Introduzione
La gestione e la conservazione dei metadati della posta elettronica in ambito lavorativo rappresentano uno dei temi più delicati nel diritto della protezione dei dati personali. Il Garante per la protezione dei dati personali, con il recente provvedimento n. 243 del 29 aprile 2025, ha affrontato nuovamente la questione, sancendo importanti principi che intrecciano la disciplina privacy (GDPR) con quella giuslavoristica, in particolare con l’art. 4 dello Statuto dei Lavoratori.
Lo Studio Legale Bonanni Saraceno, da anni specializzato in tutela della privacy, data protection e controlli in ambito lavorativo, offre assistenza a enti pubblici e imprese per l’adeguamento alle linee guida del Garante e la gestione dei rapporti sindacali e ispettivi derivanti dall’utilizzo di strumenti informatici.
Il quadro normativo: dal 2007 al documento del 2024
Il Garante si era già espresso nel 2007 con le Linee guida per posta elettronica e Internet, che fissavano le prime indicazioni su navigazione e utilizzo degli strumenti informatici in azienda.
Successivamente, con il documento di indirizzo del 6 giugno 2024 (“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”), l’Autorità aveva stabilito che il termine massimo ordinario di conservazione dei metadati non dovesse superare i 21 giorni, salvo comprovate esigenze tecniche e di sicurezza.
Il provvedimento del 2025 segna però un passaggio ulteriore: per la prima volta, le indicazioni del documento di indirizzo diventano la base di un procedimento sanzionatorio.
Il caso: ente regionale e conservazione dei metadati
Dall’istruttoria del Garante sono emerse tre violazioni principali:
- Conservazione dei metadati della posta elettronica per 90 giorni senza accordo sindacale o autorizzazione dell’Ispettorato, sebbene successivamente l’ente vi abbia provveduto.
- Raccolta e conservazione sistematica della cronologia Internet dei dipendenti per un anno, con possibilità di ricostruzione delle attività individuali, anch’essa in assenza iniziale di accordo sindacale e valutazione d’impatto.
- Conservazione illimitata dei dati di assistenza tecnica, mantenuti dal 2016 fino alla cessazione del servizio, in contrasto con il principio di minimizzazione.
L’interpretazione del Garante: art. 4 Statuto dei Lavoratori e GDPR
Il nodo centrale riguarda l’applicazione dell’art. 4 dello Statuto dei Lavoratori:
- Comma 2: legittima trattamenti connessi a esigenze tecniche, organizzative e di sicurezza, senza necessità di accordo sindacale.
- Comma 1: impone invece garanzie procedurali (accordo sindacale o autorizzazione dell’Ispettorato).
Il Garante ha ritenuto che la conservazione dei metadati per 90 giorni non potesse qualificarsi come trattamento strettamente necessario al funzionamento del sistema, bensì come attività rientrante nel comma 1, dunque soggetta ad accordo sindacale.
Per la cronologia Internet, la raccolta generalizzata dei log è stata qualificata come un vero e proprio controllo a distanza, soggetto anch’esso alle garanzie del comma 1.
Infine, sulla conservazione dei dati di assistenza tecnica, l’Autorità ha richiamato il principio di minimizzazione dei dati (art. 5 GDPR), affermando che le esigenze contrattuali avrebbero potuto essere soddisfatte senza mantenere dati personali identificativi.
Implicazioni pratiche per enti e imprese
Il provvedimento n. 243/2025 conferma che:
- Il termine di 21 giorni per i metadati è lo standard di riferimento; ogni estensione richiede rigorosa prova tecnica.
- La conservazione sistematica della cronologia Internet configura un controllo a distanza, quindi necessita di accordo sindacale o autorizzazione.
- La data retention policy deve rispettare il principio di minimizzazione e accountability, evitando conservazioni illimitate.
Questo orientamento rafforza il legame tra disciplina privacy e normativa giuslavoristica, con impatti diretti sulle politiche HR e IT di enti e aziende.
Il ruolo dello Studio Legale Bonanni Saraceno
Lo Studio Legale Bonanni Saraceno assiste enti pubblici e imprese in materia di:
- redazione e revisione di accordi sindacali ex art. 4 Statuto dei Lavoratori;
- valutazioni d’impatto privacy (DPIA) su strumenti informatici aziendali;
- policy di retention dei dati e compliance al GDPR;
- difesa nei procedimenti sanzionatori dinanzi al Garante Privacy.
L’approccio dello Studio si fonda su un costante aggiornamento giurisprudenziale e regolamentare, per garantire soluzioni personalizzate e conformi ai più recenti orientamenti dell’Autorità.
Conclusioni
Il provvedimento del Garante del 29 aprile 2025 rappresenta un punto di svolta: per la prima volta le indicazioni orientative del 2024 vengono tradotte in una sanzione effettiva, destinata a incidere sulle pratiche organizzative di enti e imprese.
La gestione di metadati e cronologia Internet non è più soltanto un tema tecnico, ma un ambito dove si intrecciano privacy, diritto del lavoro e compliance aziendale.
Per evitare sanzioni e conflitti con i sindacati o l’Ispettorato, diventa essenziale affidarsi a professionisti specializzati come lo Studio Legale Bonanni Saraceno, che offre consulenza strategica e difesa legale nelle questioni di protezione dei dati personali in ambito lavorativo.
*****************
Per ulteriori approfondimenti su questo tema o sulle relative implicazioni pratiche potete contattare:
STUDIO LEGALE BONANNI SARACENO
Avv. Fabrizio Valerio Bonanni Saraceno
Piazza Giuseppe Mazzini, 27 – 00195 – Roma
Tel. +39 0673000227
Cell. +39 3469637341
@: avv.bonanni.saraceno@gmail.com
