Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy con provvedimento 243/2025 , irrogando una sanzione di 50mila euro alla Regione Lombardia.
Il provvedimento assume una certa rilevanza in quanto è il primo a menzionare le linee guida fornite dalla stessa Autorità con il “ Documento di indirizzo sulla gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati “ del 14 giungo 2024.
L’ispezione in Regione era stata avviata per verificare la conformità delle pratiche adottate nel contesto del lavoro agile.
Dall’istruttoria è emerso che la Regione conservava i metadati della posta elettronica per 90 giorni, e i log di navigazione internet per ben 12 mesi, senza aver prima stipulato accordi sindacali come richiesto dalla normativa (art. 4, comma 1, Legge 20 maggio 1970, n. 300). Inoltre, tali trattamenti non erano stati preceduti da una valutazione d’impatto sulla protezione dei dati, violando l’art. 35 del Regolamento (UE) 2016/679 (GDPR).
Facendo riferimento ai termini suggeriti nel documento di indirizzo, il Garante ha rilevato come la conservazione dei metadati e dei log fosse eccessiva e sproporzionata rispetto alle finalità dichiarate di sicurezza informatica.
In particolare, per i metadati email ( ossia le informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi ), il termine congruo previsto per un uso lecito dei dati senza necessità di accordo sindacale ex art. 4, L. 300/1970, è fissato dalle linee guida in 21 giorni.
Per i log di navigazione ( informazioni inerenti l’accesso a siti web ), la situazione è risultata ancora più delicata: la raccolta sistematica e la possibilità di ricondurre tali dati ai singoli dipendenti, seppure mediante l’incrocio di dati fra fornitori, ha configurato un controllo indiretto dell’attività lavorativa. Il Garante ha quindi stabilito che tale pratica, in assenza di adeguate misure tecniche e di anonimizzazione, viola i principi di minimizzazione, proporzionalità e limitazione della conservazione previsti dagli artt. 5 e 25 del GDPR.
Anche la gestione dei ticket di assistenza tecnica ha sollevato criticità: i dati erano conservati fino a 9 anni senza giustificazioni adeguate, e mancava un accordo specifico con i fornitori per disciplinare il trattamento, in violazione dell’art. 28 del GDPR.
Alla luce del recente provvedimento del Garante , imprese e pubbliche amministrazioni devono porre attenzione alle seguenti attività :
- valutare con la propria funzione IT la congruità del nuovo limite di conservazione fissato orientativamente in 21 giorni ovvero individuare le particolari condizioni che ne rendano necessaria l’estensione, purché si tratti sempre di assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, da comprovare adeguatamente, anche all’interno della preventiva valutazione di impatto sulla protezione dei dati personali (“DPIA”), necessaria in virtù della particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”;
- verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, limitando il periodo di conservazione degli stessi entro un termine di 21 giorni ovvero quello più ampio stabilito dal titolare in base alla realtà tecnica e organizzativa dello stesso. Diversamente si dovrebbe istruire formalmente il provider di posta sul periodo di conservazione da rispettare, ex art. 28 GDPR o, in estrema ratio, cambiare il provider (si tratta, in entrambi i casi, di misure di non facile realizzazione);
- provvedere, nel caso in cui i trattamenti dei dati personali in questione si dovessero rendere necessari per un periodo superiore a 21 giorni per diverse finalità connesse al perseguimento di esigenze organizzative, produttive o di sicurezza, ad espletare le procedure di garanzia previste dalla disciplina di settore (art. 4, co.1, L. 300/1970);
- fornire/integrare agli interessati l’informativa sul trattamento dei dati personali e la policy sugli strumenti aziendali su questo punto (“Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970”).
WST Law & Tax