Il datore di lavoro può raccogliere i log di navigazione su internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie.

Vediamo come procedere.

Definizioni

  • I metadati delle e-mail sono le informazioni esterne ai contenuti delle mail: mittente, destinatario, orario, oggetto e dimensione del messaggio. Anche senza leggere il testo della mail, questi dati dicono molto di chi scrive e a chi.
  • I log di navigazione sono le tracce lasciate dalla navigazione in rete: gli indirizzi dei siti visitati, gli orari di connessione, i tentativi falliti di accesso ai siti bloccati già censiti all’interno di una apposita black list.

Può il datore di lavoro raccogliere informazioni sui siti web visitati dal proprio dipendente e sulle sue e-mail?

Nel contesto lavorativo il trattamento dei metadati deve essere conforme non solo ai principi del GDPR, ma anche alla normativa del diritto del lavoro, in particolare all’articolo 4 della legge n. 300/1970 (Statuto dei lavoratori), che disciplina il monitoraggio dei dipendenti.

In particolare, l’articolo 114 del Codice Privacy fa esplicito riferimento allo Statuto dei lavoratori, collegando le tutele del diritto del lavoro al regime di protezione dei dati. Pertanto, la violazione dell’articolo 4 dello Statuto dei lavoratori può comportare una violazione automatica della normativa sulla protezione dei dati.

Tuttavia, possono sussistere esigenze legate soprattutto alla sicurezza informatica e all’efficienza operativa del datore di lavoro che, indirettamente, possono riflettersi sull’attività lavorativa del personale.Ad esempio, l’esigenza della sicurezza della rete e prevenzione di attacchi informatici

Il caso del Garante sul trattamento dei metadati dei dipendenti in Italia

Il Garante è recentemente intervenuto, con il provvedimento 29 aprile 2025, doc. web n. 10134221, a seguito di un’ispezione d’ufficio nei confronti della Regione Lombardia.

La Regione Lombardia conservava:

  • Metadati delle e-mail per un massimo di 90 giorni;
  • registri di navigazione web per 12 mesi;
  • dati dei registri dell’helpdesk (contenenti gli identificativi dei dipendenti e la cronologia dei ticket) per quasi 10 anni.

Questi periodi di conservazione superavano di gran lunga quelli ritenuti proporzionati dalle Linee guida, soprattutto in assenza di un accordo sindacale o di un’autorizzazione dell’autorità del lavoro (previsto dall’art. 4, comma 1, dello Statuto dei Lavoratori). Inoltre, mancava:

  • una base giuridica valida per la conservazione dei metadati per periodi prolungati;
  • una valutazione d’impatto sulla protezione dei dati (DPIA);
  • una corretta informativa ai dipendenti;
  • i contratti con i fornitori di servizi informatici non erano stati aggiornati in conformità con i requisiti vigenti.

Inoltre, il datore di lavoro aveva stipulato un accordo sindacale solo dopo l’inizio dell’ispezione. Il Garante ha chiarito che tale accordo non può giustificare retroattivamente il trattamento dei dati effettuato in passato.

Sanzioni

Alla luce di quanto sopra, il Garante ha inflitto alla Regione Lombardia una sanzione di 50.000 euro.

Cosa serve ai datori di lavoro per essere in regola

Le aziende, sia pubbliche che private, gli Enti e le Organizzazioni devono ora:

  1. Mappare e rivalutare tutte le pratiche di conservazione dei metadati relative alle comunicazioni dei dipendenti e alle finalità del trattamento dei loro dati.
  2. Allineare i periodi di conservazione alla soglia di 21 giorni o ottenere le autorizzazioni sindacali appropriate.
  3. Stipulare degli accordi sindacali, se necessario. Se i sistemi utilizzati (mail, navigazione, ticketing ecc.) permettono anche solo indirettamente un controllo dell’attività dei lavoratori, devi attivare un confronto sindacale oppure richiedere l’autorizzazione dell’Ispettorato, come previsto dall’art. 4 dello Statuto dei Lavoratori.
  4. Adottare informative trasparenti e dettagliate sull’uso dei metadati.
  5. Effettuare DPIA ogni volta che sussiste un rischio di profilazione o monitoraggio e LIA quando il trattamento dei dati si basa su un interesse legittimo.
  6. Valutare i sistemi dei fornitori: le piattaforme di posta elettronica e IT devono consentire una configurazione granulare delle impostazioni di conservazione dei metadati e deve esserci un contratto conforme all’art. 28 GDPR.

 

Potrebbero interessarti:

Utilizzo dei metadati relativi alle e-mail dei dipendenti 

Linee guida del Garante sull’utilizzo dei metadati relativi alle e-mail dei dipendenti

Tag: , ,