I log di navigazione possono essere trattati dal datore solo con specifiche condizioni e garanzie
Sabato, 31 maggio 2025
Solo in presenza di specifiche condizioni e garanzie il datore di lavoro può raccogliere i log di navigazione in internet e i metadati delle e-mail dei dipendenti.
In tal senso si è pronunciato il Garante della Privacy, con il provvedimento n. 243 del 29 aprile 2025, per mezzo del quale ha irrogato alla Regione Lombardia, dopo aver riscontrato numerose violazioni della normativa sul trattamento dei dati personali realizzate dalla stessa, una sanzione pari a 50.000 euro.
In particolare, dall’attività istruttoria espletata dal Garante, emergeva come la Regione avesse raccolto e conservato i log di navigazione in internet dei propri dipendenti – ossia informazioni relative ai siti visitati dai lavoratori, inclusi quelli relativi ai tentativi falliti di accesso ai siti inclusi in un’apposita black list – senza aver, tuttavia, stipulato un accordo collettivo con le rappresentanze sindacali, ai sensi dell’art. 4 della L. 300/70, e aver adottato adeguate garanzie volte a tutelare i lavoratori.
Inoltre, venivano ravvisati profili di illiceità con riferimento al trattamento dei metadati di posta elettronica dei lavoratori e, sebbene la Regione avesse comunque attivato un processo di adeguamento alla normativa privacy, l’Autorità constatava come il trattamento dei dati fosse stato per lungo tempo effettuato in modo non conforme alla disciplina di settore.
Pertanto, oltre alla sanzione amministrativa menzionata, il Garante ha ingiunto alla Regione anche alcune misure correttive, quali:
- l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black list;
- la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili;
- la riduzione del termine di conservazione di tali dati.
Vietata ogni riproduzione ed estrazione ex art. 70-quater della L. 633/41
