“Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia” (Provvedimento n. 243 del 29 aprile 2025).
Come si legge sul sito istituzionale dell’Autorità, il provvedimento giunge al termine di un ciclo ispettivo volto a verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti. Tale provvedimento avviene a quasi un anno di distanza dalla pubblicazione del documento di indirizzo sulla conservazione di questi dati dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento n. 364 del 6 giugno 2024).
Sebbene la vicenda abbia riguardato nello specifico una pubblica amministrazione, vale la pena chiarire che tutto quanto emerso, rilevato e chiarito dall’Autorità è pienamente applicabile anche ai titolari del trattamento operanti nel settore privato.
I metadati e i log di navigazione in Internet
Con il termine “metadati” si devono intendere le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I log di navigazione in Internet permettono, invece, di tenere traccia delle attività svolte durante la navigazione web e contengono informazioni come, ad esempio, indirizzi IP visitati, URL delle pagine web aperte, orari e durata della connessione, tipo di dispositivo e browser utilizzato, eventuali download o upload effettuati.
Il Provvedimento di indirizzo del 6 giugno 2024, chiarisce che il periodo massimo di conservazione di questi dati è di 21 giorni. L’eventuale conservazione per un tempo più ampio può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, è richiesto il soddisfacimento di una delle condizioni di garanzia previste nel nostro ordinamento dall’articolo 4, L. 300/1970: (i) accordo con le rappresentanze sindacali o, in mancanza, (ii) l’autorizzazione dell’Ispettorato territoriale del lavoro.
Ciò in quanto tutte queste informazioni consentono al datore di lavoro di individuare modelli comportamento, di conoscere le relazioni e le abitudini dei lavoratori ma anche di dedurre elementi come il rendimento e la produttività. In altre parole, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori.
Le violazioni riscontrate e le sanzioni
Con l’ispezione effettuata dall’Autorità, è emerso che la Regione conservava:
- i metadati delle e-mail per 90 giorni – violazione che ha comportato l’erogazione di una sanzione di euro 20.000 per trattamento illecito dei dati;
- i log di navigazione in Internet per 12 mesi – violazione che ha comportato l’erogazione di una sanzione di euro 25.000;
- i dati dei registri dei ticket dell’help desk per 10 anni – violazione che ha comportato l’erogazione di una sanzione di euro 5.000.
Quali azioni adottare per garantire la conformità alla normativa vigente?
- Fornire una informativa a tutti i soggetti interessati.
- Effettuare una valutazione del legittimo interesse ed una valutazione d’impatto sulla protezione dei dati per valutare e mitigare i rischi.
- Definire tempi di conservazione in linea con la normativa vigente e con le indicazioni dell’Autorità o, in caso di specifiche esigenze che in ogni caso devono essere motivate e dimostrate, esperire una delle condizioni di garanzia previste dall’articolo 4 dello Statuto dei Lavoratori.
- Aggiornare ed adeguare la documentazione interna.
- Limitare l’accesso a tali dati solo a personale esclusivamente e specificatamente autorizzato.
- Rispettare il principio di limitazione e prevedere adeguate misure di sicurezza, come ad esempio la crittografia dei metadati e dei log.
- Aggiornare i contratti con i fornitori terzi per garantire il rispetto delle previsioni di cui all’articolo 28 del GDPR.
- Monitorare nel tempo il livello di conformità e, all’occorrenza, prevedere adeguate misure di aggiornamento e integrazione.
Altri insights correlati:
- Posta elettronica aziendale e metadati: il Garante Privacy aggiorna il documento di indirizzo
- Garante Privacy: aggiornate le indicazioni sull’utilizzo dei programmi di gestione della posta elettronica aziendale e sulla conservazione dei c.d. “metadati” a seguito della consultazione pubblica avviata dalla stessa Autorità nelle settimane passate