Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia” (Provvedimento n. 243 del 29 aprile 2025).

Come si legge sul sito istituzionale dell’Autorità, il provvedimento giunge al termine di un ciclo ispettivo volto a verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti. Tale provvedimento avviene a quasi un anno di distanza dalla pubblicazione del documento di indirizzo sulla conservazione di questi dati dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento n. 364 del 6 giugno 2024).

Sebbene la vicenda abbia riguardato nello specifico una pubblica amministrazione, vale la pena chiarire che tutto quanto emerso, rilevato e chiarito dall’Autorità è pienamente applicabile anche ai titolari del trattamento operanti nel settore privato.

I metadati e i log di navigazione in Internet

Con il termine “metadati” si devono intendere le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I log di navigazione in Internet permettono, invece, di tenere traccia delle attività svolte durante la navigazione web e contengono informazioni come, ad esempio, indirizzi IP visitati, URL delle pagine web aperte, orari e durata della connessione, tipo di dispositivo e browser utilizzato, eventuali download o upload effettuati.

Il Provvedimento di indirizzo del 6 giugno 2024, chiarisce che il periodo massimo di conservazione di questi dati è di 21 giorni. L’eventuale conservazione per un tempo più ampio può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, è richiesto il soddisfacimento di una delle condizioni di garanzia previste nel nostro ordinamento dall’articolo 4, L. 300/1970: (i) accordo con le rappresentanze sindacali o, in mancanza, (ii) l’autorizzazione dell’Ispettorato territoriale del lavoro.

Ciò in quanto tutte queste informazioni consentono al datore di lavoro di individuare modelli comportamento, di conoscere le relazioni e le abitudini dei lavoratori ma anche di dedurre elementi come il rendimento e la produttività. In altre parole, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori.

Le violazioni riscontrate e le sanzioni

Con l’ispezione effettuata dall’Autorità, è emerso che la Regione conservava:

  • i metadati delle e-mail per 90 giorni – violazione che ha comportato l’erogazione di una sanzione di euro 20.000 per trattamento illecito dei dati;
  • i log di navigazione in Internet per 12 mesi – violazione che ha comportato l’erogazione di una sanzione di euro 25.000;
  • i dati dei registri dei ticket dell’help desk per 10 anni – violazione che ha comportato l’erogazione di una sanzione di euro 5.000.

Quali azioni adottare per garantire la conformità alla normativa vigente?

  • Fornire una informativa a tutti i soggetti interessati.
  • Effettuare una valutazione del legittimo interesse ed una valutazione d’impatto sulla protezione dei dati per valutare e mitigare i rischi.
  • Definire tempi di conservazione in linea con la normativa vigente e con le indicazioni dell’Autorità o, in caso di specifiche esigenze che in ogni caso devono essere motivate e dimostrate, esperire una delle condizioni di garanzia previste dall’articolo 4 dello Statuto dei Lavoratori.
  • Aggiornare ed adeguare la documentazione interna.
  • Limitare l’accesso a tali dati solo a personale esclusivamente e specificatamente autorizzato.
  • Rispettare il principio di limitazione e prevedere adeguate misure di sicurezza, come ad esempio la crittografia dei metadati e dei log.
  • Aggiornare i contratti con i fornitori terzi per garantire il rispetto delle previsioni di cui all’articolo 28 del GDPR.
  • Monitorare nel tempo il livello di conformità e, all’occorrenza, prevedere adeguate misure di aggiornamento e integrazione.

Altri insights correlati:

Anche spazi esterni, dove occasionalmente o saltuariamente si svolge l’attività lavorativa, vanno considerati “luoghi di lavoro””. Lo ha chiarito il TAR della Toscana accogliendo il ricorso proposto da una società con la quale chiedeva l’annullamento del provvedimento di diniego emesso dall’Ispettorato del Lavoro territorialmente competente in riscontro all’istanza della ricorrente per l’istallazione di impianti audiovisivi presso lo stabilimento aziendale. 

La vicenda

La vicenda trae origine dalla richiesta presentata da una società all’ITL competente che – come previsto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70) – si rivolgeva alla Pubblica Amministrazione a seguito del mancato raggiungimento di un accordo con le rappresentanze sindacali aziendali. Nello specifico, la richiesta dell’azienda esponeva che, nonostante la presenza di un impianto di videosorveglianza da tempo installato lungo il perimetro del compendio aziendale, ancora si palesava l’esigenza di installare ulteriori 9 telecamere, da posizionare in una zona periferica dell’impianto industriale, per monitorare il corretto smaltimento dei rifiuti presso le apposite aree di scarico – che vedevano anche la presenza di soggetti esterni all’organigramma aziendale – così da prevenire rischi per la sicurezza dei lavoratori, di incendi e di danni ambientali, oltre che per la tutela del patrimonio aziendale.

Il rigetto dell’Ispettorato si fondava sull’inquadramento delle aree coinvolte come luoghi di lavoro e sulla sproporzione della misura, ritenuta non idonea rispetto ai rischi rappresentati.

La posizione del Tribunale

Il Collegio ha ritenuto fondato il ricorso presentato dall’azienda per le seguenti ragioni:

  • dagli atti emerge che le zone in cui l’azienda vorrebbe installare le 9 videocamere e per le quali chiedeva l’autorizzazione all’Ispettorato sono prevalentemente frequentate da ditte esterne e solo occasionalmente possono essere presenti i dipendenti (al momento del disimpegno di alcune mansioni);
  • anche spazi esterni, dove occasionalmente o saltuariamente si svolge l’attività lavorativa, vanno considerati “luoghi di lavoro”;
  • ma tale circostanza non è da sola sufficiente a sostenere il diniego, valendo in proposito il citato orientamento secondo cui il lavoratore non viene controllato direttamente, ma solo investito dal raggio d’azione della telecamera (Cass. Civ. n. 3045/2025 cit.), non essendo stato accertato dall’Ispettorato, per quanto emerge dagli atti di causa, che i luoghi interessati siano abitualmente frequentati dai dipendenti; ma anzi, per quanto emerge dai documenti allegati dalla ricorrente, tali spazi sono prevalentemente utilizzati da ditte esterne e solo occasionalmente da pochi dipendenti;
  • non risulta che l’Ispettorato abbia ponderato le rappresentate esigenze aziendali, che vanno dal fine di assicurare maggiore sicurezza, anche ambientale, a quello di preservare l’integrità e il decoro del patrimonio aziendale;
  • non è stato considerato che la riservatezza del dipendente è minore negli spazi di lavoro dove vi sono sovrapposizioni con soggetti esterni all’organigramma aziendale (v. Cass. Civ. n. 3045/2025 cit.) e ha altresì obliterato il più ridotto arco temporale (di 72 ore) di archiviazione dei dati registrabili dalle 9 nuove telecamere, a fronte del più lungo tempo (di 96 ore) di archiviazione delle registrazioni dell’impianto già esistente e autorizzato.

Altri insights correlati:

Con la sentenza del 19 dicembre 2024, causa C‑65/23, la Corte di Giustizia dell’Unione Europea ha stabilito che (i) le disposizioni dei contratti collettivi nazionali di lavoro devono rispettare le norme in materia di protezione dei dati personali e che (ii) “qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo […] non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni […]”.

La vicenda

La vicenda trae origine da un ricorso presentato da un lavoratore tedesco, il quale sosteneva che la società, sua datrice di lavoro, trattasse illegittimamente i suoi dati personali. Nello specifico, la società utilizzava un software SAP per finalità contabili e i dati in esso inseriti venivano trasferiti all’interno di un server situato negli Stati Uniti d’America. La società si difendeva affermando che il trattamento di dati personali effettuato fosse legittimo in quanto conforme alle disposizioni del contratto collettivo nazionale applicato in azienda.

Il lavoratore adiva quindi i giudici nazionali territorialmente competenti presentando domande dirette a ottenere: (i) l’accesso ai suoi dati personali; (ii) la cancellazione di dati che lo riguardavano nonché (iii) il riconoscimento di un risarcimento.

I giudici nazionali tedeschi chiamati a decidere sul caso di specie hanno sollevato delle questioni sulla portata dell’applicabilità dell’art. 88 del GDPR. L’art. 88 del GDPR prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.

I contratti collettivi possono dunque determinare le regole sul trattamento dei dati anche derogando le disposizioni del GDPR o devono rispettarle integralmente?

Con la pronuncia in commento, la Corte di Giustizia ha chiarito che, quando le disposizioni di un CCNL disciplinano il trattamento dei dati personali nei luoghi di lavoro, le stesse devono rispettare i principi fondamentali del GDPR. L’effetto deve essere quello di vincolare i suoi destinatari (datori di lavoro e associazioni sindacali) a garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento, dei requisiti per un consenso lecito e delle norme sul trattamento di categorie particolari di dati personali.

Ciò comporta che se un giudice dovesse accertare che le disposizioni di un contratto collettivo che disciplinano uno o più trattamenti di dati personali nei luoghi di lavoro violano le condizioni e i limiti prescritti dalla normativa di settore applicabile, allora sarebbe tenuto a disapplicare le disposizioni non conformi senza che il margine di discrezionalità di cui dispongono le parti di tale contratto nel determinare il carattere «necessario» di un trattamento di dati personali impedisca all’autorità giudiziale di esercitare un controllo giurisdizionale completo al riguardo.

Altri insights correlati:

Allerta sul rischio di frodi legate all’aggiornamento delle coordinate bancarie del dipendente

In un mondo del lavoro oramai digitale, il rischio di subire truffe connesse al ricevimento di e-mail fraudolente sta diventando una minaccia sempre più crescente per le aziende. Una delle modalità di azione più ingannevoli e difficili da individuare riguarda la apparente richiesta, da parte di un dipendente dell’organizzazione aziendale, di aggiornamento delle proprie coordinate bancarie sulle quali viene accreditato lo stipendio. Spesso, queste richieste vengono formulate attraverso comunicazioni che sembrano veritiere ma lo sono solo in apparenza. In realtà, rientrano in un più ampio disegno criminale finalizzato a sottrarre denaro e a compromettere la sicurezza informatica dell’azienda target.

Di cosa si tratta

Le truffe connesse all’aggiornamento delle coordinate bancarie, note anche con la definizione di “Business Email Compromise” (BEC), rappresentano una delle forme di attacco informatico più insidiose. Gli autori dell’illecito creano una finta casella di posta elettronica aziendale di un dipendente, o hackerano direttamente la sua casella mail aziendale, e inviano comunicazioni falsificate che, ad una prima lettura, sembrano realmente essere state predisposte dal dipendente (vittima assieme all’azienda). Le finte comunicazioni vengono inviate agli uffici delle Risorse Umane o agli HR Manager informandoli della modifica delle coordinate bancarie. Riportando i nuovi estremi di conto, ovviamente controllate dai truffatori, si richiede che su di essi siano accreditati i prossimi stipendi.

Come avviene la truffa

Premesso che il modus operandi può variare anche affinandosi nel tempo, in linea generale, i passaggi comuni sono i seguenti.

  • Raccolta delle informazioni. I truffatori si inseriscono silentemente nelle comunicazioni aziendali, solitamente tramite attacchi di phishing che permettono loro di raccogliere informazioni come indirizzi e-mail, dettagli sui dipendenti oppure modalità di scrittura delle mail.
  •  Creazione della e-mail fraudolenta. Utilizzando le informazioni raccolte, i truffatori predispongono una e-mail che sembra realmente provenire dal dipendente dell’organizzazione individuato. La mail potrebbe essere impostata come “urgente”, richiedendo la modifica delle coordinate bancarie per “motivi amministrativi” o a causa di un “errore”. Accade che vengano inclusi dettagli personali del dipendente per rendere l’e-mail quanto più credibile possibile.
  •  Richiesta di aggiornamento dell’IBAN. Il contenuto della e-mail è semplice. I suoi autori chiedono esplicitamente che vengano modificati i dati bancari. Il fine è che il destinatario sia indotto a credere che si tratti di una richiesta legittima e quindi proceda, senza indugio, con l’aggiornamento dell’IBAN.
  • Elusione delle verifiche. Per evitare quanto più possibile il sorgere di eventuali dubbi o richieste di verifica da parte del destinatario, i truffatori possono utilizzare la pressione temporale, sostenendo che la modifica deve essere effettuata immediatamente per evitare interruzioni nei pagamenti o per altre ragioni urgenti.
  • Frode e trasferimento dei fondi. Una volta che gli importi vengono accreditati sul nuovo IBAN, i truffatori li trasferiscono rapidamente su conti bancari a loro favore comportando una reale difficoltà di tracciamento o recuperabilità del denaro versato.

Continua a leggere la versione integrale pubblicata su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.

L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Foodinho S.r.l., società del gruppo Glovo, al pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale.

A seguito di una complessa istruttoria avviata d’ufficio dall’Autorità, è emerso che la società, già sanzionata nel 2021 per trattamenti illeciti e violazioni delle disposizioni previste dalla normativa privacy, effettuava “numerose e gravi violazioni” del GDPR.

Tra le altre, infatti, la società:

  1. nel disattivare o bloccare l’account del rider inviava automaticamente un unico messaggio standard che però non informava il destinatario della possibilità di contestare la decisione e chiedere il ripristino dell’account;
  2. effettuava trattamenti automatizzati dei dati personali dei rider senza aver adottato le misure previste dalla normativa per l’utilizzo di sistemi automatizzati. Non era infatti prevista, per il rider, la possibilità di esercitare il diritto di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema (n.b. sul punto anche c.d. “Decreto Trasparenza”);
  3. inviava, in assenza di preventiva informativa, i dati personali dei rider, compresa la posizione geografica, a società terze. I dati di geolocalizzazione venivano raccolti e trattati anche quando il rider non prestava attività lavorative e anche quando l’app era in background ovvero non era attiva.
  4. Oltre alle numerose violazioni della normativa privacy rilevate dall’Autorità e qui parzialmente riportate, vale la pena segnalare che il Garante ha voluto sottolineare che nel caso in esame, la società “pur effettuando un’attività di sistematico controllo della prestazione lavorativa svolta dai rider, attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni), […], non si è conformata a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970, posto che non ha verificato che gli strumenti utilizzati siano riconducibili alle finalità tassativamente ammesse dall’ordinamento (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) né ha attivato la procedura di garanzia prevista in caso di sussistenza di una delle predette finalità (accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro)”.
  5. In altre parole, la società oltre ad implementare misure di sicurezza tecniche ed organizzative atte a eliminare le violazioni poste in essere e cessare i trattamenti illeciti di dati personali effettuati dovrà dotarsi di misure appropriate per adempiere anche a quanto previsto dallo Statuto dei Lavoratori in materia di controlli da distanza.

Altri insights correlati: