"La valigia sul letto" per un viaggio spensierato dove "la cintura" balla "despacito" intorno ad una "barbacoa" con gli amici, alle Canarie. Dopo un anno di compliance, i titolari si meritano, anche, un po' di "chiringuito" e "playa". Tuttavia, l'Autorità Garante ha stabilito - con rigore inflessibile - di fare ordine anche quest'estate, turbandone i sonni alla Regione Lombardia.

Pur considerando che la Commissione Europea stia presa in un processo che mira a semplificare il Regolamento Generale sulla Protezione dei Dati (GDPR), soprattutto per lenire i gravami amministrativi sopportati dalle Piccole e Medie Imprese, questa iniziativa ha scatenato una molteplicità di reazioni che vanno dal cauto ottimismo a dubbi e timori diffusi. Parallelamente, e forse anche lontani dalla semplificazione verso cui punta la Commissione Europea, l'Autorità Garante italiana per la Protezione dei Dati Personali, con il provvedimento n. 243 del 29 aprile 2025, ha fatto luce su un aspetto particolarmente delicato: il trattamento dei metadati, in particolare, all'interno delle Pubbliche Amministrazioni.

Che cosa sono i metadati?

I metadati, un termine che fino a poco tempo addietro suscitava perplessità e scetticismo, sono stati posti al centro del dibattito giuridico e tecnologico dal Provvedimento di indirizzo del 6 giugno 2024 del Garante italiano. Questo documento ha avviato una discussione più ampia sui programmi e servizi informatici di gestione della posta elettronica e sul trattamento dei metadati dei dipendenti, comparto che era fino ad allora oscuro a molti, salvo che agli addetti ai lavori più tecnici.

Dal punto di vista tecnico-legale, i metadati si configurano come informazioni che descrivono altri dati: essi forniscono dettagli e contesto che migliorano la gestione, l'accessibilità e l'utilizzo di file, documenti, immagini o database. Ciò nonostante, dal punto di vista della privacy, la loro gestione introduce problematiche significative per molti titolari del trattamento, costretti a misurarsi con nuove ed esigenti regolamentazioni sulla gestione delle e-mail e metadati legati alle attività dei lavoratori.

Perché si torna a parlare dei metadati?

Il provvedimento del 2024 non rappresenta un debutto assoluto nel panorama delle responsabilità a carico dei titolari del trattamento di adeguarsi al GDPR e alle normative giuslavoristiche vigenti. Tali obblighi erano già ben consolidati dal momento in cui il GDPR e il Codice Privacy sono entrati in vigore. La novità, semmai, risiede nell’intensità con cui le aziende e le PA debbono adesso confrontarsi con questi vincoli regolatori più stringenti, rispolverando una certa trascuratezza nel loro approccio ai metadati sino alla data odierna.

Nel frattempo, la recente attenzione del Garante su questi dettagli operativi rimette in discussione non solo la consapevolezza diffusa delle imprese e delle PA rispetto alle loro funzioni e obblighi, ma anche il ruolo perpetuo delle autorità di vigilanza nel guidare e, quando necessario, correggere il modo in cui tali obblighi vengono interpretati e attuati. L’efficacia di queste riforme resta un nodo critico, mentre il trattamento dei metadati si rivela un campo in bilico tra l’atemporalità del diritto e l’evoluzione inesorabile della tecnologia.

Premesse sul nuovo provvedimento del Garante in materia "metadati"

Il recente provvedimento n. 243 del 29 aprile 2025 esamina un'indagine svolta dal Garante per la protezione dei dati personali sui trattamenti di dati personali da parte della Regione Lombardia, con particolare enfasi sui log di navigazione in Internet e sui metadati di posta elettronica utilizzati nell'ambito lavorativo. Di seguito un brevissimo sunto del Provvedimento

Oggetto e Attività Istruttoria

L’indagine del Garante è stata avviata per valutare il rispetto delle norme in materia di protezione dei dati personali, in particolare per quanto riguarda i trattamenti di dati effettuati nel contesto del lavoro agile. Gli accertamenti si sono concentrati sull'uso di strumenti informatici da parte del personale regionale e sulle modalità di gestione e conservazione dei dati generati.

Normativa Applicabile

Il quadro normativo di riferimento comprende il Regolamento UE 2016/679 (GDPR) e il Codice Privacy italiano. Elemento chiave è l’articolo 4 della Legge 300/1970, che disciplina i controlli a distanza sui lavoratori. Altre disposizioni rilevanti includono gli articoli 5 (principi applicabili al trattamento di dati personali), 6 (liceità del trattamento), 25 (protezione dei dati fin dalla progettazione e per impostazione predefinita), e 35 (valutazione d'impatto sulla protezione dei dati) del GDPR.

Esito dell'Attività Istruttoria

1. Metadati di Posta Elettronica:

   • I metadati delle email sono stati conservati per 90 giorni, senza un accordo collettivo con le rappresentanze sindacali, il che viola le normative sui controlli a distanza previsti dallo statuto dei lavoratori.

   • È stato stabilito che questo tipo di conservazione prolungata rende possibile il controllo indiretto delle attività lavorative, imponendo pertanto l'adozione di garanzie procedurali previste dalla legge.

     
     

2. Log di Navigazione Internet:

   • La raccolta e la conservazione sistematica dei log di navigazione Internet possono includere dati non pertinenti, rappresentando una violazione del principio di proporzionalità del GDPR.

   • L’indagine ha posto in evidenza la mancanza di un accordo sindacale sui controlli a distanza e ha determinato che la tecnologia utilizzata potrebbe portare a un monitoraggio non giustificato del personale.

     
     

3. Gestione delle Richieste di Assistenza Tecnica:

   • I dati legati alle richieste di assistenza tecnica sono stati conservati per periodi estesi oltre quanto necessario, violando i principi di limitazione della conservazione.

   • Il sistema di assistenza tecnica, particolarmente il sistema “OTRS” in fase di dismissione, non era regolamentato in conformità con il GDPR durante il trattamento transitorio.

     
     

A seguito dell'indagine, il Garante:

• Ha imposto una sanzione pecuniaria di 50.000 euro complessivi, suddivisa in tre parti: 20.000 euro per la violazione relativa ai metadati di posta elettronica, 25.000 euro per i log di navigazione, e 5.000 euro per la gestione delle richieste di assistenza tecnica.

• Ha disposto una serie di misure correttive per rendere conformi i trattamenti, tra cui la riduzione dei periodi di conservazione dei dati e l'adozione di nuovi accorgimenti tecnici e organizzativi per minimizzare i rischi per i diritti e le libertà fondamentali dei dipendenti.

• Ha richiesto alla Regione di presentare una relazione documentata delle azioni intraprese per rimediare alle violazioni, da inviare entro 30 giorni dalla notifica del provvedimento.

L’intervento intende garantire un adeguamento strutturale delle procedure di trattamento dei dati personali all’interno della Regione Lombardia, promuovendo la trasparenza e la sicurezza nella gestione delle informazioni dei dipendenti.

Autore: Dr. Francisco Garcia (Partner Himmel Advisors · Lawyer · DPO)