predetto termine di conservazione in assenza di tale accordo e della valutazione.
Dall’attività istruttoria emergeva altresì come l’ente regionale raccogliesse e conservasse per un anno le informazioni relative ai siti visitati dai dipendenti, inclusi i tentativi di consultazione dei siti censiti in apposita black-list. Anche in questo caso, l’ente regionale addiveniva, sebbene in un secondo momento rispetto all’inizio dell’attività di raccolta e conservazione, nel corso dell’istruttoria, alla stipula dell’accordo sindacale, provvedendo altresì alla valutazione d’impatto. Il trattamento era disciplinato nelle procedure interne dell’ente, che prevedeva l’accesso ai log al ricorrere di due casi specifici: una richiesta dell’autorità giudiziaria o la rilevazione di particolari, motivate e predeterminate anomalie di traffico. Si adottava, quale misura organizzativa di sicurezza, una forma di separazione dei dati, risultando necessario, per individuare gli interessati, porre in relazione le informazioni conservate da tre diversi fornitori.
Infine, l’Autorità censurava la conservazione dei dati relativi alle richieste di assistenza tecnica per l’intera durata del rapporto contrattuale con il fornitore del servizio, per esigenze connesse alla gestione di tale rapporto, ossia per finalità di consuntivazione, contabilizzazione, fatturazione e remunerazione dei servizi, con conservazione di dati a partire dal 2016. Al momento dell’attività istruttoria, il servizio risultava già dismesso e i dati definitivamente cancellati dal fornitore, con previsione di un nuovo sistema di ticketing e di una data retention policy con termine ad un anno.
Sotto il profilo giuridico, l’Autorità, quanto alla conservazione dei metadati della posta elettronica e della cronologia Internet, si concentrava primariamente sulla qualificazione delle fattispecie alla luce della normativa giuslavoristica ex art. 4 dello Statuto dei Lavoratori, e dunque sulla domanda se, nella configurazione adottata dall’ente regionale, i trattamenti in esame ricadessero nel raggio di applicazione del 1° o del 2° comma dell’art. 4 dello Statuto. Come si sa, l’intersezione tra protezione dei dati personali e normativa in materia di controllo a distanza dei lavoratori si attesta sul piano del principio di liceità del trattamento, il quale non potrà ritenersi rispettato, laddove vi sia una violazione delle norme giuslavoristiche.
Nel caso dei metadati della posta elettronica, questo giudizio si è tradotto nella valutazione da parte dell’Autorità se la conservazione per un termine di 90 giorni possa ritenersi necessaria ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica e a soddisfare le “più essenziali garanzie di sicurezza informatica, all’esito di valutazione tecniche e nel rispetto del principio di responsabilizzazione”. Come si ricorderà, infatti, il provvedimento di indirizzo dello scorso anno è fondato su questo meccanismo: il termine massimo di 21 giorni ivi indicato dal Garante rappresenta il termine ritenuto sufficiente a soddisfare tali esigenze, ma resta salvo, si ribadisce anche nel provvedimento sanzionatorio, il caso in cui “il titolare, sempre nel perseguimento della predetta finalità riconducibile all’alveo del comma 2 dell’art. 4 [dello Statuto dei Lavoratori], comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l’estensione in ragione della specificità della propria realtà tecnica e organizzativa”. L’Autorità ha ritenuto che ciò non sia accaduto nel caso di specie, in cui la conservazione dei metadati per 90 giorni è stata ricondotta al 1° comma dello Statuto. Di qui, la necessità delle garanzie procedurali ivi prescritte, e dunque dell’accordo sindacale o dell’autorizzazione dell’Ispettorato del Lavoro.
Nel caso della cronologia Internet, il reasoning dell’Autorità si è appuntato sulla circostanza che “la raccolta e la conservazione sistematica di tutti i file di log generati dall’utilizzo della rete Internet nell’ambito del rapporto di lavoro – inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema – dando luogo, infatti, a un trattamento generalizzato dei dati relativi all’attività e all’utilizzo dei servizi di rete da parte di dipendenti comunque identificabili, comportano, in presenza di un collegamento univoco con il dipendente e con la sua specifica postazione di lavoro, la possibilità di ricostruirne l’attività mediante l’impiego di sistemi tecnologici, con la conseguenza che, in tali casi, al datore di lavoro è richiesto di assicurare il rispetto delle garanzie procedurali previste dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300, che costituisce, come sopra ricordato, condizione di liceità dello stesso trattamento dei dati in questione”.
Quanto alla conservazione dei dati relativi alle richieste di assistenza tecnica, il punto cruciale era la minimizzazione, ossia, ha rilevato l’Autorità, la circostanza che le esigenze contrattuali addotte potessero essere soddisfatte “normalmente, anche senza fare ricorso al trattamento di dati personali ovvero, se del caso, anonimizzando quelli presenti e dunque conservando le informazioni strettamente necessarie a consentire il raffronto tra il servizio effettivamente reso e quello previsto contrattualmente”.
Naturalmente, al centro del dibattito vi è soprattutto la decisione in ordine ai metadati. Del resto, il documento del giugno 2024, vi si legge, “non reca prescrizioni” ed ha “natura orientativa”.
Oggi, per quanto consta per la prima volta, è posto alla base di un provvedimento sanzionatorio, che non potrà non condizionare gli operatori nel loro agire secondo l’accountability. Ciò che si è portati a trarre dal reasoning nel provvedimento è che il termine di conservazione di 90 giorni ponga la necessità delle garanzie procedurali del 1° comma dell’art. 4 dello Statuto: è difficile individuare uno spazio effettivo per la prova da parte del titolare che tale termine, o uno parimenti prolungato rispetto ai 21 giorni, occorra per perseguire finalità qualificabili come di funzionamento o di sicurezza essenziale del sistema di posta, nonostante questo sia il meccanismo istituito nel documento di indirizzo. Peraltro, si renderà verosimilmente necessario aprire un nuovo dialogo con i grandi provider dei servizi di posta, i quali, viste le forze in gioco, sono responsabili del trattamento peculiare. Ci si può, poi, interrogare sull’opportunità della comminazione della sanzione pecuniaria: in altri termini, è difficile trascurare come l’ente regionale sanzionato fosse comunque addivenuto alla stipula degli accordi sindacali e alla redazione della valutazione d’impatto, i quali si sono aggiunti ai presidi che pure si erano adottati, in una fase che forse può ancora definirsi di aggiustamento alla guidance offerta mediante il documento di indirizzo, in cui gli attori del mercato si stanno muovendo per adeguarsi, o per capire come poterlo fare.
______
*Avv. Giorgia Bianchini, Studio Legale Finocchiaro
