CONTROLLI A DISTANZA DEI LAVORATORI: IL GARANTE PRIVACY SUL TRATTAMENTO DEI LOG DI NAVIGAZIONE IN INTERNET E DEI METADATI DI POSTA ELETTRONICA

Il Garante Pricvacy ha sanzionato la Regione Lombardia per non aver osservato la disciplina in materia di controlli a distanza dei lavoratori, con riguardo specifico alla conservazione dei metadati di posta elettronica e ai log di navigazione in internet.
Una multa salata quella inflitta dal Garante Privacy alla Regione Lombardia a causa del trattamento illecito dei dati personali dei propri dipendenti. Con il provvedimento n. 243 del 29 aprile 2025, l'Autorità ha ordinato alla Regione il pagamento di 50mila euro a titolo di sanzione amministrativa pecuniaria per non aver osservato la disciplina in materia di controlli a distanza con specifico riferimento alla conservazione dei metadati generati dall'attività dei dipendenti in relazione all'utilizzo del servizio di posta elettronica e alla navigazione in internet.
Quanto al trattamento dei metadati di posta elettronica, in seguito alle indagini portate avanti dall'Autorità, è stato accertato che essi venivano conservati dalla Regione senza la preventiva stipulazione di un accordo collettivo con le rappresentanze sindacali e per un arco di tempo che raggiungeva complessivamente i 90 giorni per scopi di sicurezza informatica e assistenza tecnica.
Ora, come risaputo, i metadati di posta elettronica risultano assistiti da garanzie di segretezza volte ad assicurare tutela al nucleo essenziale della dignità della persona, e ciò vale anche nel contesto lavorativo. Nonostante infatti la Regione avesse dichiarato a prima battuta che la posta elettronica veniva utilizzata dai dipendenti per rendere la prestazione lavorativa, dal quadro
normativo vigente emerge che, tra gli strumenti utilizzati dal lavoratore a tal fine, essa non vi rientra.
L'attività di controllo a distanza dei lavoratori può dirsi lecita, ai sensi dell'art. 4 L. n. 300/1970, solo laddove la raccolta e conservazione dei soli metadati necessari a garantire il funzionamento delle infrastrutture del sistema di posta elettronica e il soddisfacimento delle garanzie essenziali di sicurezza informatica, al netto di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si protragga per un periodo limitato di tempo comunque non superiore a 21 giorni, salvo che il titolare comprovi la ricorrenza di circostanze particolari che abbiano reso necessaria una estensione temporale.
Quindi, la raccolta generalizzata e la conservazione dei metadati di posta elettronica per un lasso di tempo superiore richiede l'esperimento delle garanzie previste dal comma 1 dell'art. 4 cit., posto che ciò potrebbe comportare un controllo indiretto a distanza dell'attività dei lavoratori.
Con riferimento, invece, al trattamento dei log di navigazione in internet, consistenti in informazioni riguardanti i siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso a siti già censiti nell'ambito di un'apposita black list, anch'essi venivano raccolti e conservati dalla Regione senza la previa stipulazione di un accordo collettivo con le rappresentanze sindacali. Tale raccolta sistematica dei dati, però, comporta la possibilità di ricostruire l'attività dei dipendenti attraverso l'impiego di sistemi tecnologici, e di conseguenza, anche in tal caso è richiesto il rispetto delle garanzie racchiuse nell'art. 4, comma 1, L. n. 300/1970, quale condizione di liceità del trattamento dei dati stessi. La linea di confine tra l'ambito lavorativo e quello strettamente privato diventa inevitabilmente poco marcato in questo caso, e quindi sussiste ancor di più una legittima aspettativa di riservatezza, poiché l'esigenza di ridurre il rischio di un utilizzo improprio da parte dei dipendenti della navigazione in internet non può da sola giustificare ogni forma di interferenza nella loro vita privata.
Ciò detto, nel caso in esame la Regione Lombardia, pur avendo predisposto alcune misure a livello tecnico e organizzativo, ha adottato un sistema che consentiva la tracciatura delle connessioni e dei collegamenti ai siti internet visitati dai dipendenti, la memorizzazione dei dati e la loro conservazione per 365 giorni, trattando informazioni anche estranee all'attività professionale.
Accanto alla sanzione amministrativa di 50mila euro, il Garante Privacy ha quindi ingiunto alla Regione l'adozione di alcune misure correttive volte a garantire che l'effettiva possibilità di risalire all'identità del singolo lavoratore che abbia effettuato la navigazione in internet risulti in concreto improbabile. Insieme, alcune misure supplementari, come l'anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black list di cui si parlava sopra e la riduzione a 90 giorni del termine di conservazione di detti log di navigazione, ferma restando la possibilità di prolungare il periodo previa anonimizzazione dei medesimi.