Metadati Email e Log di Navigazione Dipendenti: Retention Massima 21 Giorni
Il Garante Privacy italiano fissa a 21 giorni il limite di retention per i metadati delle email aziendali dei dipendenti. Due sanzioni nel 2024: 20.000 e 25.000 euro. Come configurare i sistemi di posta.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Per quanto tempo un'azienda può conservare i metadati delle email dei dipendenti?
Il Garante Privacy italiano ha fissato a 21 giorni il termine massimo di retention dei metadati delle email aziendali dei dipendenti (mittente, destinatario, oggetto, data, ora, dimensione degli allegati). Le sanzioni del 2024 (20.000 e 25.000 euro) riguardavano organizzazioni che conservavano questi dati per periodi compresi tra 180 giorni e diversi anni. Superare il limite di 21 giorni senza accordo sindacale o autorizzazione INL costituisce una violazione strutturale del GDPR e dello Statuto dei Lavoratori.
Fonti: Garante Privacy — Provvedimento metadati email, febbraio 2024 · Art. 4 Legge 300/1970 (Statuto dei Lavoratori) · EDPB — Guidelines on processing of personal data through video devices · Reg. UE 2016/679 (GDPR) Artt. 5, 13, 35 · Circolare INL n. 2/2016
Le caselle email aziendali generano ogni giorno migliaia di metadati: ogni messaggio inviato o ricevuto produce un log che registra chi ha scritto a chi, quando, con quale oggetto, quanti allegati e di quale dimensione. Questi dati, apparentemente tecnici, consentono di ricostruire in dettaglio i pattern di comunicazione di ogni singolo dipendente: con chi collabora, a che ora è operativo, con quali clienti o fornitori interagisce. Il Garante Privacy italiano ha stabilito con chiarezza che questa categoria di dati è soggetta a limiti precisi di conservazione, e ha sanzionato due organizzazioni nel 2024 per aver configurato i propri sistemi di posta elettronica in modo non conforme. Per il quadro normativo integrato sul monitoraggio dei lavoratori, si veda la guida alle architetture di compliance GDPR e AI Act. Per gli aspetti relativi al software di monitoraggio, si veda l'articolo dedicato al software di monitoraggio dipendenti in Italia.
Il provvedimento del Garante: due sanzioni nel 2024
Nel febbraio 2024 il Garante Privacy ha pubblicato un provvedimento di carattere generale sui metadati della posta elettronica aziendale, accompagnato da due decisioni sanzionatorie concrete.
Il primo caso riguardava una società privata che utilizzava Microsoft Exchange con impostazioni predefinite: il sistema conservava automaticamente i metadati di ogni email per 365 giorni. Questa configurazione, identica a quella adottata da migliaia di organizzazioni italiane che non hanno personalizzato le impostazioni del proprio client di posta, è stata dichiarata non conforme al GDPR. La sanzione irrogata è stata di 20.000 euro.
Il secondo caso riguardava un'organizzazione del settore no-profit che conservava i log di posta per un periodo ancora superiore, nell'ordine di diversi anni, senza che tale conservazione estesa fosse giustificata da esigenze organizzative documentate né autorizzata dalle procedure previste per il controllo a distanza dei lavoratori. La sanzione è stata di 25.000 euro.
In entrambi i casi, il Garante ha sottolineato che il problema non risiedeva nell'uso della posta elettronica aziendale come strumento di lavoro, bensì nella conservazione prolungata dei metadati, che trasforma un sistema di comunicazione in uno strumento permanente di sorveglianza retroattiva dei dipendenti.
Cosa sono i metadati delle email e perché sono dati personali
La distinzione tra contenuto e metadati delle email è fondamentale ma spesso fraintesa dai responsabili IT e dai DPO meno esperti.
Il contenuto dell'email è il testo del messaggio e i file allegati: il corpo della comunicazione, soggetto a regole proprie (segreto della corrispondenza, accesso alle caselle dei dipendenti assenti).
I metadati dell'email sono i dati tecnici che accompagnano ogni messaggio:
| Metadato | Cosa rivela |
|---|---|
| Indirizzo mittente | Chi ha inviato il messaggio |
| Indirizzo/i destinatario/i | Con chi il dipendente comunica |
| Oggetto del messaggio | Il tema della comunicazione |
| Data e ora di invio/ricezione | L'orario di operatività del dipendente |
| Dimensione del messaggio | Presenza e volume di allegati |
| Server di inoltro | Percorso tecnico del messaggio |
| IP del mittente (in alcuni contesti) | Posizione geografica al momento dell'invio |
L'insieme di questi metadati, anche senza accedere al contenuto, consente di ricostruire la rete di relazioni professionali di un dipendente, il suo ritmo di lavoro, i periodi di inattività, i contatti più frequenti. Per questo il Garante li qualifica come dati personali soggetti ai princìpi di minimizzazione e limitazione della conservazione previsti dall'Art. 5 del GDPR.
Il limite dei 21 giorni: dove si trova e come si applica
Il Garante ha indicato nel proprio provvedimento che il termine di 21 giorni rappresenta il massimo di retention compatibile con le finalità operative ordinarie (sicurezza informatica, verifica della corretta ricezione delle comunicazioni, esigenze di gestione del servizio). Questo termine non è ricavato da una disposizione legislativa specifica che indichi "21 giorni": emerge dall'applicazione dei princìpi di proporzionalità e minimizzazione del GDPR al contesto specifico dei metadati di posta elettronica.
Il limite di 21 giorni riguarda i metadati nella loro completezza. Non impedisce di conservare:
- Il contenuto delle email per i periodi stabiliti dalle policy aziendali di gestione della documentazione (che possono essere più lunghi, se giustificati da obblighi di legge o contrattuali)
- I metadati in forma aggregata e anonima per finalità statistiche (ad esempio, volume complessivo di messaggi per gestire la capacità dei server)
- I metadati specifici relativi a comunicazioni già oggetto di un procedimento disciplinare o giudiziario in corso (in questo caso si applicano le regole specifiche della conservazione a fini di tutela legale)
Quando è possibile superare il limite di 21 giorni
Il provvedimento del Garante non esclude che esigenze organizzative, produttive o di sicurezza documentate possano giustificare una retention più lunga. Tuttavia, in questi casi si attiva la procedura prevista dall'Art. 4 dello Statuto dei Lavoratori: qualsiasi estensione del periodo di conservazione dei metadati delle email deve essere preceduta da un accordo scritto con le Rappresentanze Sindacali Aziendali (RSA/RSU) o, in assenza di queste, da un'autorizzazione dell'Ispettorato Nazionale del Lavoro (INL).
La logica è la stessa che si applica ai sistemi GPS o ai software di monitoraggio della produttività: il datore di lavoro non può decidere unilateralmente di conservare dati che consentono il controllo a distanza dei lavoratori per un periodo superiore al minimo necessario. L'accordo collettivo o l'autorizzazione amministrativa sono condizioni di legittimità, non formalità burocratiche. Per il quadro comparativo su GPS e telemetria, si veda la guida alla geolocalizzazione dei dipendenti.
Il problema delle configurazioni predefinite dei sistemi di posta
La criticità centrale evidenziata dal Garante non riguarda comportamenti volutamente scorretti: la stragrande maggioranza delle organizzazioni sanzionate aveva semplicemente mantenuto le impostazioni predefinite dei propri sistemi di posta elettronica senza verificare se fossero conformi alla normativa.
Microsoft Exchange, Google Workspace, Zimbra e i principali sistemi di posta aziendale configurano di default periodi di retention dei log che vanno da 90 giorni a un anno, in alcuni casi illimitati. Queste impostazioni predefinite sono progettate per soddisfare le esigenze dei mercati anglosassoni o globali e non tengono conto dei vincoli specifici della normativa europea sul lavoro.
Il responsabile IT che installa un sistema di posta senza personalizzare la retention dei log dei metadati sta, involontariamente, creando una violazione strutturale del GDPR che dura per tutta la vita del sistema.
Come configurare correttamente i sistemi di posta aziendale
Passo 1: Audit delle impostazioni attuali. Verificare per ogni sistema di posta in uso (Exchange, Google Workspace, strumenti di sicurezza email, SIEM che ingeriscono log di posta) qual è il periodo di retention attualmente configurato per i metadati.
Passo 2: Riduzione al limite di 21 giorni. Configurare la retention dei metadati delle email a 21 giorni per tutti i sistemi, con cancellazione automatica allo scadere del termine. La cancellazione deve essere effettiva, non un semplice flag di archiviazione che mantiene i dati in un layer secondario.
Passo 3: Valutazione delle esigenze di retention estesa. Se esistono ragioni organizzative o di sicurezza informatica che richiedono una conservazione più lunga (ad esempio, per sistemi di rilevazione di minacce interne o per esigenze di tracciabilità legate a specifici contratti), avviare la procedura Art. 4 Statuto dei Lavoratori per ottenere l'accordo sindacale o l'autorizzazione INL.
Passo 4: Informativa ai dipendenti. Aggiornare l'informativa privacy ai dipendenti per riflettere il periodo di retention effettivo dei metadati delle email, la finalità della conservazione, i soggetti con accesso ai dati e i diritti esercitabili.
Passo 5: DPIA. Il monitoraggio sistematico delle comunicazioni dei lavoratori tramite conservazione dei metadati rientra nelle tipologie di trattamento che richiedono una valutazione d'impatto ai sensi dell'Art. 35 GDPR. Se non è ancora stata condotta, avviarla.
Log di navigazione: stesse regole, stesso limite
Il provvedimento del Garante si applica per analogia anche ai log di navigazione web dei dipendenti (URL visitati, durata delle sessioni, volume di traffico per sito). La conservazione dei log di navigazione disaggregati per singolo utente per periodi superiori a quelli necessari per la sicurezza operativa del sistema informatico è soggetta alle stesse limitazioni dei metadati email.
I sistemi di filtraggio della navigazione (web proxy, content filter) che registrano il comportamento di navigazione individuale per periodi prolungati configurano un trattamento che richiede la procedura Art. 4 Statuto e, molto probabilmente, la DPIA.
I tuoi sistemi di posta sono configurati con retention dei metadati conforme al Garante?
Studio Legale Ingoglia assiste aziende nell'audit di conformità dei sistemi di posta elettronica aziendale, nella gestione della procedura sindacale per retention estesa e nella redazione delle informative privacy per i dipendenti. Prenota una consulenza strategica per verificare la configurazione attuale dei tuoi sistemi prima di un accertamento ispettivo.
Articolo aggiornato al 26 maggio 2026. I provvedimenti del Garante Privacy citati (sanzioni di 20.000 e 25.000 euro sui metadati email) fanno riferimento a provvedimenti del 2024 pubblicati nel registro ufficiale del Garante. Per supporto specifico, contatta lo studio.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze