Il Garante per la Protezione dei Dati Personali, con provvedimento del 29 aprile 2025 [10134221], all’esito di un un ciclo ispettivo per verificare l’osservanza della normativa privacy da parte della Regione Lombardia nell’ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del lavoro agile ha sanzionato la Regione per aver violato alcune previsioni normative in materia di gestione del traffico internet e della posta elettronica.
Il provvedimento è utile per fare il punto su alcune questioni, peraltro tutt’oggi oggetto di discussione tecnica e di opportunità, concernenti i predetti trattamenti.
Trattamento dei metadati di posta elettronica
Sulla base dell’istruttoria condotta, il Garante così ha ritenuto:
i metadati di posta elettronica venivano conservati dalla Regione, in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali (cfr. art. 4, comma 1, della l. 20 maggio 1970, n. 300), per un ampio periodo temporale, complessivamente pari a 90 giorni, per finalità di sicurezza informatica e assistenza tecnica nonché “allo scopo di offrire assistenza agli utenti nel momento in cui un messaggio non viene recapitato correttamente”
Le argomentazioni e osservazioni del Garante secondo cui il trattamento è stato effettuato in assenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice, possono essere riassunte come segue.
I metadati di posta elettronica, che corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client, comprendono generalmente gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I metadati di posta elettronica risultano assistiti da garanzie di segretezza, tutelate anche costituzionalmente (artt. 2 e 15 Cost.), intese ad assicurare protezione al nucleo essenziale della dignità della persona e al pieno sviluppo della sua personalità nelle formazioni sociali.
Ciò comporta che, anche nel contesto lavorativo, sussista una legittima aspettativa di riservatezza in relazione alla corrispondenza e, analogamente, agli elementi ricavabili dai dati esteriori della stessa, che ne definiscono i profili temporali (come la data e l’ora di invio/ricezione) nonché gli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo (v. Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato, a seguito di consultazione pubblica, con provv. del 6 giugno 2024, n. 364, doc. web n. 10026277; v. provv. 1° dicembre 2022, n. 409, doc. web n. 9833530 e provv. 13 luglio 2016, n. 303, doc. web n. 5408460).
La disciplina nazionale più specifica ai sensi dell’art. 88 del GDPR individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica; cfr. art. 114 del Codice, che richiama l’art. 4, comma 1, l. 20 maggio 1970, n. 300).
In tale quadro, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300, l’attività di raccolta e conservazione dei soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e il soddisfacimento delle più essenziali garanzie di sicurezza informatica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni, comunque non superiore ai 21 giorni, salvo che il titolare, sempre nel perseguimento della predetta finalità riconducibile all’alveo del comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300, comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l’estensione in ragione delle specificità della propria realtà tecnica e organizzativa.
Diversamente, la generalizzata raccolta e la conservazione dei metadati di posta elettronica, per un lasso di tempo più esteso, in presenza di esigenze comunque riconducibili alla sicurezza e alla tutela del patrimonio anche informativo del datore di lavoro, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. 20 maggio 1970, n. 300 (v. provv. 1° dicembre 2022, n. 409, doc. web n. 9833530 e provv. 13 luglio 2016, n. 303, doc. web n. 5408460; tali principi sono stati da ultimo ribaditi nel punto 3 del predetto Documento di indirizzo).
Trattamento dei log di navigazione in Internet
Sulla base dell’istruttoria condotta, il Garante così ha ritenuto:
i log di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema – venivano raccolti e conservati dalla Regione in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali (cfr. art. 4, comma 1, della l. 20 maggio 1970, n. 300).
Le argomentazioni e osservazioni del Garante secondo cui il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. 20 maggio 1870, n. 300) possono essere riassunte come segue.
Tanto la raccolta quanto la successiva conservazione dei log di navigazione in Internet richiedono il rispetto dell’art. 4, comma 1, della l. 20 maggio 1970, n. 300, posto che i sistemi che consentono la tracciatura degli accessi ad Internet non possono essere, in generale, ricompresi nell’ambito di applicabilità dell’art. 4, comma 2, diversamente dai sistemi di inibizione automatica di consultazione in rete (senza conservazione dei tentativi di accesso), da parte dei dipendenti, di specifici contenuti vietati dall’organizzazione di appartenenza.
La raccolta e la conservazione sistematica di tutti i file di log generati dall’utilizzo della rete Internet nell’ambito del rapporto di lavoro – inclusi quelli relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema – dando luogo, infatti, a un trattamento generalizzato dei dati relativi all’attività e all’utilizzo dei servizi di rete da parte di dipendenti comunque identificabili, comportano, in presenza di un collegamento univoco con il dipendente e con la sua specifica postazione di lavoro, la possibilità di ricostruirne l’attività mediante l’impiego di sistemi tecnologici, con la conseguenza che, in tali casi, al datore di lavoro è richiesto di assicurare il rispetto delle garanzie procedurali previste dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300, che costituisce, come sopra ricordato, condizione di liceità dello stesso trattamento dei dati in questione.
Sotto diverso profilo, i log di navigazione in Internet, tanto più se tra essi sono ricompresi i file di log relativi ai tentativi falliti di accesso ai siti già censiti all’interno di una apposita black list, cui è comunque inibito l’accesso dal sistema, possono riguardare aspetti della sfera personale e della vita privata dei dipendenti (artt. 8 della Convenzione europea dei diritti dell’uomo e 7 della Carta dei diritti fondamentali dell’Unione europea). Ciò considerato che la linea di confine tra l’ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto. Nei casi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali e, in special modo, allorquando operi in modalità agile, sussiste per lo stesso una legittima aspettativa di riservatezza (v., al riguardo, le sentenze della Corte Europea dei Diritti dell’Uomo Niemietz c. Allemagne, 16.12.1992, ric. n. 13710/88, spec. Par. 29; Copland v. UK, 03.04.2007, ric. n. 62617/00, spec. Par. 41; Bărbulescu v. Romania [GC], 5.9.2017, ric. n. 61496/08, spec. Parr. 70-73 e 80; Antović and Mirković v. Montenegro, 28.11. 2017, ric. n. 70838/13, spec. par. 41-42; v. inoltre, per quanto attiene alla casistica esplorata dal Garante negli anni, in particolare provv. Del 13 maggio 2021, n. 190, doc. web n. 9669974, e provv. del 13 luglio 2016, n. 303, doc. web n. 5408460).
In tale quadro, l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può, infatti, giustificare ogni forma di interferenza nella vita privata, ma, come tradizionalmente affermato dal Garante, può essere in generale soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire in radice che le eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali “non pertinenti” che ricadono nell’ambito di applicazione dell’art. 113 del Codice (v., al riguardo, “Linee guida su posta elettronica e Internet”, provv. 1° marzo 2007, n. 13, doc. web n. 1387522 in particolare, punto 5.2., lett. a), i cui principi possono ritenersi tuttora validi; cfr., inoltre, provv. del 13 maggio 2021, n. 190, doc. web n. 9669974, provv. del 13 luglio 2016, n. 303, doc. web n. 5408460, e provv. del 21 luglio 2011, n. 308, doc. web n. 1829641, confermato da Corte di Cassazione, sent. n. 18302 del 19 settembre 2016).
Mancato svolgimento di una valutazione d’impatto
Sulla base dell’istruttoria condotta, il Garante così ha ritenuto:
il trattamento dei metadati di posta elettronica e di navigazione in Internet è stato altresì effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento
Le argomentazioni e osservazioni del Garante posso essere di seguito riassunte.
In attuazione del principio di responsabilizzazione (cfr. art. 5, par. 2, del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 del Regolamento).
Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si rileva, invece, che sia il trattamento dei metadati relativi all’utilizzo del servizio di posta elettronica – consistente nella sistematica raccolta dei dati esteriori afferenti alla corrispondenza e-mail (incluse le informazioni relative al mittente/destinatario e all’oggetto di ciascuna e-mail) e nella relativa memorizzazione per 90 giorni – sia il trattamento dei log relativi alla navigazione in Internet – consistente nella raccolta preventiva e generalizzata dei dati concernenti le connessioni ai siti web dei singoli dipendenti e nella relativa memorizzazione per 365 giorni – comportano rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (art. 35 del Regolamento).
In considerazione sia della particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. cons. 75 e art. 88 del Regolamento e criterio n. 3 indicato nelle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”) sia del fatto che in tale ambito, diversamente da quanto sostenuto dalla Regione, l’impiego di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida) può presentare rischi – come nel caso di specie – in termini di possibile monitoraggio dell’attività dei dipendenti (cfr. artt. 35 e 88, par. 2, del Regolamento). Come sopra già rilevato, infatti, in presenza di talune specifiche caratteristiche o funzionalità, tali strumenti possono comportare un controllo preterintenzionale dell’attività del dipendente.
