02 Lug 2025

La fase di transizione è ufficialmente terminata. Con il provvedimento sanzionatorio n. 243 del 29 aprile 2025, il Garante per la protezione dei dati personali ha inviato un messaggio forte e inequivocabile a tutti i datori di lavoro, pubblici e privati: le indicazioni fornite nel discusso documento di indirizzo del giugno 2024 sulla gestione della posta elettronica non erano semplici suggerimenti, ma la base per una nuova, e più rigida, stagione di controlli. La sanzione comminata a un ente locale per aver conservato per un periodo prolungato i metadati delle e-mail e la cronologia internet dei dipendenti segna un punto di non ritorno, trasformando l’orientamento in prassi esecutiva e chiarendo che la compliance preventiva non è un’opzione, ma un obbligo inderogabile. Per le aziende, la flessibilità interpretativa si restringe drasticamente, lasciando spazio solo a un’applicazione rigorosa delle norme a tutela dei lavoratori. Ma di cosa si tratta e quali sono i nuovi obblighi per i datori di lavoro? Cerchiamo di approfondire l’argomento.

I metadati dell’e-mail, la trappola dei 90 giorni
Il cuore del provvedimento risiede nella questione più dibattuta dell’ultimo anno: la conservazione dei metadati della posta elettronica. L’ente locale sanzionato li conservava per 90 giorni, giustificando tale periodo con finalità di sicurezza informatica e necessità di assistenza tecnica, come il recupero di messaggi non recapitati. Sebbene in un secondo momento l’ente avesse stipulato un accordo sindacale e redatto una valutazione d’impatto (DPIA), il Garante ha rilevato che per un significativo periodo di tempo il trattamento era avvenuto in assenza di queste garanzie fondamentali.
L’Autorità ha applicato il principio stabilito nel suo documento di indirizzo del 2024: una conservazione limitata a 7 giorni, estensibile fino a un massimo di 21, può essere considerata necessaria per esigenze di funzionamento e sicurezza essenziale, rientrando così nell’ambito del comma 2 dell’art. 4 dello Statuto dei Lavoratori (che non richiede accordo sindacale).
Superare questa soglia, come ha fatto l’ente con i suoi 90 giorni, sposta inevitabilmente il trattamento nel perimetro del comma 1 dello stesso articolo. Questo significa che la conservazione prolungata viene qualificata come uno strumento da cui deriva la possibilità di un controllo a distanza sull’attività dei lavoratori. Di conseguenza, essa è lecita solo se preceduta da un accordo con le rappresentanze sindacali o, in mancanza, da un’autorizzazione dell’Ispettorato del Lavoro. Aver stipulato l’accordo dopo aver iniziato il trattamento non sana l’illecito originario, un punto che funge da severo monito per tutte le organizzazioni.

La cronologia internet, lo specchio digitale del dipendente
Il secondo fronte di illecito ha riguardato la raccolta e conservazione, per un anno, dei file di log relativi alla navigazione internet dei dipendenti. L’ente registrava non solo i siti visitati, ma anche i tentativi di accesso a pagine inserite in una “black-list”, il cui accesso era comunque inibito. Anche in questo caso, l’ente si era dotato di misure di sicurezza, come la separazione dei dati che richiedeva di incrociare informazioni da tre diversi fornitori per identificare il lavoratore, e aveva previsto l’accesso a tali log solo su richiesta dell’autorità giudiziaria o in presenza di anomalie di traffico motivate.
Per il Garante, queste cautele non sono state sufficienti. La raccolta sistematica e generalizzata dei dati di navigazione, univocamente collegabile a un dipendente e alla sua postazione, costituisce di per sé una forma di controllo a distanza. La mera possibilità tecnica di ricostruire l’attività online di un lavoratore fa scattare l’obbligo di rispettare le garanzie procedurali dell’art. 4, comma 1, dello Statuto. La finalità di sicurezza, seppur legittima, non può giustificare un monitoraggio così pervasivo senza le tutele previste dalla legge, che devono, ancora una volta, essere attivate prima di avviare la raccolta dei dati.
Il principio dimenticato, la minimizzazione dei dati di assistenza
La terza violazione, meno appariscente ma altrettanto significativa, ha riguardato la conservazione dei dati relativi alle richieste di assistenza tecnica (ticketing). L’ente conservava tali dati, risalenti fino al 2016, per l’intera durata del rapporto contrattuale con il fornitore, adducendo finalità di fatturazione e gestione del servizio.
Su questo punto, il Garante ha richiamato uno dei pilastri del GDPR: il principio di minimizzazione (art. 5). L’Autorità ha contestato la necessità di conservare dati personali per così tanto tempo per finalità meramente contabili. Tali esigenze, si legge nel provvedimento, possono e devono essere soddisfatte con dati aggregati o anonimizzati, conservando solo le informazioni “strettamente necessarie a consentire il raffronto tra il servizio effettivamente reso e quello previsto contrattualmente”.
È una lezione fondamentale per tutte le aziende: anche i dati apparentemente secondari, come quelli di un servizio di help desk, devono essere trattati nel rispetto dei principi di pertinenza e non eccedenza, e conservati solo per il tempo strettamente indispensabile al raggiungimento dello scopo dichiarato.

Il confine della legge, quando il controllo diventa illecito
Questo provvedimento cristallizza l’interpretazione del Garante sull’intersezione tra la normativa sulla privacy e quella giuslavoristica. La linea di demarcazione è netta:
• Art. 4, comma 2, Statuto dei Lavoratori: riguarda gli strumenti indispensabili al lavoratore per eseguire la prestazione e quelli per la sicurezza e l’organizzazione. Il trattamento dei dati che ne deriva è lecito senza accordo sindacale solo se strettamente funzionale a tali scopi. Per il Garante, la conservazione dei metadati e-mail fino a 21 giorni rientra in questa categoria;
• Art. 4, comma 1, Statuto dei Lavoratori: si applica a tutti gli altri strumenti da cui derivi, anche solo potenzialmente, una possibilità di controllo a distanza. Qui l’accordo sindacale (o l’autorizzazione dell’Ispettorato) è una condizione imprescindibile di liceità del trattamento.
La decisione in commento stabilisce che una conservazione dei metadati per 90 giorni e la raccolta sistematica della cronologia web ricadono pienamente in questa seconda categoria. Il datore di lavoro non ha discrezionalità nel qualificare diversamente questi trattamenti basandosi su proprie valutazioni tecniche o organizzative, se non fornendo prove straordinariamente robuste, un onere probatorio che il Garante sembra ritenere molto difficile da soddisfare.

Conclusione, un avvertimento per le aziende e un dialogo da riaprire
La sanzione pecuniaria, sebbene non elevata, assume un valore simbolico cruciale. L’Autorità ha voluto chiarire che la fase di “aggiustamento” alla guida del 2024 è conclusa. Il fatto che l’ente locale si sia successivamente messo in regola non è stato considerato un’esimente, ma al più un’attenuante. Questo approccio responsabilizza al massimo i titolari del trattamento: la valutazione d’impatto e gli accordi sindacali non sono adempimenti formali da regolarizzare in un secondo momento, ma presupposti di legalità dell’intero trattamento.
La decisione apre ora scenari complessi. Le aziende sono chiamate a una revisione immediata e rigorosa delle proprie policy, consapevoli che il margine di tolleranza è nullo. Al contempo, si rende necessario un nuovo dialogo con i grandi provider di servizi di posta elettronica (come Google e Microsoft), le cui impostazioni di default potrebbero non essere conformi a questa interpretazione restrittiva. Questo provvedimento, in definitiva, chiude un’era di incertezza e ne apre una di applicazione rigorosa, costringendo il mercato a un confronto non più differibile con le implicazioni reali della sorveglianza digitale sul posto di lavoro.