Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

garante privacy

Metadati di e-mail e internet: regole operative sui tempi di conservazione

Home Norme e adeguamenti
Indirizzo copiato

Il nuovo intervento del Garante Privacy su prassi diffuse ma problematiche delinea un quadro complesso. Nel provvedimento sanzionatorio nei confronti della Regione Lombardia si censura la gestione dei metadati delle e-mail e dei log di navigazione da parte dell’ente. Ecco le implicazioni

Pubblicato il 25 giu 2025
Riccardo Berti

Avvocato e DPO in Verona

Metadati email e log di navigazione sanzione Regione Lombardia

Il Garante per la protezione dei dati personali è intervenuto nuovamente sul delicato tema della conservazione dei log informatici generati dalle attività dei dipendenti.

Questa volta ha emanato un provvedimento sanzionatorio nei confronti della Regione Lombardia, adottato lo scorso 29 aprile 2025 [10134221], in cui si censura la gestione dei metadati email e dei log di navigazione da parte dell’ente.

Il caso riaccende così i riflettori su prassi tanto diffuse quanto problematiche.

Fine del rapporto di lavoro: la corretta gestione dell’indirizzo email aziendale

Metadati di e-mail e internet: cosa si può fare davvero

La travagliata genesi del Documento di indirizzo dedicato ai servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati da parte del Garante Privacy [Provv. 10026277] ha portato molti a sottovalutarne la portata operativa.

In primis i grandi fornitori internazionali, che mal sopportano questa limitazione di trattamento che stona con opposte raccomandazioni in tema di cyber security (con l’U.S. Cyber safety review board che esplicitamente raccomanda la tenuta di log semestrali), hanno fatto orecchie da mercante di fronte al documento di indirizzo del giugno 2024. Esso presenta smussature rispetto a quello, più deciso e restrittivo, del dicembre 2023.

Alcuni fornitori, in particolare, si sono trincerati dietro alcune formule contenute nel documento medesimo e che sembravano in effetti depotenziare l’approccio iniziale dell’Autorità, quali il riferimento del Garante al fatto che le nuove linee guida non introducono nuovi obblighi o responsabilità, frase che è stata interpretata dai fornitori come un via libera alla prosecuzione del servizio, tenendo conto del “termine guida” dei 21 giorni di conservazione dei log, inteso come termine ampiamente superabile in presenza di esigenze di sicurezza IT.

Google ha, per esempio, ribadito che è “fondamentale che i clienti – se lo desiderano – possano accedere agli eventi di log di Gmail relativi a un periodo di almeno sei mesi”.

Invece, Microsoft non ha offerto alternative facilmente accessibili alla funzione Microsoft Trace.

Il provvedimento contro Regione Lombardia: cosa succede

In seguito al provvedimento del Garante, molti si erano quindi fatti l’idea che una estensione del trattamento dei metadati log fosse consentita, senza ricorrere a valutazioni di impatto e/o accordi sindacali / autorizzazioni da parte del competente Ispettorato territoriale del lavoro, anche superando il “termine guida” dei 21 giorni ed avanzando fino ai limiti posti (ed imposti) dai grandi player del settore.
Il provvedimento del 29 aprile contro la Regione Lombardia recide di netto queste aspettative e impone una complessiva rilettura delle procedure aziendali sul punto.

Nel caso in questione, infatti, la Regione utilizzava la funzione Microsoft Trace, che consente, o meglio impone (salvo complessi workaround) la conservazione automatica dei log delle email fino a 90 giorni. Ma al sanzionato nulla è valso rappresentare al Garante che la “scelta” di sottoporre a log i metadati email 90 giorni non dipendeva da una scelta aziendale bensì da una
scelta del fornitore.

Il testo del Garante

“Con riguardo ai metadati generati dall’utilizzo del servizio di posta elettronica da parte del personale dipendente della Regione, “gli amministratori del tenant di posta elettronica hanno la. possibilità di condurre un’operazione di tracciamento della posta transitata dal server Exchange.

Le informazioni che Microsoft permette di raccogliere sulla base di questa ricerca sono disponibili per 7 giorni direttamente sul server, e comprendono:

  • data e ora del messaggio;
  • indirizzo del mittente;
  • indirizzo del destinatario;
  • oggetto della mail;
  • status (informazione sulla corretta consegna del messaggio o, in alternativa, sulla motivazione per cui non è stato correttamente recapitato);
  • dimensione del messaggio (espressa in KB o in MB, includendo la dimensione di eventuali allegati);
  • header del messaggio (file di testo contenente identificativo univoco del messaggio e informazioni riguardo il transito)”;
  • “per le email più vecchie di 7 giorni, Microsoft permette di raccogliere una quantità minore di informazioni attraverso un report in formato CSV. Le informazioni acquisibili in questa modalità restano disponibili agli amministratori per 90 giorni, e comprendono: timestamp del messaggio; indirizzo del mittente; indirizzo del destinatario con eventuale status (in questo report si acquisiscono solo le email ricevute dal server e indirizzate verso la destinazione, non vengono tracciate le mail che il server blocca a monte); oggetto della mail; dimensione del messaggio (espressa in bytes, includendo la dimensione di eventuali allegati); identificativo univoco del messaggio”; “il parametro dei 90 giorni di retention è impostato da Microsoft (condizioni di rilascio della licenza) e gli amministratori non hanno la possibilità di diminuirlo. Le informazioni messe a disposizione dal tracciamento servono unicamente allo scopo di offrire assistenza agli utenti nel momento in cui un messaggio non viene recapitato correttamente”.

Il quadro che emerge dal provvedimento

Secondo il Garante, una simile data retention non può essere giustificata solo dal fatto che sia tecnicamente imposta dal fornitore del servizio, se non sono rispettati specifici adempimenti normativi.

Il quadro complessivo che emerge (e comunque ancora lacunoso) dal provvedimento del Garante in relazione ai metadati log email è quindi il seguente:

  • Fino a 21 giorni è ammessa la conservazione dei metadati delle email anche senza accordo sindacale o autorizzazione dell’Ispettorato del Lavoro (ITL), a patto che sia fornita un’adeguata informativa ai dipendenti,
  • Oltre i 21 giorni, la conservazione è ammessa senza accordo sindacale/ITL solo se accompagnata da una valutazione d’impatto (Dpia) che dimostri l’esistenza di specifiche esigenze tecniche o organizzative (quanto si possa estendere questa conservazione non è chiarito dal provvedimento, anche se sembra evidente che il Garante non intenda assentire a una conservazione fino ai 90 giorni in assenza di autorizzazione/accordo);
  • in assenza di tali esigenze, la conservazione oltre i 21 giorni può essere ammessa solo con accordo sindacale o autorizzazione ITL e con Dpia, nel rispetto comunque del principio di limitazione del trattamento.

Ingiustificabile il termine di 90 giorni

Nel caso specifico, Il Garante ha ritenuto insufficienti le giustificazioni della Regione, evidenziando che il termine di 90 giorni è da considerarsi “ampio”.

L’Autorità ha poi precisato che, nel caso, non si applica l’eccezione di cui all’art. 4 comma 2 L. 300/1970, che consente, con riferimento ai soli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” di ​​evitare l’autorizzazione ITL / accordo sindacale.

Il Garante, in quanto, trattandosi di un’eccezione, la stessa “deve essere oggetto di stretta interpretazione, stante altresì le responsabilità anche sul piano penale che ne conseguono” con la conseguenza che nell’eccezione possono ricomprendersi solo “servizi, software o applicativi strettamente funzionali alla prestazione lavorativa” (per esempio, gestionali).

La ricostruzione del Garante

Sicuramente rilevante. Infatti la ricostruzione del Garante si innesta in un acceso dibattito circa la qualificazione degli “strumenti utilizzati dal lavoratore” in dottrina e giurisprudenza, che ha visto due posizioni fronteggiarsi:

  • quella che afferma l’esigenza di “mera accessorietà” fra lo strumento e la prestazione lavorativa come condizione sufficiente per l’applicabilità dell’eccezione;
  • e quella (sposata dal Garante) che impone invece la “stretta correlazione” fra lo strumento e la prestazione lavorativa affinché operi il regime derogatorio.

Tuttavia, proseguendo con il proprio provvedimento il Garante abbandona questa ricostruzione e considera l’email rientrante nella deroga di cui all’art. 4 comma 2, se la conservazione dei metadati log è inferiore ai 21 giorni (con una storpiatura della normativa di riferimento non indifferente: o lo strumento rientra per tipologia nella deroga dell’art. 4 co. 2, oppure non vi rientra, non pare invece possibile stabilire, come fa il Garante, una “soglia” di durata di conservazione dei metadati oltre la quale lo strumento lavorativo diventa polifunzionale).

I presìdi richiesti dalla normativa

Anche se la conservazione è preconfigurata dal fornitore, ciò non esonera il titolare del trattamento dall’obbligo di adottare i presìdi richiesti dalla normativa (se supera i 21 giorni):

  • informativa,
  • Dpia
  • e accordo sindacale o autorizzazione ITL (se non ci sono esigenze specifiche aziendali che consentono di affermare che anche una conservazione superiore ai 21 giorni sia funzionale “all’ambito del mero funzionamento delle infrastrutture del sistema della posta elettronica e del suo regolare utilizzo, comprese le più essenziali garanzie di sicurezza del servizio”).

Microsoft come fornitore

Nel caso in cui il fornitore del servizio email sia Microsoft, quindi, che consente accesso ai metadati log email completi per 7 giorni e ad un set ridotto di metadati (tra cui timestamp, mittente, destinatario, oggetto e dimensione) per 90 giorni in formato CSV, l’attività non è vietata, ma sottoposta ai cennati presidi.

Google in qualità di fornitore

Lo stesso ragionamento vale anche nel caso in cui invece il fornitore sia Google. La società mette a disposizione dell’amministratore del proprio Workspace i dati di log completi (ricercabili tramite funzione ELS, email log search) per 30 giorni, mentre è necessario l’id del messaggio per ricerche di email più risalenti (fino a sei mesi).

Il ruolo dell’informativa e dello Statuto dei lavoratori

Quanto all’informativa, il Garante ribadisce che questa deve rendere “pienamente consapevoli” gli interessati delle caratteristiche del trattamento, inclusi tempi di conservazione e finalità di utilizzo (il che rende evidente la necessità di una proceduralizzazione circa le modalità di accesso e i presidi in relazione alla stessa).

Inoltre, le misure di cui all’art. 4 dello Statuto dei Lavoratori ragionevolmente saranno applicabili solo nel caso in cui un’azienda abbia assegnato a dei dipendenti caselle email individualizzate (del tipo: nome.cognome@azienda.it). Ovvero (secondo l’opinione preferibile) caselle email funzione assegnate in via esclusiva a un soggetto (quindi non condivise).

Non è possibile, infine, per il datore di lavoro farsi schermo della non consapevolezza circa l’esistenza dello strumento di log tracing, in quanto la posizione del Garante è molto rigida sul punto e prescrive che il titolare del trattamento debba accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, anche commisurando adeguatamente i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

Log di navigazione

Il provvedimento del 29 aprile scorso tocca anche un altro punto nevralgico spesso non considerato dai datori di lavoro: la registrazione dei dati di navigazione su internet dei dipendenti.

Nel provvedimento, in particolare, si evidenzia il fatto che “i log di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema – venivano raccolti e conservati dalla Regione in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali”.

Sul punto, il Garante afferma anzitutto che non servono presidi a tutela dei dati personali nel caso di “sistemi di inibizione automatica di consultazione in rete (senza conservazione dei tentativi di accesso)”, i presidi scattano invece quando l’attività di navigazione è conservata in log.

In quest’ultimo caso, infatti, i log “possono riguardare aspetti della sfera personale e della vita privata dei dipendenti” e possono rivelare non solo dati personali comuni dei dipendenti, ma anche dati personali appartenenti a categorie particolari degli stessi (per esempio, ricerche web su una patologia di cui soffre il dipendente o un suo familiare).

Anche in questo caso, il Garante chiede lo stesso livello di attenzione prescritto per i log, ovvero:

  • autorizzazione ITL o accordo sindacale;
  • valutazione di impatto sulla protezione dei dati;
  • informativa trasparente.

L’indicazione del Garante

Il provvedimento del Garante è ancor più difficile da inquadrare con riferimento ai log di navigazione, mancando in questo caso un provvedimento equiparabile a quello del giugno scorso in tema di metadati log email.

L’unica indicazione che arriva dal Garante è che il tempo di conservazione praticato dalla Regione (365 giorni) è troppo esteso e che i log andranno conservati per 90 giorni, previo accordo sindacale / autorizzazione ITL e valutazione di impatto.

Ragionando in analogia con quanto dice il Garante in relazione ai metadati log email pare però evidente che esista una “soglia” al di sotto della quale Dpia e accordo sindacale / autorizzazione ITL non siano necessari (pensiamo ai log istantanei di alcuni firewall che vengono cancellati dopo qualche ora).

Il problema è però duplice:

  • nel caso dei log di navigazione non abbiamo un provvedimento come quello del giugno 2024 che individui precisamente una soglia limite generalmente applicabile, ed è difficile pensare a un’applicazione analogica del provvedimento, dedicato ai metadati log, date le intrinseche differenze fra le due attività di tracciamento;
  • sia nel caso dei log di navigazione che nel caso dei metadati log email l’applicabilità della deroga di cui all’art. 4 co. 2 L. 300/1970 risulterebbe frutto di una forzatura del testo di legge, che pur dotata di “bollinatura ufficiale” della massima autorità privacy (quantomeno con riferimento ai log email), non è detto regga in un contenzioso giuslavoristico.

La prudenza è d’obbligo

Occorre quindi suggerire una prudente applicazione dei presidi raccomandati dal Garante (informativa, DPIA e autorizzazione/accordo), facendo eccezione (con l’implementazione della sola informativa) solamente le conservazioni di log di minima durata.

Sul punto, il Garante ha imposto una serie di presidi alla registrazione dei log di navigazione, che complessivamente (includendo quindi quelli già attuati dalla Regione), sono i seguenti:

  • separazione dei dati (consentendo quindi solo in caso di collaborazione fra titolare e fornitori IT la ricostruzione del dato personale);
  • puntuale individuazione dei presupposti al ricorrere dei quali è possibile procedere all’elaborazione che le permette di risalire all’identità dei dipendenti, che devono consistere in “particolari, motivate e predeterminate anomalie di sicurezza e specifiche richieste da parte dell’autorità giudiziaria”;
  • anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti in black list;
  • gradualità e progressività delle attività di verifica, con un primo approccio a livello di struttura e con interventi individuali solo in caso di previo e infruttuoso esperimento di verifiche aggregate;
  • cifratura del dato concernente i nomi dei dipendenti assegnatari della macchina;
  • trattamento dei dati di log effettuato da un numero strettamente limitato di persone fisiche autorizzate e a tal fine appositamente selezionate, specificamente designate ed istruite.

Vale il principio di accountability sancito dal GDPR

Sia che si tratti di log email o di navigazione, il Garante invita a definire procedure chiare sull’uso effettivo dei dati raccolti, specificando chi vi ha accesso, quando e per quali finalità.

Il messaggio dell’Autorità è chiaro: non bastano soluzioni preconfezionate o impostazioni tecniche imposte da fornitori esterni.

I datori di lavoro pubblici e privati devono assumersi la responsabilità piena dei trattamenti, nel rispetto del principio di accountability sancito dall’articolo 5, paragrafo 2 del GDPR.

Il caso della Regione Lombardia rappresenta quindi un monito per tutti gli enti e le organizzazioni che utilizzano strumenti di tracciamento senza adeguate garanzie.
Anche i fornitori esterni – come nel caso dei firewall o dei sistemi cloud – devono essere coinvolti in una verifica puntuale delle modalità di conservazione e accesso ai dati.

Il quadro che offre il provvedimento del Garante, però, al netto dell’innegabile efficacia di monito, presenta alcune significative criticità.

Dal provvedimento emerge infatti un fumoso quadro di adempimenti che rischia peraltro di scontrarsi con l’interpretazione che faranno i giudici del lavoro dell’art. 4 co. 2 L. 300/1970.

Al netto dei riflessi giuslavoristici, le problematiche di tutela dei dati personali possono così riassumersi.

Riguardo ai metadati log email

Ecco i punti su cui serve chiarezza.

Infatti non è chiaro:

  • se e quando vada effettuata una valutazione di impatto sul trattamento, non essendo definito con precisione, nel provvedimento (così come nel Documento di indirizzo del giugno 2024), se si possa tracciare un parallelo con gli adempimenti sindacali / ITL rendendosi così necessaria la Dpia solo in caso di superamento della soglia dei 21 giorni (la decisione circa la Dpia è rimessa al titolare, certo è che se entro la soglia dei 21 giorni il trattamento è considerato talmente poco invasivo da consentire la “declassificazione” dello strumento mail a semplice “strumento utilizzato dal lavoratore per rendere la prestazione lavorativa”, la necessità di DPIA sembra venir meno);
  • quanto si possa estendere l’attività di log in caso di esigenze aziendali che ne legittimino la tenuta oltre i 21 giorni (anche se il provvedimento sembra consentirci di dire che 90 giorni sono ben oltre la soglia massima, quantomeno per una amministrazione);
  • quanto sia possibile estendere l’attività di log una volta adempiuti i presidi richiesti dal Garante (i 6 mesi di log proposti da Google sono “convalidabili” in sede sindacale?);
  • come possano le aziende prive di rappresentanze sindacali ottenere l’autorizzazione ITL, non essendoci moduli in tal senso e dovendosi registrare la difficoltà di alcuni Ispettorati nella gestione di queste pratiche.

In riferimento ai log di navigazione

Non è chiaro:

  • se e quando vada stipulato un accordo sindacale o ottenuta una autorizzazione dal competente ITL (e sembra difficile potersi spingere ad escludere l’accordo/autorizzazione fino ad una conservazione 21 giorni, in parallelo ai metadati log email);
  • se e quando vada effettuata una valutazione di impatto sul trattamento (né se si possa tracciare un parallelo con la “soglia” prudenzialmente individuata dal datore di lavoro per dar corso ad un accordo sindacale od ottenere una autorizzazione dal competente ITL, ovvero se la Dpia debba essere effettuata anche in caso di trattamenti meno estesi temporalmente e/o per modalità;
  • quanto sia possibile estendere l’attività di log una volta adempiuti i presidi
  • richiesti dal Garante (sebbene il Garante abbia individuato in 90 giorni la durata di tenuta
  • dei log per la Regione, considerando però i rigidi presidi di sicurezza e
  • regolamentazione degli accessi individuati nel provvedimento);
  • come possano le aziende prive di rappresentanze sindacali ottenere l’autorizzazione ITL, non essendoci moduli in tal senso e dovendosi registrare la difficoltà di alcuni Ispettorati nella gestione di queste pratiche.

La complessità del quadro impone quindi un approccio prudente e consapevole in capo ai datori di lavoro, anzitutto improntato a un principio di fondamentale trasparenza con i dipendenti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Riccardo Berti
Avvocato e DPO in Verona

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Telemarketing aggressivo, l’agenzia immobiliare non può schedare i proprietari di immobili: la sanzione

  • garante privacy

    Telemarketing aggressivo, l’agenzia immobiliare non può schedare i clienti: la sanzione

    30 Mag 2025

    di Rosario Palumbo

    Condividi
  • Cyber security in Italia 2025

  • il rapporto

    Cyber security, com'è messa l'italia nel 2025: la risposta nei dati Anitec Assinform

    02 Lug 2025

    di Paolo Tarsitano

    Condividi
  • Reti VPN: vantaggi e quali sono in Italia

  • LA GUIDA PRATICA

    VPN: cos’è, come funziona e a cosa serve una Virtual Private Network

    03 Apr 2025

    di Salvatore Lombardo

    Condividi
  • Data breach nei firewall Cisco usati da enti governativi Usa: ecco come mitigare il rischio

  • vulnerabilità

    Data breach nei firewall Cisco usati da enti governativi Usa: tre linee di riflessione

    29 Set 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi