Parlare di scandalo del Garante Privacy potrebbe essere un pò estremo? No , alla luce dei fatti che stiamo per riassumere, direi piuttosto che è un eufemismo. 

Antefatto: i metadati di posta elettronica

Con un recente provvedimento ( di cui parlavamo in questo articolo) il Garante Privacy , il 29 aprile 2025, sanzionava la Regione Lombardia per  una prassi molto diffusa: la conservazione prolungata dei metadati delle email e dei log di navigazione Internet dei dipendenti.

Cosa è successo

La Regione utilizzava la funzione Microsoft Trace, che conserva i log delle email fino a 90 giorni. Il Garante ha ritenuto questa durata ingiustificabile, anche se imposta dal fornitore, e ha sanzionato l’ente. Il messaggio è chiaro: non basta la configurazione tecnica del servizio per essere conformi al GDPR. E' interessante soffermarsi sul fatto che i due principali fornitori di caselle di posta internazionalmente usati (Microsoft e Google) all'epoca NON prevedessero una conservazione dei metadati di posta per 21 gg, elemento che non è stato minimamente considerato nella formulazione del provvedimento.  

Le regole sui metadati email

Quindi il Garante è andato avanti a testa bassa e senza considerare le difficoltà che avrebbe creato a tutte le aziende che nulla possono contro i colossi della Silicon Valley ed ha imposto le seguenti regole per i metadati della posta elettronica:

• Fino a 21 giorni: conservazione ammessa senza accordo sindacale o autorizzazione ITL, purché sia fornita un’adeguata informativa ai dipendenti.
• Oltre i 21 giorni: servono DPIA (valutazione d’impatto) e, in assenza di esigenze tecniche specifiche, accordo sindacale o autorizzazione ITL.
• Durate come 90 giorni sono considerate eccessive.

E poco importa che la stragrande maggioranza delle PMI italiane si appoggia a fornitori esterni e non ha nemmeno idea di come accedere ai metadati di posta elettronica ( e prima probabilmente non sapeva nemmeno esistessero), il Titolare è tenuto a imporre questi limiti ai suoi Amministratori di sistema Esterni

Log di navigazione Internet

Il provvedimento censura anche la conservazione dei dati di navigazione per 365 giorni. Si parla in particolare di quegli alert generati dai sistemi di filtering quando un utente cerca di accedere ad un sito che è pericoloso o catalogato in black list. Anche in questo caso il Garante indica come riferimento 90 giorni, ma sempre con:

• informativa trasparente,
• DPIA,
• accordo sindacale o autorizzazione ITL.

Cosa devono fare le aziende

In sintesi quindi le aziende per stare tranquille devono :

• Verificare le impostazioni dei fornitori (Microsoft, Google, firewall, ecc.) e ridurre i tempi di conservazione.
• Aggiornare le informative ai dipendenti.
• Predisporre DPIA e accordi sindacali se si superano i 21 giorni.
• Definire procedure chiare su chi accede ai dati e per quali finalità, nel rispetto del principio di accountability del GDPR.
• identificare chiaramente gli incaricati che possono accedere ai dati e i criteri di accesso
• anonimizzare i dati non effettivamente necessari

Il caso Lombardia è un monito: non affidarsi alle impostazioni predefinite dei fornitori e adottare i presìdi richiesti dalla normativa. La trasparenza verso i dipendenti e la prudenza nelle scelte sono oggi imprescindibili.

Lo scandalo del Garante privacy

Alla luce di tutta questa severità esercitata nei confronti dei privati risulta ancora più triste quanto ha coinvolto le  più alte cariche del Garante Privacy, di cui riportiamo di seguito un breve resoconto . A questo link potete prendere visione del documento con cui il Segretario generale del Garante richiedeva di acquisire 24 anni di email interne (mi sembrava di ricordare che le email dovessero essere rigorosamente cancellate dopo un tempo ragionevole… 24 anni?!?!?) ed il Responsabile dei Servizi Informativi si opponeva alla richiesta. .

Cosa è successo nel dettaglio ?

Il Segretario Generale del Garante ha ordinato, con atto protocollato alle 11:22 del 4 novembre 2025, di acquisire 24 anni di email interne, insieme a log di accesso VPN, cartelle condivise, sistemi documentali e persino i sistemi di sicurezza. Non si trattava di un controllo mirato, ma di una raccolta massiva di dati, con l’ulteriore richiesta di bloccare la sovrascrittura dei log su tutti i sistemi. L’obiettivo? Secondo quanto emerso, individuare chi parlava con i giornalisti.

Perché è grave?

Questa operazione avrebbe violato:

• Il diritto costituzionale alla segretezza della corrispondenza.
• Le Linee Guida del Garante (2007), che vietano l’accesso alle email dei dipendenti senza garanzie.
• Il provvedimento sui metadati (6 giugno 2024), che limita la conservazione dei log a 21 giorni, salvo accordi sindacali o autorizzazioni specifiche. Proprio quello su cui tutte le altre aziende si scervellano da oltre un anno e mezzo

Richiedere la conservazione di 24 anni di dati e il blocco totale dei log è incompatibile con qualsiasi norma vigente. Inoltre, la mole di dati era tecnicamente ingestibile: sarebbero serviti 20.000 DVD, 100 terabyte di spazio e 4.000 ore di lavoro.

La reazione interna

Il dirigente della sicurezza informatica, Cosimo Comella, ha bloccato tutto, definendo l’ordine illegale e sottolineando il danno reputazionale che ne sarebbe derivato. La sua risposta è stata accolta con un applauso di cinque minuti dai dipendenti radunati in riunione di emergenza per parlare dell'accaduto. Poco dopo, il Segretario Generale ha rassegnato le dimissioni, mentre l’assemblea dei lavoratori ha chiesto quelle dell’intero Collegio, che invece  ha diffuso una nota in cui si dichiara completamente estraneo all'iniziativa del Segretario Generale. Tuttavia, i lavoratori riuniti in assemblea affermano il contrario: comunicano infatti che "lo stesso Collegio ha confermato di esserne a conoscenza" durante l'assemblea, circostanza che ha portato appunto alla richiesta di dimissioni di tutti e quattro i garanti.   .

E come si conclude lo scandalo del Garante? 

La vicenda non si conclude qui. Il “Fatto quotidiano” riporta di un accesso ai locali istituzionali  il primo novembre 2025 (ad uffici chiusi) di quattro membri del collegio insieme a tecnici esterni che sarebbero rimasti a lavorare in solitaria fino a notte inoltrata.  Il motivo? Ispezionare i server in caccia della talpa? Lo scopriremo al termine delle indagini avviate dalla procura della repubblica.