Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

Garante

Metadati email di lavoro: come gestirli nel rispetto privacy

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La gestione dei metadati della posta elettronica in ambito lavorativo apre questioni delicate tra esigenze d’impresa, controlli a distanza e tutela della riservatezza dei dipendenti. Chiariamo la materia, anche alla luce delle ultime polemiche riguardanti lo stesso garante privacy

Pubblicato il 8 dic 2025
mail lavoro metadati

Il tema dei metadati e della riservatezza dei servizi e-mail ha comportato di recente lo svilupparsi di discussioni sui social in merito alle politiche di trattamento e alle procedure interne all’Autorità Garante della Privacy.

Le attenzioni si sono rivolte, principalmente, a un riferimento – contenuto in un documento interno – a un termine di conservazione della corrispondenza elettronica estremamente lungo perché derivante dall’attivazione del servizio e-mail correntemente in esercizio, risalente al marzo 2001.

Il Garante e le email dei dipendenti, Scorza: “Ecco com’è andata”

Conservazione email presso il Garante Privacy, come funziona e perché è corretto

Le critiche mosse appaiono infondate, poiché il riferimento a ventiquattro anni di conservazione era estrapolato da un documento volto a evidenziare l’abissale sproporzione di una richiesta di acquisizione di dati che appariva abnorme per motivi ben più radicali sul piano giuridico, a cui si aggiungevano, poi, anche aspetti di pratica irrealizzabilità tecnica.

Specie in assenza di accordi sindacali o autorizzazioni dell’INL, la mailbox individuale del lavoratore è caratterizzata da assoluta riservatezza e non ingerenza da parte del datore di lavoro: per il lavoratore medesimo è il dominus della gestione della propria corrispondenza anche sotto il profilo della conservazione (intesa in senso atecnico come memorizzazione nel sistema di gestione delle e-mail) dei relativi contenuti.

Il Garante, nel mettere a disposizione del proprio personale un servizio di posta elettronica, non ha violato alcuna norma né alcuna indicazione relativa alla gestione e conservazione della corrispondenza, poiché i messaggi gestiti tramite gli account individuali sono stati sempre affidati alla esclusiva responsabilità dei rispettivi titolari, anche qui intesi atecnicamente quali assegnatari delle caselle nominali.

Va da sé che, in un contesto come questo, la capacità d’azione del dipendente sulla corrispondenza elettronica assomiglia tanto a quella che un privato cittadino può esercitare sulla corrispondenza sviluppata tramite un servizio privatamente acquisito, e consente con l’autonoma gestione ogni scelta in merito alla durata della conservazione, all’utilizzo dei messaggi e al loro scarto.

Non posso celare, in proposito, quanto sia per me motivo di orgoglio conservare i messaggi scambiati più di venti anni fa (e più di quaranta anni fa con riferimento alla corrispondenza personale da me conservata anche attraverso migrazioni di sistemi operativi, software di posta fin dai lontani tempi universitari) con interlocutori che hanno arricchito – anche con la loro disponibilità al dialogo – la mia vita professionale, e non solo.

In carenza di disposizioni di tipo tecnico od organizzativo, e in assenza di qualsivoglia pregiudizio per l’efficienza e il buon funzionamento dei servizi, la facoltà in capo al lavoratore di conservare per periodi prolungati i messaggi scambiati non viola quindi alcuna norma e, anzi, consente ai lavoratori stessi di tenere traccia e custodire, con la massima garanzia di sicurezza e riservatezza, anche alcuni degli aspetti più intimi della propria attività lavorativa e della dimensione relazionale che le è propria, che il datore di lavoro non ha alcun diritto di conoscere.

Non è certo questa la sede per affrontare in modo sistematico un tema che ha tante sfaccettature, coinvolgendo tanto la sfera tecnica quanto quella giuridica.

Prendo tuttavia spunto dal recente dibattito innescato da vicende che hanno avuto ampia risonanza, e dalle richieste di chiarimento che ne sono derivate, per mettere a fuoco solo alcuni aspetti e punti problematici che tuttora appaiono all’origine di equivoci e disorientamento anche tra specialisti di diritto e di tecnologie dell’informazione.

Come doverosa premessa, faccio presente – se mai ce ne fosse bisogno – che le opinioni qui espresse sono del tutto personali e non impegnano in alcun modo l’ente in cui presto servizio.

Metadati posta elettronica lavoro: natura e definizioni

La prima cosa da chiarire è la motivazione per cui il Garante per la protezione dei dati personali ha inteso fornire indicazioni orientative – nell’esercizio dei propri compiti istituzionali di promozione della consapevolezza e della cultura della protezione dei dati, previsti dal Regolamento generale sulla protezione dei dati (GDPR) – sulla conservazione dei metadati della posta elettronica (e non già sui suoi contenuti) che viene utilizzata nei luoghi di lavoro.

I servizi email continuano a essere un’importante componente applicativa di ogni sistema informativo aziendale – siano essi basati su installazioni on premise oppure evoluti verso soluzioni cloud di tipo SaaS – e a fornire costantemente spunto per dibattito e confronto sui temi del rispetto della vita privata, della segretezza della corrispondenza, delle tutele costituzionali a essa accordata, dei limiti del controllo a distanza dei lavoratori previsto dalla legge e dell’interesse legittimo dei datori di lavoro nell’esercizio dell’attività d’impresa, pure costituzionalmente tutelata.

A questo scopo, occorre precisare cosa sono i metadati, chi li può gestire e chi vi può accedere. Per metadati, nel contesto dei servizi e-mail, si intendono le informazioni relative alle operazioni di invio, ricezione, smistamento, consegna di messaggi di posta elettronica, che possono comprendere gli indirizzi del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nella spedizione e nell’instradamento dei messaggi, gli orari di invio, di ritrasmissione e di ricezione, le dimensioni e la presenza eventuale di file allegati.

I metadati vengono generati automaticamente indipendentemente dalla percezione e dalla volontà dell’utilizzatore, e non vanno quindi confusi con il contenuto informativo proprio dei messaggi. Alcuni sistemi di gestione della posta elettronica includono il contenuto del campo Oggetto (Subject) tra i dati registrati nei log files del servizio email che, in tal caso, diventano ancora più delicati e idonei, non solo a profilare gli utilizzatori sulla base dei propri comportamenti comunicativi, ma anche sulla base dei contenuti, seppure parziali, delle comunicazioni interpersonali.

Nel comune formato dei messaggi di posta elettronica a standard RFC822 l’Oggetto non costituisce un metadato, bensì un contenuto, essendo compreso nel corpo di un campo non strutturato nell’intestazione del messaggio. Il Subject, in particolare, reca dati inseriti dal mittente e non generati e registrati dal software, per cui è da assimilare al corpo del messaggio (body part), ovvero al contenuto informativo, a cui vanno assicurate le massime tutele in termini di riservatezza e inviolabilità.

La gestione dei metadati della posta elettronica nel rapporto di lavoro

Trattiamo quindi di una speciale categoria di dati di traffico telematico generati ed elaborati dai fornitori di servizi di comunicazione elettronica, nel cui ambito è compresa la posta elettronica, e da altri soggetti che operano servizi di posta elettronica pur non rivestendo tale qualifica.

La particolare tutela dei metadati discende da alcune loro proprietà: in primo luogo, essi vengono generati dall’utilizzo di un servizio di posta elettronica ma non restano (e nemmeno entrano) nella disponibilità del mittente e del destinatario. I messaggi e-mail che pervengono in local delivery a un certo utente gli vengono invece messi a disposizione in una mailbox ad accesso controllato su base individuale: l’utente destinatario – cui è associato l’indirizzo di destinazione – è l’unico soggetto legittimato, in linea generale, a leggere e consultare, organizzare, smistare, cancellare i messaggi ricevuti e anche quelli spediti.

Mentre il legittimo destinatario ha, in generale, il pieno controllo sui messaggi di propria pertinenza, i corrispondenti metadati, che ne documentano il trasporto, lo smistamento e la consegna, e che in parte replicano le informazioni di tracciamento contenute nell’envelope dei messaggi (visibile anche all’utente finale accedendo a specifiche funzioni applicative dei Mail User Agent (MUA), ovvero dei client utilizzati per la consultazione della posta), restano sotto l’esclusivo controllo del gestore del servizio.

Un utente che, per un qualsiasi motivo, cancelli un messaggio immediatamente dopo averlo letto ha una ragionevole aspettativa di riservatezza dei suoi contenuti e di protezione anche rispetto a illegittime azioni del datore di lavoro. Mentre, se un messaggio rimane “in giacenza” nella mailbox per più di qualche ora o più di una giornata, è molto probabile che una sua copia possa venire inclusa in un ciclo di backup per il mantenimento in sicurezza dei dati o che possa rimanere esposto ad altre forme di acquisizione.

Riservatezza della mailbox aziendale e ruolo dei backup

Nell’ambito del rapporto di lavoro la riservatezza della corrispondenza, che ricomprende i citati metadati, sussiste anche in contesti regolamentati tramite accordi sindacali o autorizzazioni da parte dell’Ispettorato nazionale del lavoro e, a maggior ragione, deve ritenersi garantita in assenza di tale regolamentazione. In carenza di quei presupposti (accordo, autorizzazione) l’aspettativa di riservatezza deve essere assunta come assoluta, equiparando di fatto la e-mail aziendale alla e-mail privata del dipendente.

In ogni caso, i logfiles generati nel funzionamento dei servizi e-mail, contenenti i metadati, restano nella disponibilità del solo datore di lavoro per un tempo che il Garante – nel quadro della protezione dei dati e della disciplina sui controlli a distanza – ha ritenuto debba essere limitato a pochi giorni (e comunque, a titolo orientativo, in assenza di presupposti che ne legittimino una conservazione anche più estesa, non superiore a 21 giorni), termine adeguato ai soli fini della verifica del funzionamento del servizio.

Tale termine, nella prospettiva di limitare la possibilità del datore di lavoro di ricostruire i comportamenti comunicativi del dipendente, non ha nulla a che fare con la conservazione dei dati di traffico telematico, per esempio da parte dei soggetti responsabili esterni del servizio, che vi provvedono per proprie legittime finalità e, talvolta, per obbligo di legge. Anche i dati esteriori delle comunicazioni, quindi, riguardano forme di corrispondenza assistite da garanzie di segretezza e inviolabilità tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.

Metadati della posta elettronica e limiti ai controlli sul lavoro

Proprio sulla scorta delle predette considerazioni sulla natura e sulla valenza dei metadati, il Garante ha inteso richiamare l’attenzione su questa area di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro, pubblicando il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 21 dicembre 2023, n. 642.

Il documento non reca prescrizioni né introduce nuovi adempimenti a carico dei datori di lavoro ma offre, piuttosto, una ricostruzione sistematica delle disposizioni applicabili nello specifico ambito dei servizi e-mail “aziendali” alla luce di precedenti decisioni dell’Autorità. L’ambito di riferimento è esclusivamente quello dei trattamenti effettuati dal datore di lavoro in qualità di titolare del trattamento, anche quando siano effettuati tramite fornitori del servizio di posta elettronica che operano in qualità di responsabili del trattamento (art. 28 GDPR).

Il documento del Garante su metadati e posta elettronica nel lavoro

Il documento, inoltre, riguarda i tempi di conservazione dei soli metadati generati o raccolti dai protocolli di trasmissione e smistamento della posta elettronica (SMTP, IMAP, POP, Active Sync…) o dai sistemi che ne garantiscono la sicurezza (ad esempio, quelli antispam e antivirus, Data Loss Prevention, identificazione di anomalie) e non riguarda in alcun modo le informazioni contenute nei messaggi (nell’envelope o nelle intestazioni) né, tantomeno, i loro contenuti informativi.

Il Garante non ha prescritto limiti temporali di conservazione dei metadati ma ha fornito un riferimento – all’esito di una valutazione tecnica basata sul funzionamento dei sistemi in uso – entro il quale la registrazione di tali informazioni da parte dei datori di lavoro può essere effettuata senza attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. n. 300 del 1970, espressamente richiamata dall’art. 114 del Codice.

La conservazione dei metadati per una durata inferiore o uguale al riferimento fornito è ritenuta compatibile con la necessità di garantire l’esercizio dei servizi di posta elettronica e di monitorarne il funzionamento. Il titolare del trattamento resta libero, in applicazione del principio di accountability e nel perseguimento delle finalità tassativamente indicate dal comma 1 dell’art. 4 (tutela del patrimonio informativo aziendale, ragioni produttive od organizzative), di determinare tempi di conservazione dei metadati più estesi – ma pur sempre proporzionati – ma dovrà, in questo caso, attivare le procedure previste dall’art. 4, comma 1, l. n. 300/1970.

Metadati, posta elettronica e poteri del datore di lavoro

Il datore dovrà quindi documentare le ragioni poste alla base della durata della conservazione stabilita, tenuto conto delle peculiarità del trattamento effettuato e assumendo come riferimento, ai fini dell’eventuale necessità dell’attivazione delle procedure di garanzia richieste dall’art. 4 dello Statuto, i parametri indicati dall’Autorità. Il Garante ha ritenuto che, in caso di utilizzo di account individuali, ossia riconducibili a singoli dipendenti, la raccolta dei metadati possa fornire informazioni sia relative all’attività lavorativa svolta sia estranee alla stessa, tali da consentire l’effettuazione di attività di controllo anche sistematico nonché l’acquisizione di informazioni che non possono essere trattate dal datore di lavoro in base all’ordinamento vigente (artt. 113 e 114 del Codice).

Occorre infatti considerare che, anche nel caso in cui il datore di lavoro stabilisca con una propria policy interna che l’utilizzo della posta elettronica aziendale debba limitarsi allo stretto ambito professionale, ciò non può determinare il completo annullamento dello spazio di riservatezza riconosciuto al lavoratore, anche nelle proprie relazioni professionali e con i colleghi, né consentire controlli prolungati e sistematici delle comunicazioni elettroniche da lui effettuate o a lui dirette.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Massimo Comella

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • algoritmi (1)

  • Product Liability

    Responsabilità per danni da IA: ecco il nuovo percorso normativo Ue

    05 Mar 2025

    di Marco Martorana e Gaja Nutini

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • fotovoltaico (1) solare cinese; energia solare; AI per il lavoro in condizioni estreme

  • la guida

    AI per il lavoro in condizioni estreme, quali tecnologie scegliere

    27 Ago 2025

    di Chris Turner

    Condividi