Blog - Ultime notizie

Il Garante Privacy su metadati delle e-mail e log della navigazione in Internet dei dipendenti

da

Garante per la protezione dei dati personali, provvedimento 29 aprile 2025, n. 243

Un recente provvedimento del Garante, adottato nei confronti della Regione Lombardia, torna sul discusso tema del trattamento dei dati raccolti dagli strumenti informatici dei dipendenti, in particolare per quanto riguarda la conservazione dei metadati della posta elettronica e dei log della navigazione internet, testimoniando la difficoltà di un corretto adempimento ai complessi obblighi in materia di protezione dei dati, ma fornendo al contempo molti elementi utili ad indirizzare le scelte dei datori di lavoro in modo da evitare sanzioni.

Il provvedimento, sulla scia del Documento di indirizzo sui metadati della posta elettronica (provv. 6 giugno 2024, n. 364), conferma la centralità dell’accordo sindacale o dell’autorizzazione amministrativa di cui all’art. 4 dello Statuto dei lavoratori nel caso in cui il datore di lavoro intenda conservare dati che potrebbero rendere possibile un controllo a distanza dell’attività dei dipendenti, per un periodo di tempo più lungo di quello strettamente necessario a garantire la funzionalità e le garanzie di sicurezza essenziali degli strumenti di lavoro informatici.

Sotto lo scrutinio del Garante sono finite sia le modalità di conservazione dei metadati della posta elettronica dei dipendenti sia quelle di conservazione dei log della navigazione in Internet, inizialmente effettuate per lunghi periodi (rispettivamente 90 e 365 giorni) in mancanza di accordi sindacali, stipulati dalla Regione solo in seguito alla pubblicazione del predetto Documento di indirizzo. Il percorso di regolarizzazione intrapreso, pur non essendo stato sufficiente ad escludere le sanzioni per il periodo precedente, ha tuttavia contribuito ad una loro determinazione in misura piuttosto tenue.

Per quanto riguarda, in particolare, il trattamento dei log della navigazione in Internet, il Garante ha verificato che la Regione avrebbe dovuto effettuare una valutazione di impatto ai sensi dell’art. 35 del GDPR, dal momento che esso comportava un monitoraggio sistematico e coinvolgeva i dipendenti, considerati soggetti vulnerabili dalle linee guida in materia. Inoltre, venivano conservati anche i dati relativi ai tentativi di accesso ai siti bloccati dalla blacklist aziendale, con aumento del rischio di raccogliere informazioni non pertinenti con la sfera lavorativa, in contrasto tanto con i principi in materia di protezione dei dati quanto con l’art. 8 dello Statuto. Sul punto, come specifica misura correttiva, il Garante ha ingiunto alla Regione di effettuare l’anonimizzazione dei log relativi ai tentativi di accesso ai siti bloccati.

Condividi quest'articolo:

Studio legale Albi

Copyright © Studio Legale Albi 2014-2025 – P.IVA 01864450505

Contatti | Disclaimer | Privacy | Cookies | Codice deontologico

Il licenziamento comunicato tramite Whatsapp non è orale (ma è legittimo?... Dimissioni per fatti concludenti? No, è licenziamento illegittimo.