Gestione dei metadati nel rapporto di lavoro. Decide il datore di lavoro o il garante?

Implicazioni giuridiche e conformità normativa nel trattamento dei log informatici da parte delle aziende

Il Garante per la protezione dei dati personali è intervenuto sul delicato tema della conservazione dei log informatici generati dalle attività dei dipendenti, destando le attenzioni e le preoccupazioni delle aziende e degli operatori del diritto.

Il Provvedimento n. 243 del 29 aprile 2025, che ha avuto ampia eco sugli organi di stampa, ha sanzionato la Regione Lombardia sul presupposto dell'illegittima gestione dei metadati relativi alle e-mail e ai log di navigazione internet da parte dell'Ente.

Il Garante, in estrema sintesi, ha comminato la sanzione amministrativa di 50.000 € alla Regione Lombardia in ragione della conservazione dei log di posta elettronica per un periodo superiore a 21 giorni, senza la preventiva attivazione delle garanzie previste dall'art. 4, comma 1, l. 20 maggio 1970, n. 300, come novellato dall'art. 23, comma, 1 d.lgs. 14 settembre 2015, n. 151, ovvero l'accordo sindacale o l'autorizzazione amministrativa, ritenendo parimenti illecito il controllo sui file di log relativi alla navigazione in internet.

Come da più voci evidenziato, il provvedimento, oltre che dal punto di vista più propriamente informatico, desta perplessità sul piano giuridico, sia per quanto attiene la disciplina specifica del diritto del lavoro, sia per quanto riguarda i principi rinvenienti dal Regolamento europeo 2016/679 (GDPR).

Nell'analisi che segue, ci si propone di limitare l'attenzione sulle criticità connesse a questi due aspetti, tralasciando i profili tecnici/ informatici.

La prima perplessità riguarda la natura del Provvedimento n. 243/2025: natura che, come anticipato, è sanzionatoria e che, in quanto tale, dovrebbe trovare fonte e ragione in un atto/provvedimento avente efficacia e forza prescrittiva.

Ipotesi questa che non sembrerebbe ricorrere nel caso di specie.

Come è noto, la tematica relativa al trattamento ed alla conservazione dei metadati forma oggetto del Provvedimento dell'Autorità Garante n. 364 del 6 giugno 2024, che ha avuto una genesi complessa.

 Il primo provvedimento di indirizzo in materia di metadati, rubricato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, infatti, emanato dall'Autorità garante il 21 dicembre 2023, n. 642, ha suscitato le perplessità degli operatori e la richiesta di chiarimenti in merito alle disposizioni fornite. In ragione di ciò, il Garante, con Provvedimento 22 febbraio 2024, n. 127, ha sospeso l'efficacia del documento e avviato una consultazione pubblica, a valle della quale è stato deliberato di adottare una versione aggiornata del documento di indirizzo (n. 364/2024).

Nell'“Introduzione” di tale Provvedimento è testualmente previsto che “il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento”, intendendo offrire una ricostruzione sistematica delle disposizioni applicabili, “al solo fine di richiamare l'attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l'impiego degli strumenti tecnologici nei luoghi di lavoro”.

È, altresì, specificato che, “stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità”.

Le indicazioni fornite, pertanto, avevano generato il convincimento per cui, in base al principio fondamentale di accountability stabilito dal Regolamento europeo, la conservazione dei metadati della posta elettronica andasse gestita sulla base di una valutazione d'impatto (DPIA) che, in ragione della realtà produttiva e del contesto di riferimento giustificasse e contestualizzasse la conservazione stessa.

Il provvedimento sanzionatorio in commento cambia, invece, l'approccio alla problematica, evidenziando che le previsioni in materia di metadati hanno una portata diversa da quella di “mera natura di indirizzo”, testualmente prevista nel Provvedimento n. 364/2024.

Circostanza questa che, tanto per i principi esposti quanto per le conseguenze che ne derivano, impone una riflessione almeno su tre aspetti: 1) la normativa in materia di protezione dei dati personali; 2) la disciplina in materia di controlli a distanza; 3) gli obblighi inerenti alla conservazione della documentazione e le esigenze di sicurezza.

La normativa in materia di protezione dei dati personali

Come costantemente affermato dal Garante, “il contenuto dei messaggi di posta elettronica - come pure i dati esteriori delle comunicazioni e i file allegati - riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali” (v. Provvedimento n. 364/2024 e, da ultimo, Provvedimento n. 288/2025).

Nella consapevolezza di ciò, il Garante, già ante Regolamento europeo, ha adottato, con delibera n. 13 del 1 marzo 2007 (ritenuta tuttora valida ed efficace: v. in tal senso Provvedimento n. 243/2025), una serie di indicazioni e prescrizioni finalizzate a regolamentare l'utilizzo della posta elettronica e della rete internet nel rapporto di lavoro: “Linee guida del Garantenper posta elettronica e internet”.

In tali Linee guida viene evidenziato che “il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l'esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali”.

Sì tratta di principi ribaditi in numerosi provvedimenti non solo in ambito nazionale, ma anche a livello europeo, caratterizzando e rappresentando anche la ratio dell'Opinion 2/2017 sul trattamento dei dati sul posto di lavoro, adottata l'8 giugno 2017 dal Gruppo di lavoro articolo 29 per la protezione dei dati personali WP.

 In questo documento, infatti, i Garanti europei sottolineano l'importanza di una “valutazione dell'equilibrio tra gli interessi legittimi dei datori di lavoro e le ragionevoli aspettative dei dipendenti in materia di tutela della vita privata”.

In particolare, considerate le potenzialità derivanti dalle nuove tecnologie adottate sui posti di lavoro, viene richiamata la necessaria applicazione da parte dei datori di lavoro di tutti i principi di tutela quali:

a) garantire che i dati siano trattati per finalità specifiche e legittime, proporzionate e necessarie;

b) assicurarsi che i dati siano adeguati, pertinenti e non eccessivi, applicando i principi di proporzionalità e di sussidiarietà;

c) fornire ai lavoratori informazioni efficaci e trasparenti in ordine alla tipologia di strumenti utilizzati e al loro funzionamento.

Dunque già ante Regolamento europeo, si era posto ed era stato affrontato il problema del contemperamento degli interessi del datore di lavoro e del lavoratore con riferimento all'utilizzo della posta elettronica e della rete internet, pervenendo alla conclusione che dovessero essere adottate tutte le misure tecniche ed organizzative necessarie per garantire al lavoratore la protezione della propria riservatezza.

La realizzazione di questo obiettivo primario – e necessario al fine di un trattamento lecito dei dati personali – veniva affidata dal Garante italiano all'adozione di policy ad hoc idonee a disciplinare, “in base alla canone della trasparenza, l'utilizzo di Internet e posta elettronica e conseguentemente vietare ed evitare condotte finalizzate ad un controllo che vanificassero la sfera di riservatezza del lavoratore” (v. Linee guida 2007).

Ed è proprio la predisposizione e l'adozione di una policy siffatta a rappresentare la chiave di volta del sistema di utilizzo di internet e della posta elettronica nell'ambito del rapporto di lavoro ed a delimitare e circoscrivere “l'aspettativa del lavoratore” alla riservatezza dei dati trattati.

Del resto, è agevole constatare che l'adozione di questa policy e il conseguente principio di trasparenza che consente ai lavoratori di conoscere le regole che sottostanno al funzionamento degli strumenti di lavoro messi a disposizione, quali internet e della posta elettronica, ha trovato conferma ed ulteriore declinazione giuridica nella formulazione dell'art. 4, l. n. 300/1970, adottata successivamente, laddove nel terzo comma è testualmente previsto che al lavoratore deve essere fornita “un'idonea informazione” circa le modalità di utilizzo e di controllo degli strumenti di lavoro utilizzati e dove è, altresì, previsto che il datore di lavoro è tenuto a rispettare i principi rivenienti dal Regolamento europeo, quali appunto quelli di liceità, trasparenza,minimizzazione.

Orbene, nel documento di indirizzo n. 364 del 6 giugno 2024, il Garante fonda le sue considerazioni sul presupposto che sussiste “una legittima aspettativa di riservatezza in relazione ai messaggi oggetti di oggetto di corrispondenza”, citando proprio le Linee guida del 2007.

Tuttavia, nel richiamare tali Linee guida, omette un passaggio fondamentale che si rinviene proprio nelle medesime, laddove è espressamente stabilito che “la mancata esplicitazione di una policy può determinare anche una legittima aspettativa del lavoratore di confidenzialità rispetto ad alcune forme di comunicazione”.

È, dunque, la mancata esplicitazione della policy che crea incertezza sull'utilizzo di internet e della posta elettronica e potrebbe conseguentemente generare l'aspettativa di una riservatezza citata.

Ma se questa policy esiste? Se la policy adottata chiarisce esplicitamente la distinzione tra sfera personale e sfera lavorativa, quale può essere l'aspettiva del lavoratore?

È ragionevole ritenere che questa aspettativa alla confidenzialità e/o riservatezza non può più considerarsi né generica né generale, avendo il datore di lavoro chiarito ciò che è connesso all'espletamento della prestazione lavorativa e ciò che, viceversa, rimane nella disponibilità del lavoratore.

In altre parole, secondo la ratio delle Linee guida del 2007 (e, ritengo di aggiungere, secondo la ratio dell'art. 4, l. n. 300/1970) qualora la policy espliciti chiaramente che l'utilizzo della posta elettronica è esclusivamente connesso e strumentale allo svolgimento della prestazione lavorativa e che viene fornito esclusivamente per quell'utilizzo, l'aspettativa di riservatezza del lavoratore rispetto a questi strumenti non può avere alcun fondamento.

Il lavoratore, viceversa, proprio perché adeguatamente informato, è perfettamente consapevole che quegli strumenti di lavoro, di proprietà del datore di lavoro, servono, per prestare il proprio lavoro “alle dipendenze e sotto la direzione dell'imprenditore” (art. 2094 c.c.), lavoro che deve essere svolto nel rispetto degli obblighi di diligenza e di fedeltà (artt. 2104 e 2105 c.c.).

I dati trattati nelle caselle di posta aziendale e i dati di navigazione in internet (consentita anch'essa esclusivamente per motivi connessi all'espletamento della prestazione lavorativa) rappresentano, dunque, dati che esulano dalla sfera personale del lavoratore ed entrano a far parte del patrimonio aziendale del datore di lavoro. Il quale è, tuttavia, vincolato nel loro utilizzo: dal momento che può utilizzarli solo se è stata fornita l'idonea informazione di cui si è detto e semprechè vengano rispettati i principi rivenienti dal Regolamento europeo.

Risulta, così, più che ragionevole ritenere che il lavoratore, che abbia ricevuto le informazioni richieste dalla normativa sulla protezione dei dati, così come previste dal principio di trasparenza e l'ulteriore adeguata informazione di cui al terzo comma dell'art. 4 l. n. 300/1970 circa le caratteristiche degli strumenti messi a sua disposizione, sarà perfettamente consapevole del fatto che l'utilizzo di quegli strumenti non rientra nella sfera della propria riservatezza, trattandosi, lo si ripete, di strumenti di lavoro, di proprietà del datore di lavoro, messi a disposizione del lavoratore per l'espletamento della prestazione lavorativa che costituisce la contropartita della retribuzione ricevuta (secondo, ancora, la fattispecie dell'art. 2094 c.c.).

C'è poi un altro principio, tutt'altro che irrilevante, che occorre menzionare e che rappresenta la base del Regolamento europeo sulla protezione dei dati personali e la vera novità rispetto alla legislazione precedente: si tratta del principio di accountability e di responsabilizzazione del datore di lavoro titolare del trattamento. Principio che il provvedimento in esame sembra non valorizzare.

Il Garante, infatti, avoca a se stesso il potere di decidere tempi e modi di conservazione, mentre ai sensi del Regolamento, secondo il suddetto pricipio di accountability, spetta al titolare del trattamento adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento, decidendo in autonomia le modalità, le garanzie e i limiti del trattamento dei dati personali.

Anche alla luce di tale principio, il provvedimento del Garante desta numerose perplessità richiamando per molti aspetti un sistema che non risulta conforme al suddetto, imponendo al titolare scelte di data retention (ovvero relative al tempo di conservazione) riconducibili all'impostazione ante Regolamento.

Il divieto di conservare i dati oltre un certo limite temporale sembra infatti più coerente con quanto previsto nel vecchio d.lgs. 30 giugno 2003, n. 196, in cui il documento programmatico per la sicurezza dettava tempi e modi di conservazione senza lasciare al titolare alcuna discrezionalità.

Ora, come noto, il quadro è cambiato: l'allegato B e il relativo documento non sono più in vigore e quindi non si comprendono le ragioni che hanno indotto il Garante a stabilire termini di conservazione dei metadati (21 e/o 90 giorni), a prescindere dalle scelte e dalle valutazioni operate in concreto dal titolare del trattamento.

In proposito, si ricorda che anche le misure di sicurezza di cui all'art. 32 del Regolamento sono ora rimesse alla decisione del titolare, il quale dovrà adottare le misure ritenute più idonee a garantire i livelli di sicurezza adeguati al rischio, operando di volta in volta, scelte che tengano conto “dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento” (art. 32 del Regolamento)

La disciplina in materia di controlli a distanza

Anche sotto il profilo della disciplina giuslavoristica relativa ai controlli a distanza, il provvedimento del Garante risulta di non chiara e condivisibile interpretazione.

Il ragionamento, infatti, seguito stravolge, sotto questo profilo, la portata normativa dell’art. 4, l. n. 300/1970 – che, in quanto norma penalmente sanzionata, è di stretta interpretazione – incentrandosi su un elemento, quale quello della durata temporale della conservazione dei metadati, che non trova fondamento in nessuna norma di legge o regolamentare.

Secondo il ragionamento del Garante, è configurabile la fattispecie disciplinata dal secondo comma dell’art. 4, e quindi internet e la posta elettronica si configurano come degli strumenti di lavoro, nell’ipotesi in cui la conservazione dei metadati di posta elettronica si protragga per soli 21 giorni. Dal 22º giorno la conservazione dei medesimi metadati deve essere, invece, disciplinata secondo i criteri del primo comma dell’art. 4, realizzando un controllo a distanza dell’attività dei lavoratori e richiedendo conseguentemente la stipula di un accordo sindacale o il rilascio dell’autorizzazione amministrativa.

È inoltre prevista un’ipotesi ulteriore (ancora meno comprensibile), stabilendo il provvedimento che possa configurarsi una conservazione superiore ai 21 giorni, sempre che sia stata effettuata una valutazione di impatto (DPIA) che comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che rendano necessaria l’estensione della conservazione in ragione delle specificità della propria realtà tecnica e organizzativa. Ma anche rispetto a questo caso non risulta chiaro il tempo che verrebbe considerato lecito, in quanto il Garante, in questo provvedimento, ha ritenuto insufficienti le ragioni indicate dal Titolare (Regione Lombardia) che avevano indotto ad estendere il termine di conservazione a 90 giorni, considerando lo stesso troppo ampio.

Ora, a parte le considerazioni sulle estensioni temporali indicate dal Garante che non trovano riscontro in nessuna norma di legge o di regolamento, si resta quantomeno perplessi di fronte ad una qualificazione dei controlli a distanza di cui all’art. 4 sulla base dell’elemento temporale e non su quello funzionale.

In altre parole, secondo il Garante, gli strumenti di cui all’art. 4 vanno ritenuti e disciplinati come strumenti di lavoro (comma 2) o come strumenti finalizzati al controllo dei lavoratori, per esigenze produttive, organizzative o di protezione del patrimonio aziendale (comma 1), sulla base di un elemento meramente temporale, quale quello della conservazione di metadati, e ciò in un contesto in cui qualunque strumento informatico è capace di generare dati.

Ancor più perplessi lasciano, poi, le considerazioni adottate con riferimento al trattamento dei log di navigazione in internet “consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di un apposita black list, cui è comunque inibito l’accesso dal sistema”.

Sul punto, è bene evidenziare che non esiste nessun provvedimento in materia (fatta eccezione per le predette Linee guida del 2007) emesso dall’Autorità garante: dovremmo forse immaginare che sia stata adottata un’applicazione analogica del provvedimento sui metadati? Dovremmo immaginare per la conservazione dei predetti log, la necessità di stipulare un accordo sindacale o di un’autorizzazione amministrativa?

A chi scrive sembra che, anche in questo caso, nel rispetto dei principi di minimizzazione, necessità e proporzionalità, possa trovare applicazione quanto asserito con riferimento alla posta elettronica: ovvero, stante una policy aziendale che chiaramente ed esplicitamente informa i lavoratori sul fatto che la navigazione in internet viene autorizzata e/o concessa solo per finalità inerenti alla prestazione lavorativa, il lavoratore è ben consapevole che rispetto a quella navigazione non può avere un’aspettativa di riservatezza, trattandosi di uno strumento aziendale utilizzato per lo svolgimento della prestazione lavorativa.

Obblighi di conservazione della documentazione e connessi oneri probatori

Non possono, infine, essere trascurati i profili connessi agli obblighi che incombono sulle aziende circa la conservazione dei dati e l'adozione di tutte le misure necessarie per garantire l'autenticità dei messaggi, e ciò a tutela non solo delle aziende, ma degli stessi lavoratori, che potrebbero trovarsi nella necessità di dimostrare la liceità e/o legittimità di un proprio comportamento e/o di una operazione effettuata nell'adempimento della prestazione lavorativa (si pensi, ad esempio, alla normativa in materia di whistleblowing di cui al d.lgs. 10 marzo 2023, n. 24).

In argomento, senza aver pretesa di completezza, occorre ricordare che è lo stesso legislatore ad imporre la ricostruzione a posteriori dei fatti che si verificano all'interno del contesto aziendale. Basta ricordare che esiste un obbligo per le aziende di “conservare ordinatamente per ciascun affare gli originali delle lettere, dei telegrammi e delle fatture ricevute, nonché le copie delle lettere, dei telegrammi e delle fatture spedite” per un periodo di 10 anni dalla data dell'ultima registrazione (artt. 2214 e 2220 c.c.).

Ora, attualizzando tali previsioni, è ragionevole ritenere che possa configurarsi un obbligo di conservazione della corrispondenza aziendale e dunque delle e-mail aziendali, le quali, come riconosciuto dalla Suprema Corte (Cass. 14 maggio 2018, n. 11606) costituiscono un documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti che rientrano tra le riproduzioni informatiche e le rappresentazioni meccaniche di cui all'art. 2712 c.c. e, pertanto, formano piena prova dei fatti e delle cose rappresentate.

È evidente che l'esigenza di accertamenti difensivi o giudiziari può emergere anche a distanza di diversi anni dall'invio delle e-mail e che la cancellazione dei metadati renderebbe di fatto impossibile per la società e/o per i lavoratori acquisire materiale probatorio a sostegno della propria difesa.

In altre parole, la mancanza dei metadati renderebbe difficoltoso, rectius impossibile, la possibilità di ricostruire ex post i fatti attinenti alla vita aziendale compreso l'eventuale accertamento di illeciti da parte di dipendenti o di terzi.

Del resto, le stesse Linee guida sulla formazione, gestione e conservazione dei documenti informatici, emanate dall'Agenzia per l'Italia Digitale (AgID), evidenziano che nella nozione di documento informatico deve ricomprendersi anche un set di metadati minimi obbligatori, ovvero quelli che includono i dati di registrazione e i soggetti (quali l'autore e il mittente dei documenti informatici) e ciò sul presupposto che “il documento informatico deve essere identificato in modo univoco e persistente”.

Va, infine, ricordato che l'analisi dei metadati può essere determinante per individuare le possibili cause di un data breach e per supportare le analisi dei teams di sicurezza aziendale che possono utilizzare i metadati per identificare i modelli di minacce, essenziali per prevenire attacchi futuri.

Ne risulta, pertanto, che anche con riferimento a tale prospettiva, la conservazione e la gestione dei documenti aziendali e dei relatvi metadati debba essere rimessa al principio di responsabilizzazione del titolare del trattamento, il quale, beninteso nel rispetto dei principi di liceità stabiliti dal Regolamento europeo, valuterà tempi e modi di conservazione adeguati alla propria organizzazione aziendale.