La posta elettronica aziendale è uno strumento di lavoro indispensabile per qualsiasi PMI. Quello che spesso sfugge, però, è che ogni e-mail inviata o ricevuta genera automaticamente una serie di informazioni tecniche che vengono registrate dai sistemi informatici. Si tratta dei cosiddetti metadati, dati che non riguardano il contenuto dei messaggi ma che, se conservati nel tempo, possono raccontare molto dell’attività quotidiana di un lavoratore. Già in passato, l’Autorità Garante per la Protezione dei dati Personali si era espressa sul tema, in alcuni casi generando qualche perplessità tra gli addetti ai lavori. 

Proprio su questo aspetto, nel 2024, il Garante per la protezione dei dati personali è intervenuto con uno specifico documento di indirizzo, il Provvedimento n. 364 del 06/06/2024, per fare chiarezza su un tema che negli ultimi anni ha creato non poche incertezze, soprattutto nelle realtà di dimensioni medio-piccole. L’intervento non introduce nuove regole, ma richiama i principi già presenti nella normativa e nelle precedenti decisioni dell’Autorità, offrendo indicazioni operative su come gestire i metadati della posta elettronica senza trasformare uno strumento tecnico in un potenziale mezzo di controllo. 

Per le PMI, spesso alle prese con soluzioni di posta elettronica configurate secondo impostazioni standard e senza un reparto IT strutturato, il tema è tutt’altro che teorico. Comprendere cosa sono i metadati, perché possono rilevare ai fini privacy e quali accorgimenti adottare nella loro gestione è oggi essenziale per evitare rischi non intenzionali e garantire un utilizzo corretto della posta elettronica aziendale. 

Nel giugno 2025 il Garante per la protezione dei dati personali ha emesso la sua prima sanzione ai sensi del GDPR specificamente collegata alla gestione dei metadati della posta elettronica dei dipendenti. nel provvedimento, rivolto a una pubblica amministrazione, l’autorità ha riscontrato la conservazione dei metadati per periodi molto più lunghi di quelli consentiti senza adeguate garanzie (come previsto nelle linee guida del 2024) e ha irrogato una sanzione di 50.000 euro, oltre a ordinare la riduzione dei tempi di conservazione, la crittografia dei dati e l’adozione di misure organizzative e documentali per garantire la conformità. questa decisione evidenzia come il garante stia passando dalla fase delle indicazioni generali a controlli e sanzioni concrete quando le aziende o le pubbliche amministrazioni non rispettano i requisiti di legge in materia di protezione dei dati.

COSA SI INTENDE PER METADATI DI POSTA ELETTRONICA 

Il termine “metadati” deriva dall’inglese “metadata” che significa “dati su dati”, cioè un insieme di informazioni che descrivono le caratteristiche di altri dati.  

Con l’intento di definire con maggior precisione l’ambito di applicazione del provvedimento, il Garante ha specificato che si tratta dei dati tecnici che accompagnano l’invio e la ricezione dei messaggi, i c.d. log di trasporto. Si tratta delle informazioni registrate automaticamente dai server di gestione della posta (MTA – Mail Transport Agent) e, in alcuni casi, dai client utilizzati. 

Tali informazioni, che non riguardano il contenuto delle comunicazioni che resta tutelato da specifiche garanzie di segretezza, possono comprendere: 

  • indirizzi e-mail del mittente e del destinatario; 
  • indirizzi IP;  
  • giorno e ora dell’invio;  
  • dimensione del messaggio; 
  • presenza e dimensione di eventuali allegati;  
  • oggetto dell’e-mail, solo in alcuni casi, in base al tipo di sistema. 

PERCHÉ I METADATI POSSONO ESSERE DATI PERSONALI 

I metadati di posta elettronica possono costituire dati personali quando permettono, direttamente o indirettamente, di identificare una persona fisica. Nel contesto lavorativo, questo accade di continuo, poiché gli account e-mail sono associati ai singoli dipendenti o collaboratori. 

Attraverso l’analisi dei metadati è possibile ricostruire orari di lavoro, frequenza delle comunicazioni, rapporti professionali e, in alcuni casi, si può risalire agli aspetti organizzativi o personali dell’attività svolta.  

Al riguardo il Garante è intervenuto proprio perché, il trattamento dei metadati essendo un aspetto così delicato da assumere rilevanza anche quando non vi è alcuna intenzione di controllare i lavoratori, richiedeva un intervento che chiarisse i limiti entro cui tale trattamento fosse ritenuto lecito. 

LE CRITICITÀ DEI SISTEMI DI POSTA ELETTRONICA AZIENDALE 

Per comprendere le ragioni dell’intervento del Garante è utile partire dalle verifiche svolte negli ultimi anni. È emerso, infatti, che molti servizi di posta elettronica raccolgono automaticamente dati tecnici relativi alle e-mail, spesso senza che l’utente ne sia consapevole. Questi metadati possono essere conservati in archivi separati rispetto al contenuto delle comunicazioni e, in alcuni casi, consentono di ricavare informazioni anche molto dettagliate su aspetti personali dell’interessato. 

Un profilo particolarmente critico riguarda il fatto che molte piattaforme cloud raccolgono e conservano questi dati sulla base di impostazioni predefinite, in modo preventivo e generalizzato. Di conseguenza, i metadati degli account di posta aziendale possono rimanere memorizzati per periodi molto lunghi,  senza che il datore di lavoro abbia una reale consapevolezza né della tipologia dei dati raccolti né della durata della conservazione, fermo restando che, ai sensi del GDPR, tale mancanza di consapevolezza non attenua in alcun modo la responsabilità del titolare del trattamento. 

Questa mancanza di consapevolezza può tradursi, nel tempo, in una forma di controllo indiretto dell’attività dei lavoratori, con il rischio di rendere necessaria l’attivazione delle garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori. 

 Il rischio risulta particolarmente rilevante per le PMI. Nel tempo, infatti, si è osservato come queste realtà abbiano incontrato maggiori difficoltà nella gestione degli aspetti tecnici, anche a causa della mancanza di un reparto IT interno dedicato. Spesso le PMI si affidano alle soluzioni standard offerte dai provider di posta elettronica, che operano di norma come responsabili del trattamento, senza intervenire sulle impostazioni predefinite né verificare adeguatamente le previsioni contrattuali e le istruzioni impartite ai sensi dell’art. 28 del GDPR. Questa situazione le espone maggiormente al rischio di conservare i metadati per periodi superiori a quelli necessari o in assenza di specifiche finalità tecniche e organizzative. 

INDICAZIONI SUL TRATTAMENTO DEI METADATI 

Per evitare che l’uso dei LOG di trasporto, nati per garantire il funzionamento tecnico della posta elettronica, finisca per assumere rilevanza diversa da quella per cui vengono generati, il Garante ha ritenuto necessario fornire indicazioni specifiche sul trattamento di tali informazioni nel contesto lavorativo, allo scopo di garantire il rispetto dei principi di finalità, limitazione, minimizzazione e protezione dei dati sanciti dal GDPR

 Il Garante ha ribadito che la raccolta e la conservazione dei metadati possono rientrare tra le attività necessarie per il funzionamento dei sistemi di posta elettronica e, in quanto tali, essere ricondotte all’art. 4, comma 2, dello Statuto dei Lavoratori, a condizione che la configurazione concreta del sistema e le modalità di trattamento siano effettivamente limitate a finalità tecniche e proporzionate.. 

Tuttavia, ciò vale solo se tali attività sono mantenute entro un arco di tempo limitato e proporzionato allo scopo.  

 Al riguardo, l’Autorità ha indicato un termine orientativo di 21 giorni per la conservazione dei metadati, non previsto dalla normativa come limite legale, ma individuato quale criterio di proporzionalità sulla base delle verifiche svolte e delle esigenze tecniche più comuni. 

Nulla vieta al datore di lavoro di prevedere una durata più lunga, purché vi siano comprovate esigenze tecniche ed organizzative, volte ad assicurare il corretto funzionamento e le garanzie essenziali di sicurezza dei sistemi di posta elettronica (es. rilevazione/mitigazione di incidenti, obblighi di cybersicurezza con LOG prolungati). Per evitare equivoci e garantire un uso corretto dei metadati, al datore di lavoro è richiesto l’adozione di alcune misure tecniche e organizzative. 

Tra queste rientrano: 

  • la definizione precisa delle finalità per cui i log possono essere consultati; 
  • limitazione degli accessi al personale autorizzato; 
  • la tracciatura degli accessi; 
  • fornire un’informativa chiara e aggiornata ai lavoratori, soprattutto con riferimento ai tempi di conservazione e agli scopi del trattamento 
  • redigere o aggiornare una DPIA quando la gestione dei log può presentare rischi elevati per i diritti e le libertà degli interessati. 

Tutte queste cautele sono fondamentali per delineare il confine tra un uso tecnico e proporzionato dei metadati e un’attività che, invece, potrebbe determinare un controllo a distanza. 

Quando la raccolta diventa preventiva e generalizzata e la conservazione si prolunga al punto da rendere il sistema idoneo alla ricostruzione delle attività del lavoratore, anche indipendentemente da un effettivo utilizzo a fini di controllo, scattano le garanzie previste dal comma 1 dell’art. 4 dello Statuto dei Lavoratori. In questo caso non basterà una scelta interna o una policy aziendale, ma oltre alle citate cautele, sarà necessario un accordo sindacale con la RSA/RSU o, in mancanza, l’autorizzazione dell’Ispettorato Nazionale del Lavoro.  

Il documento di indirizzo del Garante rappresenta un richiamo importante, soprattutto per le PMI, alla necessità di gestire i metadati con maggiore consapevolezza e responsabilità. Adottare un approccio pragmatico e proporzionato, definendo tempi di conservazione adeguati, controllando le impostazioni dei provider e implementando misure tecniche essenziali, permette di tutelare sia il datore di lavoro sia i lavoratori, evitando che un dato tecnico si trasformi in uno strumento di controllo. 

Quando il contesto tecnologico è complesso o quando la gestione dei LOG richiede scelte documentate (ad esempio per estendere la conservazione oltre i 21 giorni o per valutare la necessità di una DPIA), può essere utile rivolgersi a un consulente specializzato, capace di indirizzare l’azienda verso soluzioni conformi e sostenibili. 

FinData è una società specializzata che offre servizi di consulenza aziendale, privacy (GDPR), sicurezza informatica, certificazioni ISO e contrattualistica d’impresa, con un approccio mirato a migliorare la sicurezza e l’efficienza dei processi aziendali attraverso la redazione di contratti chiari e l’adeguamento a normative e standard internazionali

Leave a Reply