Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy con provvedimento del 29 aprile 2025 n. 243 (pubblicato nella Newsletter del 30 maggio), irrogando una sanzione di 50mila euro alla Regione Lombardia.

Premessa

I servizi di posta elettronica sono suscettibili di controlli da parte del datore di lavoro, titolare del trattamento, che può venire a conoscenza del contenuto della corrispondenza. Il Garante ha fornito istruzioni sull'utilizzo della posta elettronica o di internet sul posto di lavoro e sui relativi obblighi del datore di lavoro (Provv. Garante Privacy 1° marzo 2007), il quale deve:

• informare preventivamente i lavoratori in modo chiaro sulle modalità di utilizzo della posta elettronica e su eventuali controlli da lui effettuati;
• adottare gli accorgimenti per la conservazione ed il trattamento dei dati ricavabili a seguito dell'utilizzo di tali tecnologie;
• adottare misure di tipo organizzativo (ad esempio può mettere a disposizione indirizzi condivisi tra più lavoratori e attribuirne uno diverso al lavoratore per uso privato; in caso di assenza del lavoratore può utilizzare messaggi di risposta automatica; può inserire nei messaggi un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale del messaggio e sia specificato se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente).

L’istruttoria del Garante e le violazioni alla privacy dei dipendenti

Il provvedimento n. 243 del Garante giunge al termine di un ciclo ispettivo dell’Autorità per verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del lavoro agile.

Sono numerose le violazioni emerse dall’istruttoria del Garante. In primis, è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet - consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list - senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti. Nessun accordo inoltre era stato siglato per il trattamento dei metadati di posta elettronica dei lavoratori. Ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi.

La sanzione del Garante e le misure correttive

Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante, oltre alla sanzione amministrativa, ha ingiunto una serie di misure correttive. Tra queste, in particolare: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati.

Fonte: Provvedimento Garante privacy 29 aprile 2025 n. 243