Il Garante privacy, nella newsletter del 30 maggio 2025, comunica una pronuncia sulla raccolta dei log di navigazione in Internet e metadati delle e-mail dei dipendenti.
Il Garante ha affermato che il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie.
Il Garante, nel provvedimento del 29 aprile 2025 precisa che in base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore. Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
In tale quadro, ai trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile – regolato da una disciplina volta a favorire l’adozione di nuove modalità di organizzazione del lavoro basate sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata – trovano applicazione le medesime basi giuridiche sopra richiamate che ricorrono tipicamente in ambito lavorativo.
Nel caso di specie, il Garante ha sanzionato regione Lombardia, in quanto dall’istruttoria è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list – senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori.
Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.
Inoltre, nessun accordo era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori, anche se ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi.
Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante ha ingiunto anche una serie di misure correttive, tra cui: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati.