Email aziendali: tutela dei contenuti e regole sulla gestione dei metadati, le ultime indicazioni del Garante

Negli ultimi mesi si sono moltiplicati gli interventi istituzionali sul tema della posta elettronica nei luoghi di lavoro. Da un lato, la Cassazione (sentenza n. 24204/2025) ha sancito che le e-mail personali dei dipendenti sono inviolabili, anche se conservate su server o PC aziendali: ogni accesso non autorizzato configura una violazione della corrispondenza e comporta conseguenze penali e civili. Dall’altro, il Garante per la Privacy, con il documento di indirizzo 2.0 (giugno 2024), ha definito regole precise sulla conservazione dei metadati delle e-mail aziendali, imponendo limiti temporali (massimo 21 giorni, salvo eccezioni documentate) e trasparenza verso i lavoratori. Due prospettive che convergono su un punto comune: la posta elettronica è uno strumento di lavoro, ma la sua gestione deve sempre rispettare la riservatezza dei dipendenti e i principi di compliance.

Cassazione: le e-mail personali sono inviolabili

Con la sentenza n. 24204 del 29 agosto 2025, la Corte di Cassazione ha stabilito che le e-mail personali dei dipendenti, anche se conservate su server o dispositivi aziendali, sono espressione della vita privata e pertanto inviolabili.
Il datore di lavoro non può accedere né utilizzare queste comunicazioni come prova in giudizio. Ogni accesso non autorizzato integra violazioni penali (accesso abusivo a sistema informatico, violazione di corrispondenza) e rende inutilizzabili le prove acquisite.

Questa decisione ribalta una precedente sentenza del tribunale di primo grado (Milano), che considerava tali e-mail come “corrispondenza aperta” e quindi liberamente accessibili.

Principi giuridici ribaditi

Le email personali rappresentano espressioni della vita privata e del diritto di corrispondenza, tutelati dall’articolo 8 della Convenzione europea dei diritti dell’uomo.
L’accesso non autorizzato a caselle protette è reato ai sensi dell’art. 615-ter del codice penale: si configura come accesso abusivo a un sistema informatico e violazione di corrispondenza, nonché danno se vengono modificate le credenziali

Il datore di lavoro può eseguire controlli solo se rispettano i principi di proporzionalità, trasparenza e informazione preventiva al lavoratore. È anche necessario seguire le procedure previste dallo Statuto dei lavoratori (art. 4).

Garante Privacy: regole sulla conservazione dei metadati

Il 6 giugno 2024 il Garante per la Protezione dei Dati Personali ha pubblicato una nuova versione del documento di indirizzo sulla gestione dei metadati della posta elettronica nei luoghi di lavoro, aggiornando le prime indicazioni diffuse nel mese di febbraio. La revisione è stata elaborata anche alla luce della consultazione pubblica avviata nel mese successivo, che ha permesso di raccogliere osservazioni e contributi da parte dei soggetti interessati.

Quest’ultima versione – indicata come “documento di indirizzo 2.0” – chiarisce, precisa e approfondisce uno dei temi più delicati e dibattuti in ambito privacy e giuslavoristico: la raccolta e conservazione dei dati relativi all’instradamento e alla gestione dei messaggi di posta elettronica, noti come metadati.

Cosa sono i metadati della posta elettronica?

Un punto rilevante del documento è la definizione di metadati, indicati dal Garante come “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA: Mail Transport Agent) e dalle postazioni client (MUA: Mail User Agent)”.

Si tratta, per esempio, di dati che includono:

indirizzi email di mittente e destinatario;
indirizzi IP dei dispositivi coinvolti;
data e ora di invio, ricezione, ritrasmissione;
dimensione del messaggio;
presenza e dimensione degli allegati;
in alcuni casi, anche l’oggetto del messaggio.

Come chiarisce il GPDP, i metadati non coincidono con il contenuto del messaggio, ma ne costituiscono l’envelope, ovvero l’insieme delle informazioni tecniche che, pur essendo parte integrante e inscindibile dall’e-mail, “rimangono sotto il controllo esclusivo dell’utente”.

Conservazione dei metadati dei dipendenti: limiti temporali e rischi

Nel contesto lavorativo, la raccolta e la conservazione dei metadati è consentita esclusivamente per garantire il corretto funzionamento dei sistemi di posta elettronica. Come chiarito dal Garante, tale conservazione deve avere una durata limitata a pochi giorni, e comunque non oltre i 21 giorni. Eventuali estensioni sono ammesse solo in casi eccezionali e documentati, nel rispetto del principio di accountability.

Oltre questi limiti, la conservazione sistematica e prolungata rischia di tradursi in un controllo indiretto e costante dell’attività dei dipendenti, configurando così un trattamento illecito dei dati personali.

Il ruolo del datore di lavoro

Il Garante richiama i datori di lavoro alla massima responsabilità nella gestione dei metadati della posta elettronica. Spetta infatti al titolare del trattamento “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

A ciò si aggiunge l’obbligo di informare in modo chiaro i lavoratori circa i tempi di conservazione, le modalità di trattamento e l’eventuale esistenza di controlli, così da garantire piena consapevolezza delle caratteristiche del trattamento. Come sottolinea l’Autorità, “è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento, specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.”.

Infine, il documento richiama l’attenzione sulle misure ulteriori che il datore di lavoro deve adottare:

disattivare funzioni non compatibili con le finalità del trattamento

richiedere ai fornitori l’anonimizzazione dei metadati qualora non sia necessario conservarli più a lungo

garantire che ogni estensione sia giustificata e tracciata.

Profili di illiceità

All’interno del documento si evidenziano diversi scenari di gestione illecita dei metadati, in particolare:

la conservazione oltre il limite massimo consentito (21 giorni) senza adeguate motivazioni o senza accordo sindacale
l’utilizzo dei metadati come strumento di monitoraggio occulto delle attività dei dipendenti, configurando un controllo a distanza non autorizzato
l’impiego dei dati per finalità ulteriori e non compatibili con quelle dichiarate al momento della raccolta

Tali condotte, oltre a violare l’art. 4 dello Statuto dei Lavoratori, possono determinare conseguenze significative per i datori di lavoro, comprese le sanzioni previste dall’art. 83 GDPR e dal Codice della privacy.

Privacy by design e by default: un approccio innovativo ai metadati

Un aspetto particolarmente innovativo del documento riguarda l’applicazione dei principi di privacy by design e privacy by default. Come sottolinea il Garante, i sistemi di posta elettronica devono essere configurati “per impostazione predefinita solo al trattamento strettamente necessario”.

Ciò significa che il datore di lavoro deve adottare un approccio preventivo, disattivando funzioni non compatibili con le finalità dichiarate e limitando al minimo indispensabile i dati trattati. Inoltre, laddove non vi sia necessità di conservare i metadati oltre i 21 giorni, il datore di lavoro può richiedere al fornitore del servizio di procedere all’anonimizzazione, riducendo così i rischi legati a un utilizzo improprio.

Il ruolo dei fornitori di servizi

Le responsabilità non si esauriscono con i datori di lavoro. Anche i fornitori di servizi di posta elettronica e applicazioni cloud sono chiamati a integrare la tutela dei dati già in fase di progettazione, sviluppo e configurazione dei propri sistemi. Come ricorda il Garante, i provider devono “tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte”, offrendo impostazioni che permettano ai clienti di rispettare i limiti di conservazione e i principi di liceità e minimizzazione stabiliti dal GDPR.

In sintesi: Compliance per Aziende e PA

Il documento di indirizzo 2.0 del GPDP segna un passaggio decisivo: la gestione dei metadati delle email deve avvenire con tempi certi, rigore e piena trasparenza verso i lavoratori. Si tratta di un aspetto ormai centrale sia per la tutela della privacy che per la compliance aziendale e pubblica.
Per garantire conformità, datori di lavoro privati e pubbliche amministrazioni sono chiamati a:

verificare che i servizi di posta elettronica utilizzati consentano la limitazione o l’anonimizzazione dei metadati;
documentare e motivare con precisione eventuali estensioni oltre i 21 giorni, dimostrando la necessità in base al principio di accountability;
aggiornare le informative ai lavoratori in modo trasparente e completo, specificando tempi di conservazione, modalità di trattamento e controlli previsti;
integrare i principi di privacy by design e by default nei processi di acquisto e gestione dei servizi digitali, incluse le piattaforme di approvvigionamento centralizzato della PA.

Hai bisogno di supporto per verificare la compliance della tua azienda o aggiornare le informative aziendali? Contatta il nostro team per una consulenza su misura!

Cookie	Durata	Descrizione
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Blog