Controllo dei dipendenti, cosa può fare il datore di lavoro su e-mail e navigazione internet

  2. Relazioni industriali e affari sociali
  3. Controllo dei dipendenti, cosa può fare il datore di lavoro su e-mail e navigazione internet
Controllo dei dipendenti, cosa può fare il datore di lavoro su e-mail e navigazione internet

Il Garante Privacy ha recentemente multato la Regione Lombardia per 50.000 euro per una gestione non conforme dei dati dei propri dipendenti, in particolare quelli legati alla navigazione su internet e ai metadati delle e-mail. Un caso che offre spunti fondamentali per tutte le aziende che trattano dati in ambito lavorativo.

Cosa ha stabilito il Garante e perché è importante per lavoratori e datori di lavoro, e cosa si deve fare per restare nella legalità.

Il controllo sulla navigazione web e sui metadati e-mail è legale ma solo a determinate condizioni. Questo è il cuore del provvedimento del Garante. Il datore di lavoro può monitorare l’uso degli strumenti digitali aziendali, ma deve rispettare norme precise, che tutelano i diritti fondamentali dei lavoratori.

Due sono i tipi di dati al centro dell’attenzione:

Log di navigazione Internet: ovvero i registri dei siti visitati, comprese le informazioni su accessi a siti bloccati.

Metadati delle e-mail: dati esterni al contenuto delle e-mail, come orari di invio, destinatari, mittenti, oggetto e dimensione dei messaggi.

Queste informazioni, pur non rivelando direttamente il contenuto, possono essere utilizzate per tracciare il comportamento dei dipendenti, con un impatto serio sulla loro privacy.

Cosa ha sbagliato la Regione Lombardia secondo il Garante Privacy

Il provvedimento, pubblicato il 29 aprile 2025, è il risultato di un’ispezione avviata dal Garante nei confronti della Regione Lombardia. Le violazioni rilevate sono state numerose e rilevanti:

  1. Raccolta e conservazione dei log di navigazione per 12 mesi senza un accordo sindacale, come richiesto dallo Statuto dei lavoratori.
  2. Conservazione dei metadati di posta elettronica per 90 giorni, anche in questo caso senza le dovute garanzie contrattuali e sindacali.
  3. Trattamento di dati potenzialmente non pertinenti all’attività lavorativa, con rischio di sconfinamento nella sfera privata.
  4. Mancanza iniziale di una valutazione d’impatto (DPIA) sul trattamento di questi dati.
  5. Possibilità di ricostruire l’identità del dipendente incrociando dati custoditi da diversi fornitori.

Nonostante l’adozione di misure tecniche per tenere separati i dati (come la conservazione dei log presso soggetti diversi), il Garante ha ritenuto il sistema ancora troppo invasivo e potenzialmente lesivo della riservatezza individuale.

Le misure correttive obbligatorie

Oltre alla sanzione amministrativa, il Garante ha ordinato l’adozione di misure correttive vincolanti:

  • Anonimizzazione dei dati relativi ai tentativi falliti di accesso a siti presenti nella black list.
  • Cifratura dei nomi dei dipendenti assegnatari dei dispositivi utilizzati.
  • Riduzione del periodo di conservazione di log e metadati.
  • Obbligo di stipula di accordi collettivi con le rappresentanze sindacali, come previsto dall’art. 4 dello Statuto dei lavoratori.
  • Aggiornamento dei regolamenti interni e delle informative privacy, coerentemente con la normativa GDPR.

In precedenza, il Garante privacy si è pronunciato più volte sui limiti del controllo dei dipendenti su web e e-mail.

I metadati delle e-mail sono dati personali

Nel corso dell’istruttoria, il Garante ha ribadito un concetto chiave: i metadati delle e-mail, anche se non contengono il testo del messaggio, possono rivelare molto. Informazioni su orari, destinatari, frequenza dei contatti e oggetto dei messaggi possono essere utilizzate per profilare comportamenti e relazioni del dipendente.

Sono quindi dati personali a tutti gli effetti, e il loro trattamento non può essere lasciato al caso.

Controlli aziendali e privacy: cosa dice la legge

Secondo il Regolamento GDPR e l’articolo 4 dello Statuto dei lavoratori, un controllo che possa anche solo indirettamente riguardare l’attività del lavoratore deve essere giustificato da finalità organizzative, produttive, di sicurezza o di tutela del patrimonio, e può essere attivato solo:

  • Con un accordo sindacale, oppure
  • Con un’autorizzazione dell’Ispettorato del Lavoro.

Il principio è chiaro: nessun controllo “invisibile” o pretestuoso è lecito, nemmeno se il datore di lavoro dichiara che serve solo a “garantire la sicurezza IT”.

Cosa devono fare le aziende per essere in regola

  1. Stipulare accordi sindacali preventivi se si raccolgono log o metadati.
  2. Limitare al minimo indispensabile la durata della conservazione dei dati (il Garante consiglia 21 giorni per i metadati e-mail, salvo eccezioni motivate).
  3. Effettuare una valutazione d’impatto sulla privacy (DPIA) prima di avviare trattamenti sistematici di dati digitali dei dipendenti.
  4. Evitare controlli occulti e mantenere sempre trasparenza con i lavoratori, attraverso informative dettagliate.
  5. Proteggere i dati raccolti con misure tecniche come la cifratura, la disgiunzione tra identità e attività, e accessi profilati.

La tutela della privacy non deve rappresentare un ostacolo, ma una garanzia. Il provvedimento contro la Regione Lombardia ci ricorda che anche nell’era del lavoro agile e della posta elettronica “cloud”, non si può rinunciare al rispetto dei diritti dei lavoratori.

Non basta raccogliere meno dati: serve farlo nel modo giusto, con regole chiare, trasparenza e responsabilità. Per chi desiderasse approfondire nel dettaglio le motivazioni giuridiche e le valutazioni del Garante, è disponibile il Provvedimento completo del 29 aprile 2025, che ha portato alla sanzione nei confronti della Regione Lombardia. Il documento offre un’analisi chiara delle norme violate, delle prassi non conformi e delle indicazioni operative da seguire.

12 Giugno 2025
Relazioni industriali e affari sociali