Post di Giulio Coraggio, Partner DLA Piper –

Con una decisione che sta facendo discutere, il Garante per la protezione dei dati personali ha inflitto una sanzione alla Regione Lombardia per aver abusato, tra gli altri, della conservazione dei metadati delle e-mail dei dipendenti, aprendo così una nuova fase nella tutela dei dati personali sul lavoro.

Il Garante per la privacy ha inflitto la prima sanzione ai sensi del GDPR per l’utilizzo illecito dei metadati delle e-mail dei dipendenti in Italia. Protagonista della vicenda è la Regione Lombardia, condannata al pagamento di 50 mila euro per aver violato diverse norme sulla protezione dei dati personali. È la prima volta che l’Autorità applica le linee guida emanate nel 2024 sui metadati generati dai sistemi di posta elettronica aziendali usati dai dipendenti, una decisione che pone un precedente importante anche per tutte le imprese private.

Il cuore del caso riguarda proprio il trattamento dei metadati, ovvero quei dati accessori legati alle e-mail aziendali e all’attività web che non includono il contenuto dei messaggi ma registrano elementi come indirizzi di mittente e destinatario, ora e data di invio, oggetto delle comunicazioni, dimensione degli allegati e indirizzi IP. Sebbene non contengano direttamente informazioni sensibili, questi dati possono indirettamente svelare comportamenti, abitudini e perfino livelli di produttività dei lavoratori.

I metadati sono personali: rischio monitoraggio

Secondo il Garante, tali metadati sono dati personali e in quanto tali devono essere gestiti in conformità al GDPR e, in ambito nazionale, anche all’articolo 4 dello Statuto dei lavoratori (Legge n. 300/1970) perché possono diventare strumenti di monitoraggio dei dipendenti sul luogo di lavoro. La violazione dell’articolo 4 dello Statuto dei Lavorati, infatti, si traduce automaticamente anche in un’infrazione delle normativa privacy, data l’esplicita connessione operata dall’articolo 114 del Codice Privacy.

Nel dettaglio, l’ispezione effettuata dal Garante ha rilevato che la Regione Lombardia conservava i metadati delle e-mail dei dipendenti fino a 90 giorni, i registri della navigazione web per 12 mesi e le informazioni degli helpdesk, contenenti identificativi dei dipendenti e cronologia dei ticket degli interventi, per quasi dieci anni. Periodi considerati eccessivamente lunghi e in aperta contraddizione con il limite di 21 giorni stabilito dalle recenti linee guida sulla conservazione dei metadati delle email dei dipendenti, a meno che non esistano accordi specifici con i sindacati o un’autorizzazione dell’Ispettorato territoriale del lavoro.

L’Autorità ha ritenuto irrilevante, ai fini della legittimazione retroattiva, il fatto che la Regione avesse stipulato un accordo sindacale solo successivamente all’avvio dell’ispezione. Da qui la decisione di applicare sanzioni specifiche: 20 mila euro per il trattamento illecito dei metadati e-mail, 25 mila euro per la conservazione eccessiva dei dati di navigazione e 5 mila euro per i dati relativi all’helpdesk.

Secondo il Garante i metadati delle e-mail aziendali sono dati personali e in quanto tali devono essere gestiti in conformità al GDPR (Designed by Freepik)

Ecco le violazioni individuate

Numerose le violazioni individuate. Fra queste, il mancato rispetto del principio di minimizzazione dei dati e la conservazione non giustificata delle informazioni, entrambe contenute nell’articolo 5 del GDPR. Inoltre, è stata accertata la mancanza di una base giuridica valida per i periodi prolungati di conservazione (art. 6 GDPR), la mancata effettuazione di una valutazione d’impatto sui dati (art. 35 GDPR), nonché la violazione degli obblighi di aggiornamento contrattuale con i fornitori informatici (art. 28 GDPR).

Accanto alla sanzione pecuniaria, il Garante ha imposto alla Regione una serie di misure correttive, fra cui la limitazione della conservazione dei registri di navigazione web a massimo 90 giorni con successiva anonimizzazione, l’adozione della crittografia per i metadati delle e-mail e la revisione di politiche interne e contratti IT.

Perché la decisione è rilevante

Il significato della decisione è rilevante, poiché chiarisce definitivamente che i metadati devono essere trattati con lo stesso rigore riservato al contenuto dei messaggi e che le linee guida dell’Autorità, pur essendo tecnicamente strumenti di soft law, assumono una rilevanza giuridica vincolante.

Dal punto di vista pratico, imprese e pubbliche amministrazioni dovranno adesso rivedere attentamente i processi interni di gestione dei metadati e degli altri dati sopra indicati, quali vengono raccolti, come vengono usati e per quanto sono conservati, allineandosi alle nuove indicazioni del Garante. Saranno necessari accordi sindacali aggiornati, una puntuale informativa ai dipendenti, valutazioni d’impatto (DPIA) e rigorose misure di governance interna per evitare future sanzioni.

Questa prima applicazione delle linee guida sui metadati segna dunque un punto di svolta nel panorama della privacy in ambito lavorativo in Italia, sottolineando con forza come anche i dati tecnici possano diventare un potente strumento di monitoraggio e debbano pertanto essere gestiti nel rispetto assoluto dei diritti fondamentali dei lavoratori.