• IT
Choose your location?
  • Global Global
  • Australian flag Australia
  • French flag France
  • German flag Germany
  • Irish flag Ireland
  • Italian flag Italy
  • Polish flag Poland
  • Qatar flag Qatar
  • Spanish flag Spain
  • UAE flag UAE
  • UK flag UK
  • IT
Choose your location?
  • Global Global
  • Australian flag Australia
  • French flag France
  • German flag Germany
  • Irish flag Ireland
  • Italian flag Italy
  • Polish flag Poland
  • Qatar flag Qatar
  • Spanish flag Spain
  • UAE flag UAE
  • UK flag UK
Back to Articles

Controlli a distanza e dati personali metadati e log di navigazione

16 June 2025

Controlli a distanza e dati personali metadati e log di navigazione

Il Garante per la protezione dei dati personali (il "Garante") ha recentemente sanzionato Regione Lombardia (Provvedimento del 29 aprile 2025 [10134221] - Garante Privacy) contestando distinte violazioni del GDPR e, segnatamente, per quel che qui rileva, sia con riferimento al trattamento dei metadati di posta elettronica dei dipendenti, sia in relazione al trattamento dei log di navigazione in internet degli stessi.

In proposito, ed in via preliminare, il Garante:

  • ha chiarito che i "trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile" sono regolati analogamente a quelli "che ricorrono tipicamente in ambito lavorativo";
  • ha ricordato che, nel contesto lavorativo, la liceità del trattamento di dati personali è subordinata, tra le altre, al rispetto dell'art. 4 del c.d. Statuto dei lavoratori e che regola il controllo a distanza dei lavoratori ad opera del datore di lavoro; ai sensi di tale previsione, salvo il caso in cui il controllo a distanza derivi dagli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, detto controllo è possibile esclusivamente (i) per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e (ii) previo accordo sindacale.

In questo contesto, il Garante ha esaminato, anzitutto, il tema dei metadati, "che corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client" e che, per quanto rileva ai fini del GDPR, "comprendono generalmente gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto".

Il Garante ha rilevato che il trattamento di detti dati ad opera del datore di lavoro può comportare un controllo a distanza dei lavoratori rilevante, dunque, ai sensi del già richiamato art. 4 dello Statuto dei lavoratori. Il Garante ha così statuito, per quanto attiene agli aspetti relativi al GDPR, che il trattamento dei metadati:

  • è lecito, anche in ossequio all'art. 4 dello Statuto dei lavoratori, in quanto strumento utilizzato per rendere la prestazione lavorativa, nel caso di "attività di raccolta e conservazione dei soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e il soddisfacimento delle più essenziali garanzie di sicurezza informatica" e a condizione che detta attività sia "effettuata, di norma, per un periodo limitato a pochi giorni, comunque non superiore ai 21 giorni", salvo il caso di comprovata ricorrenza "in concreto di particolari condizioni che ne rendano necessaria l’estensione in ragione delle specificità della propria realtà tecnica e organizzativa";
  • è illecito, in assenza delle garanzie di cui all'art. 4 dello Statuto dei lavoratori, qualora la raccolta e conservazione dei metadati sia svolta "in modo preventivo e generalizzato, per un esteso arco temporale".

Il Garante, poi, è passato ad esaminare il trattamento dei log di navigazione in internet dei dipendenti, che consistono "in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema".

In tale ambito, il Garante ha rilevato che il trattamento (i.e., la raccolta e conservazione dei predetti log) implica un controllo a distanza e ne ha quindi dedotto l'illiceità ai sensi del GDPR ove detto trattamento sia svolto in assenza delle garanzie di cui all'art. 4 dello Statuto dei lavoratori.

In aggiunta, peraltro, il Garante ha evidenziato che da tali dati potrebbero emergere informazioni circa opinioni politiche, religiose o sindacali del lavoratore, nonché relativamente a fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore, sicché il relativo trattamento sarebbe comunque vietato al datore di lavoro ai sensi dell'art. 8 dello Statuto dei lavoratori ("Divieto di indagini sulle opinioni") e, dunque, illecito ai sensi del GDPR.

Alla luce di quanto precede, è necessario procedere con una valutazione caso per caso utile a verificare il trattamento dei dati personali da parte dei sistemi informatici aziendali. Nel dettaglio, occorre:

  • controllare la corretta conservazione, con specifico riferimento alle tempistiche, dei metadati di posta elettronica dei dipendenti, assicurandosi, al contempo, che i metadati raccolti e conservati siano solo quelli strettamente necessari al funzionamento dei sistemi; diversamente, occorre attivare le garanzie di cui all'art. 4 dello Statuto dei lavoratori, ricorrendone i presupposti;
  • attivare, ricorrendone i presupposti, le garanzie di cui all'art. 4 dello Statuto dei lavoratori per il trattamento dei log di navigazione e, anzi, per scongiurare il rischio di trattare dati relativi alle opinioni politiche, religiose o sindacali del lavoratore, in violazione dell'art. 8 dello Statuto dei lavoratori, implementare sistemi di inibizione automatica di consultazione in rete, senza conservazione dei tentativi di accesso, da parte dei dipendenti, di specifici contenuti vietati dall’azienda.

In ogni caso, come pure ricordato dal Garante, per il trattamento dei metadati e dei log dei dipendenti, è necessario svolgere una preliminare valutazione d'impatto ai sensi dell'art. 35 del GDPR, tenuto conto del fatto che il trattamento dei metadati relativi all’utilizzo del servizio di posta elettronica ed il trattamento dei log relativi alla navigazione in internet comportano rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo, in considerazione sia della particolare vulnerabilità degli interessati, sia dell’impiego di sistemi che comportano il monitoraggio sistematico (da intendersi come "trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti").

Related Authors

Francesco Falco

Partner // Head of Compliance Italy

 

Related Services

Further Reading

Pastiche or plagiarism? The copyright collision in AI’s creative boom
Insights
Pastiche or plagiarism? The copyright collision in AI’s creative boom 09 Jun 2025

The pastiche exemption under UK copyright law has long remained under-explored. Yet, with the rise of generative AI, its relevance has resurfaced with new urgency. 

 
Pension Schemes Bill 2025 and confirmation of legislative solution to Virgin Media/Section 37 published
Insights
Pension Schemes Bill 2025 and confirmation of legislative solution to Virgin Media/Section 37 published 06 Jun 2025

In this special edition we report on the provisions of the Pension Schemes Bill 2025 along with the recent announcement from the DWP re the Virgin Media cases.

 
Webinar recording – Direct awards in accordance with the Procurement Act 2023
Insights
Webinar recording – Direct awards in accordance with the Procurement Act 2023 05 Jun 2025

This webinar set out the law in the 2023 Act relating to direct awards.