“Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia” (Provvedimento n. 243 del 29 aprile 2025).
Come si legge sul sito istituzionale dell’Autorità, il provvedimento giunge al termine di un ciclo ispettivo volto a verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti. Tale provvedimento avviene a quasi un anno di distanza dalla pubblicazione del documento di indirizzo sulla conservazione di questi dati dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento n. 364 del 6 giugno 2024).
Sebbene la vicenda abbia riguardato nello specifico una pubblica amministrazione, vale la pena chiarire che tutto quanto emerso, rilevato e chiarito dall’Autorità è pienamente applicabile anche ai titolari del trattamento operanti nel settore privato.
Con il termine “metadati” si devono intendere le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I log di navigazione in Internet permettono, invece, di tenere traccia delle attività svolte durante la navigazione web e contengono informazioni come, ad esempio, indirizzi IP visitati, URL delle pagine web aperte, orari e durata della connessione, tipo di dispositivo e browser utilizzato, eventuali download o upload effettuati.
Il Provvedimento di indirizzo del 6 giugno 2024, chiarisce che il periodo massimo di conservazione di questi dati è di 21 giorni. L’eventuale conservazione per un tempo più ampio può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, è richiesto il soddisfacimento di una delle condizioni di garanzia previste nel nostro ordinamento dall’articolo 4, L. 300/1970: (i) accordo con le rappresentanze sindacali o, in mancanza, (ii) l’autorizzazione dell’Ispettorato territoriale del lavoro.
Ciò in quanto tutte queste informazioni consentono al datore di lavoro di individuare modelli comportamento, di conoscere le relazioni e le abitudini dei lavoratori ma anche di dedurre elementi come il rendimento e la produttività. In altre parole, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori.
Con l’ispezione effettuata dall’Autorità, è emerso che la Regione conservava:
Altri insights correlati:
“Anche spazi esterni, dove occasionalmente o saltuariamente si svolge l’attività lavorativa, vanno considerati “luoghi di lavoro””. Lo ha chiarito il TAR della Toscana accogliendo il ricorso proposto da una società con la quale chiedeva l’annullamento del provvedimento di diniego emesso dall’Ispettorato del Lavoro territorialmente competente in riscontro all’istanza della ricorrente per l’istallazione di impianti audiovisivi presso lo stabilimento aziendale.
La vicenda trae origine dalla richiesta presentata da una società all’ITL competente che – come previsto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70) – si rivolgeva alla Pubblica Amministrazione a seguito del mancato raggiungimento di un accordo con le rappresentanze sindacali aziendali. Nello specifico, la richiesta dell’azienda esponeva che, nonostante la presenza di un impianto di videosorveglianza da tempo installato lungo il perimetro del compendio aziendale, ancora si palesava l’esigenza di installare ulteriori 9 telecamere, da posizionare in una zona periferica dell’impianto industriale, per monitorare il corretto smaltimento dei rifiuti presso le apposite aree di scarico – che vedevano anche la presenza di soggetti esterni all’organigramma aziendale – così da prevenire rischi per la sicurezza dei lavoratori, di incendi e di danni ambientali, oltre che per la tutela del patrimonio aziendale.
Il rigetto dell’Ispettorato si fondava sull’inquadramento delle aree coinvolte come luoghi di lavoro e sulla sproporzione della misura, ritenuta non idonea rispetto ai rischi rappresentati.
Il Collegio ha ritenuto fondato il ricorso presentato dall’azienda per le seguenti ragioni:
Altri insights correlati:
Con la sentenza del 19 dicembre 2024, causa C‑65/23, la Corte di Giustizia dell’Unione Europea ha stabilito che (i) le disposizioni dei contratti collettivi nazionali di lavoro devono rispettare le norme in materia di protezione dei dati personali e che (ii) “qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo […] non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni […]”.
La vicenda trae origine da un ricorso presentato da un lavoratore tedesco, il quale sosteneva che la società, sua datrice di lavoro, trattasse illegittimamente i suoi dati personali. Nello specifico, la società utilizzava un software SAP per finalità contabili e i dati in esso inseriti venivano trasferiti all’interno di un server situato negli Stati Uniti d’America. La società si difendeva affermando che il trattamento di dati personali effettuato fosse legittimo in quanto conforme alle disposizioni del contratto collettivo nazionale applicato in azienda.
Il lavoratore adiva quindi i giudici nazionali territorialmente competenti presentando domande dirette a ottenere: (i) l’accesso ai suoi dati personali; (ii) la cancellazione di dati che lo riguardavano nonché (iii) il riconoscimento di un risarcimento.
I giudici nazionali tedeschi chiamati a decidere sul caso di specie hanno sollevato delle questioni sulla portata dell’applicabilità dell’art. 88 del GDPR. L’art. 88 del GDPR prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.
Con la pronuncia in commento, la Corte di Giustizia ha chiarito che, quando le disposizioni di un CCNL disciplinano il trattamento dei dati personali nei luoghi di lavoro, le stesse devono rispettare i principi fondamentali del GDPR. L’effetto deve essere quello di vincolare i suoi destinatari (datori di lavoro e associazioni sindacali) a garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento, dei requisiti per un consenso lecito e delle norme sul trattamento di categorie particolari di dati personali.
Ciò comporta che se un giudice dovesse accertare che le disposizioni di un contratto collettivo che disciplinano uno o più trattamenti di dati personali nei luoghi di lavoro violano le condizioni e i limiti prescritti dalla normativa di settore applicabile, allora sarebbe tenuto a disapplicare le disposizioni non conformi senza che il margine di discrezionalità di cui dispongono le parti di tale contratto nel determinare il carattere «necessario» di un trattamento di dati personali impedisca all’autorità giudiziale di esercitare un controllo giurisdizionale completo al riguardo.
Altri insights correlati:
Allerta sul rischio di frodi legate all’aggiornamento delle coordinate bancarie del dipendente
In un mondo del lavoro oramai digitale, il rischio di subire truffe connesse al ricevimento di e-mail fraudolente sta diventando una minaccia sempre più crescente per le aziende. Una delle modalità di azione più ingannevoli e difficili da individuare riguarda la apparente richiesta, da parte di un dipendente dell’organizzazione aziendale, di aggiornamento delle proprie coordinate bancarie sulle quali viene accreditato lo stipendio. Spesso, queste richieste vengono formulate attraverso comunicazioni che sembrano veritiere ma lo sono solo in apparenza. In realtà, rientrano in un più ampio disegno criminale finalizzato a sottrarre denaro e a compromettere la sicurezza informatica dell’azienda target.
Le truffe connesse all’aggiornamento delle coordinate bancarie, note anche con la definizione di “Business Email Compromise” (BEC), rappresentano una delle forme di attacco informatico più insidiose. Gli autori dell’illecito creano una finta casella di posta elettronica aziendale di un dipendente, o hackerano direttamente la sua casella mail aziendale, e inviano comunicazioni falsificate che, ad una prima lettura, sembrano realmente essere state predisposte dal dipendente (vittima assieme all’azienda). Le finte comunicazioni vengono inviate agli uffici delle Risorse Umane o agli HR Manager informandoli della modifica delle coordinate bancarie. Riportando i nuovi estremi di conto, ovviamente controllate dai truffatori, si richiede che su di essi siano accreditati i prossimi stipendi.
Premesso che il modus operandi può variare anche affinandosi nel tempo, in linea generale, i passaggi comuni sono i seguenti.
Continua a leggere la versione integrale pubblicata su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.
L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Foodinho S.r.l., società del gruppo Glovo, al pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale.
A seguito di una complessa istruttoria avviata d’ufficio dall’Autorità, è emerso che la società, già sanzionata nel 2021 per trattamenti illeciti e violazioni delle disposizioni previste dalla normativa privacy, effettuava “numerose e gravi violazioni” del GDPR.
Tra le altre, infatti, la società:
Altri insights correlati: