Close Menu

Lavoro e Diritti risponde gratuitamente ai tuoi dubbi su: lavoro, pensioni, fisco, welfare.

Iscriviti
Iscriviti

Controllo dei dipendenti, cosa può fare il datore di lavoro su email e navigazione internet

Privacy e lavoro: controllare email e siti consultati dai dipendenti
5 Mins Read

Il Garante Privacy sanziona la Regione Lombardia: cosa è lecito monitorare su email e navigazione dei dipendenti? Regole, limiti e obblighi.

>> Entra nel Canale WhatsApp di Lavoro e Diritti
Controlli su email e web dipendenti

Il Garante Privacy ha recentemente multato la Regione Lombardia per 50.000 euro. Il motivo? Una gestione non conforme dei dati dei propri dipendenti, in particolare quelli legati alla navigazione su internet e ai metadati delle email. Un caso che fa scuola e offre spunti fondamentali per tutte le aziende e gli enti pubblici che trattano dati in ambito lavorativo.

Vediamo cosa ha stabilito il Garante, perché è importante per lavoratori e datori di lavoro, e cosa si deve fare per restare nella legalità.

Il controllo sulla navigazione web e sui metadati email è legale?

Sì, ma solo a determinate condizioni. Questo è il cuore del provvedimento del Garante. Il datore di lavoro può monitorare l’uso degli strumenti digitali aziendali, ma deve rispettare norme precise, che tutelano i diritti fondamentali dei lavoratori.

Due sono i tipi di dati al centro dell’attenzione:

  • Log di navigazione Internet: ovvero i registri dei siti visitati, comprese le informazioni su accessi a siti bloccati.
  • Metadati delle email: dati esterni al contenuto delle email, come orari di invio, destinatari, mittenti, oggetto e dimensione dei messaggi.

Queste informazioni, pur non rivelando direttamente il contenuto, possono essere utilizzate per tracciare il comportamento dei dipendenti, con un impatto serio sulla loro privacy.

Regione Lombardia: cosa ha sbagliato secondo il Garante Privacy

Il provvedimento, pubblicato il 29 aprile 2025, è il risultato di un’ispezione avviata dal Garante nei confronti della Regione Lombardia. Le violazioni rilevate sono state numerose e rilevanti:

  1. Raccolta e conservazione dei log di navigazione per 12 mesi senza un accordo sindacale, come richiesto dallo Statuto dei lavoratori.
  2. Conservazione dei metadati di posta elettronica per 90 giorni, anche in questo caso senza le dovute garanzie contrattuali e sindacali.
  3. Trattamento di dati potenzialmente non pertinenti all’attività lavorativa, con rischio di sconfinamento nella sfera privata.
  4. Mancanza iniziale di una valutazione d’impatto (DPIA) sul trattamento di questi dati.
  5. Possibilità di ricostruire l’identità del dipendente incrociando dati custoditi da diversi fornitori.

Nonostante l’adozione di misure tecniche per tenere separati i dati (come la conservazione dei log presso soggetti diversi), il Garante ha ritenuto il sistema ancora troppo invasivo e potenzialmente lesivo della riservatezza individuale.

Cosa ha imposto il Garante? Le misure correttive obbligatorie

Oltre alla sanzione amministrativa, il Garante ha ordinato l’adozione di misure correttive vincolanti:

  • Anonimizzazione dei dati relativi ai tentativi falliti di accesso a siti presenti nella black list.
  • Cifratura dei nomi dei dipendenti assegnatari dei dispositivi utilizzati.
  • Riduzione del periodo di conservazione di log e metadati.
  • Obbligo di stipula di accordi collettivi con le rappresentanze sindacali, come previsto dall’art. 4 dello Statuto dei lavoratori.
  • Aggiornamento dei regolamenti interni e delle informative privacy, coerentemente con la normativa GDPR.

In precedenza il Garante privacy si è pronunciato più volte sui limiti del controllo dei dipendenti su web e email, trovi le precedenti pronunce qui e qui, fornendo anche delle linee guida sulla gestione delle email aziendali.

I metadati delle email sono dati personali: ecco perché

Nel corso dell’istruttoria, il Garante ha ribadito un concetto chiave: i metadati delle email, anche se non contengono il testo del messaggio, possono rivelare molto. Informazioni su orari, destinatari, frequenza dei contatti e oggetto dei messaggi possono essere utilizzate per profilare comportamenti e relazioni del dipendente.

Sono quindi dati personali a tutti gli effetti, e il loro trattamento non può essere lasciato al caso.

Controlli aziendali e privacy: cosa dice la legge?

Secondo il Regolamento GDPR e l’articolo 4 dello Statuto dei lavoratori, un controllo che possa anche solo indirettamente riguardare l’attività del lavoratore deve essere giustificato da finalità organizzative, produttive, di sicurezza o di tutela del patrimonio, e può essere attivato solo:

  • Con un accordo sindacale, oppure
  • Con un’autorizzazione dell’Ispettorato del Lavoro.

Il principio è chiaro: nessun controllo “invisibile” o pretestuoso è lecito, nemmeno se il datore di lavoro dichiara che serve solo a “garantire la sicurezza IT”.

Leggi anche: Videosorveglianza dei lavoratori, nuove indicazioni dell’Ispettorato del Lavoro

Cosa devono fare le aziende per essere in regola?

Ecco un piccolo vademecum utile per aziende, pubbliche amministrazioni e uffici HR:

  1. Stipulare accordi sindacali preventivi se si raccolgono log o metadati.
  2. Limitare al minimo indispensabile la durata della conservazione dei dati (il Garante consiglia 21 giorni per i metadati email, salvo eccezioni motivate).
  3. Effettuare una valutazione d’impatto sulla privacy (DPIA) prima di avviare trattamenti sistematici di dati digitali dei dipendenti.
  4. Evitare controlli occulti e mantenere sempre trasparenza con i lavoratori, attraverso informative dettagliate.
  5. Proteggere i dati raccolti con misure tecniche come la cifratura, la disgiunzione tra identità e attività, e accessi profilati.

Email dipendenti privacy

La tecnologia cambia, ma i diritti restano

In un mondo del lavoro sempre più digitale, la tutela della privacy non è un ostacolo, ma una garanzia. Il provvedimento contro la Regione Lombardia ci ricorda che anche nell’era del lavoro agile, delle VPN e della posta elettronica “cloud”, non si può rinunciare al rispetto dei diritti dei lavoratori.

Non basta raccogliere meno dati: serve farlo nel modo giusto, con regole chiare, trasparenza e responsabilità.

Hai dubbi sui controlli digitali sul lavoro?

Se sei un lavoratore e vuoi sapere se il tuo datore di lavoro è in regola, puoi rivolgerti al tuo rappresentante sindacale o al DPO aziendale.

Se sei un datore di lavoro o un responsabile IT e non sei sicuro di essere conforme alla normativa, è il momento giusto per fare una verifica, magari rivedendo policy, contratti e informative alla luce di questo importante precedente.

Parliamone nei commenti: hai mai avuto dubbi sulla tua privacy al lavoro? Condividi la tua esperienza!

Allegato (Garante Privacy, provvedimento numero 10134221 del 29 aprile 2025)

Per chi desidera approfondire nel dettaglio le motivazioni giuridiche e le valutazioni del Garante, è disponibile il Provvedimento completo del 29 aprile 2025, che ha portato alla sanzione nei confronti della Regione Lombardia. Il documento offre un’analisi chiara delle norme violate, delle prassi non conformi e delle indicazioni operative da seguire.

  Garante Privacy, provvedimento numero 10134221 del 29 aprile 2025 (95,5 KiB, 57 hits)

Potrebbe interessarti:

Logo Lavoro e Diritti Bianco
© 2025 Lavoro e Diritti
Testata giornalistica registrata al Tribunale di Larino al n° 511 del 4 agosto 2018
P. IVA 01669200709