Il Garante ha recentemente sanzionato Regione Lombardia per avere raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie (doc.web 243 del 29 aprile 2025, https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10134221.

Dall’istruttoria del Garante è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet - consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list - senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.

In particolare il Garante ha ritenuto:

· quanto alla posta elettronica: eccessiva la conservazione dei c.d. metadati per un periodo di 90 giorni, confermando la posizione già espressa con il Documento di indirizzo del 6 giugno 2024 a mente del quale la conservazione dei metadati generati dal sistema di posta oltre il termine di 21 giorni costituisce un controllo a distanza dell’attività lavorativa e come tale condizionato all’accordo con le RSU o all’autorizzazione dell’Ispettorato del lavoro ai sensi dell’art. 4 Stat. lav.;

· quanto ai log di navigazione internet (comprensivi anche dei tentativi di accesso a siti bloccati dal sistema): eccessiva la conservazione dei log per 12 mesi, a maggior ragione vista l’originaria assenza (ancora) di un accordo ex art. 4 Stat. lav., considerato che nell’avviso del Garante un tale periodo di conservazione può consentire un’indagine sulle opinioni dei lavoratori e su fatti non rilevanti ai fini della valutazione della loro attitudine professionale, oltre che sui principi di tutela della vita privata dei dipendenti.

Interventi correttivi

Il Garante – oltre alla sottoscrizione di accordi ex art. 4 Stat. lav. ed alle altre iniziative correttive già adottate – ha invitato la regione Lombardia a porre in essere i seguenti interventi correttivi:

· l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web;

· la riduzione a 90 giorni del termine di conservazione dei log di navigazione in Internet, con possibilità di conservazione per un periodo ulteriore previa anonimizzazione degli stessi, in modo da non consentire l’identificabilità del dipendente;

· che, in presenza di anomalie di sicurezza, le attività di verifica vengano di regola svolte in un’ottica di gradualità e progressività, a livello di singole strutture organizzative e non invece a livello individuale;

· la cifratura del dato concernente i nomi dei dipendenti assegnatari della macchina;

· che il trattamento dei dati in questione venga in ogni caso effettuato da un numero strettamente limitato di persone fisiche autorizzate e a tal fine appositamente selezionate, che dovranno essere destinatarie di designazione espressa e istruzioni specifiche;

· l’aggiornamento degli accordi già stipulati ai sensi dell’art. 4 Stat. lav.