Con la newsletter del 30 maggio scorso, il Garante della Privacy ha emanato il provvedimento n. 243 del 29 aprile 2025, giunto all’esito dell’attività ispettiva svolta nei confronti della Regione Lombardia per verificare l’osservanza delle norme in materia di protezione dei dati personali in relazione ai trattamenti posti in essere in ambito lavorativo, anche con riferimento alle modalità di svolgimento del lavoro agile.
Nel mirino dell’Autorità, in particolare, la gestione:
- dei metadati della posta elettronica (i.e. l’indirizzo email del mittente e del destinatario, la data e l’ora dell’invio o della ricezione del messaggio, l’oggetto della mail e la dimensione dei messaggi) conservati nel caso di specie per 90 giorni (tempistica peraltro determinata dal provider del servizio) per finalità di sicurezza informatica e assistenza tecnica;
- dei log di navigazione in Internet (i.e. le informazioni inerenti ai siti web visitati dai dipendenti, incluse quelle relative ai tentativi falliti di accesso ai siti censiti in una apposita black list) identificati mediante un’attività di ricongiunzione delle informazioni relative all’utente e all’indirizzo IP della macchina (custodite separatamente presso fornitori diversi) e conservati nel caso di specie per 12 mesi, per essere messi a disposizione dell’autorità giudiziaria o in caso di particolari anomalie di traffico;
- delle informazioni legate alle richieste di assistenza tecnica dei dipendenti (in sede o in modalità agile), conservate nel caso di specie per 78 mesi.
La tutela dei dati in ambito lavorativo
In termini generali il Garante ricorda che il datore di lavoro, in qualità di titolare del trattamento dei dati personali dei propri dipendenti, è tenuto a verificare il rispetto dei presupposti di liceità di tale trattamento e, con esso, l’osservanza delle prescrizioni dello Statuto dei Lavoratori, ossia, in particolare, dell’art. 4 in materia di controlli a distanza.
Come noto, tale norma, fermo restando il divieto di sistemi finalizzati esclusivamente al controllo dell’attività lavorativa, opera una distinzione tra gli impianti audiovisivi e gli altri strumenti che consentono il controllo a distanza del lavoratore, da una parte, e gli «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa» e di registrazione degli accessi e delle presenze, dall’altra.
I primi possono essere installati solo se ricorrono specifiche esigenze organizzative e produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale e a condizione che il datore di lavoro abbia preventivamente sottoscritto un accordo con le rappresentanze sindacali aziendali o, in mancanza, abbia ottenuto l’autorizzazione da parte dell’Ispettorato del Lavoro competente (art. 4, 1° comma). Gli strumenti che, invece, i dipendenti utilizzano per svolgere la prestazione lavorativa, proprio in ragione della loro stretta necessità, sono sottratti al regime del 1° comma, con la conseguenza che per essi non sono richieste le suddette garanzie procedurali (i.e. preventivo accordo sindacale o autorizzazione dell’ITL).
La posta elettronica
Il Garante, rinviando al Documento di indirizzo n. 364/2024 (vedi la nostra newsflash «Garante privacy: nuove indicazioni per la raccolta dell’email dei dipendenti» del 18 giugno 2024), ribadisce che nel contesto lavorativo i metadati delle email, contenendo informazioni personali degli interessati, sono assistiti – al pari di qualunque forma di corrispondenza – da garanzie di segretezza volte ad assicurare la protezione della dignità dei lavoratori. Laddove il loro trattamento sia finalizzato ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica e sia effettuato per un periodo di tempo limitato, in ogni caso non superiore a 21 giorni (salva la ricorrenza di particolari condizioni), si è in presenza di «strumenti di lavoro», come tali soggetti alla disciplina del 2° comma dell’art. 4, Stat. Lav. Viceversa, qualora i metadati siano raccolti e conservati in modo generalizzato e per un esteso arco temporale (come nella specie), trovano applicazione le garanzie procedurali di cui all’art. 4, 1° comma, Stat. lav.
La navigazione in Internet
Il Garante ritiene che la raccolta sistematica e la successiva conservazione di tutti i file di log generati dall’utilizzo della rete Internet da parte dei lavoratori comportano, in presenza di un collegamento univoco con il dipendente e con la sua specifica postazione di lavoro, la possibilità di ricostruire e, dunque controllare, l’attività lavorativa, con la conseguenza che, anche in tali casi, è richiesto al datore di assicurare il rispetto dell’art. 4, 1° comma, della Legge n. 300/70. In tal senso, l’Autorità precisa che è irrilevante che il datore non sia in grado di risalire in maniera autonoma all’identità del dipendente avvalendosi all’uopo di distinti fornitori addetti alla custodia delle informazioni in questione. Ed infatti, una tale separazione organizzativa non preclude al titolare del trattamento (il datore, appunto) la possibilità di risalire comunque all’identità del dipendente che abbia effettuato la navigazione, mettendo in relazione le informazioni che ciascun fornitore conserva.
Le violazioni
Nel provvedimento del Garante in discorso sono evidenziate inoltre numerose e gravi violazioni delle disposizioni del GDPR, ossia:
- la lesione del principio di liceità, correttezza e trasparenza del trattamento dei dati personali nella misura in cui lo stesso è risultato essere privo di una base giuridica valida per un periodo significativo, di un’adeguata informativa ai dipendenti nonché di un consenso specifico, ove applicabile;
- la violazione del principio della limitazione della conservazione posto che l’arco temporale, rispettivamente di 90 giorni per i metadati, 12 mesi per i log di navigazione e 78 mesi per i ticket di assistenza, è stato ritenuto non proporzionato rispetto alle finalità dichiarate dal datore, aumentando il rischio di ledere i diritti e le libertà degli interessati;
- l’assenza di misure tecniche e organizzative adeguate, tenuto conto che i sistemi di raccolta e conservazione dei dati non prevedevano limitazioni automatiche di accesso, né meccanismi efficaci per l’anonimizzazione degli stessi;
- il mancato svolgimento di una valutazione d’impatto sulla protezione dei dati (DPIA) prima dell’avvio dei trattamenti;
- la mancata o incompleta nomina dei fornitori esterni come responsabili del trattamento.
Le misure correttive
Il Garante ha, dunque, dichiarato l’illiceità dei trattamenti di dati effettuati dalla Regione Lombardia disponendo:
- la messa in conformità degli stessi entro 90 giorni, con specifiche misure correttive (riduzione dei tempi di conservazione, anonimizzazione dei dati, cifratura e misure organizzative);
- l’obbligo di comunicare al Garante le iniziative intraprese entro 30 giorni;
- l’applicazione di una sanzione amministrativa di 50.000 euro.
Il provvedimento richiama l’attenzione delle imprese sull’obbligo di trattare i dati personali dei lavoratori in modo trasparente, limitato a finalità strettamente necessarie e per un tempo proporzionato, ma soprattutto impone ai datori di lavoro di rivedere ed eventualmente ridefinire, alla luce delle presa di posizione del Garante, le procedure aziendali di gestione delle modalità di raccolta, conservazione e trattamento dei metadati delle e-mail e dei log di navigazione in Internet, tenendo conto della necessità, secondo il Garante, di esperire la procedura di accordo sindacale/autorizzazione dell’Ispettorato del Lavoro, sopra menzionata.
Toffoletto De Luca Tamajo dispone di professionisti, specializzati nella regolamentazione degli strumenti di lavoro e dei sistemi aziendali nonché dei dati che da essi derivano, pronti a supportarVi per l’individuazione di tutti i possibili accorgimenti.
Per maggiori informazioni: comunicazione@toffolettodeluca.it