Controllo email e internet in azienda: cosa dice il Garante Privacy

Il Garante per la protezione dei dati personali, con Provvedimento del 29 aprile 2025 pubblicato il successivo 30 maggio, ha definito i limiti e le condizioni in cui il datore di lavoro può monitorare l’utilizzo di internet e delle email da parte dei dipendenti. Si tratta di un chiarimento importante, soprattutto per le piccole e medie imprese che adottano strumenti digitali per finalità organizzative e di sicurezza.

Il provvedimento nasce a seguito di un’ispezione condotta dal Garante presso la Regione Lombardia, mirata a verificare la conformità del trattamento dei dati personali dei lavoratori nel contesto del lavoro agile.

Durante il controllo, il Garante ha rilevato che l’amministrazione regionale:

• raccoglieva e conservava per 12 mesi i log di navigazione internet dei dipendenti. Tali log contenevano informazioni sui siti visitati, compresi i tentativi falliti di accesso a siti bloccati da una black list aziendale. Tuttavia, questa raccolta è risultata priva di un accordo sindacale ai sensi dell’art. 4, comma 1, dello Statuto dei Lavoratori (Legge 300/1970);
• conservava per 90 giorni i metadati delle email, ovvero informazioni come indirizzo del mittente e destinatario, oggetto, data, ora e dimensione dei messaggi, per finalità di sicurezza informatica e assistenza tecnica, ma anche in questo caso senza un accordo sindacale preventivo.

Oltre all’assenza degli accordi sindacali obbligatori, il Garante ha riscontrato ulteriori violazioni:

• assenza di misure tecniche e organizzative adeguate: i sistemi di monitoraggio non prevedevano limitazioni automatiche all’accesso dei dati, né efficaci meccanismi di anonimizzazione;
• mancata valutazione d’impatto sulla protezione dei dati (DPIA), obbligatoria in presenza di trattamenti con rischi elevati per i diritti e le libertà dei lavoratori (art. 35 del Regolamento UE 2016/679);
• nomina incompleta dei fornitori come Responsabili del trattamento ai sensi dell’art. 28 GDPR.

Nonostante la Regione abbia avviato, nel corso dell’istruttoria, alcune iniziative per mettersi in regola, il Garante ha comunque emesso una sanzione amministrativa pari a 50.000 euro e ha ordinato l’adozione, entro 90 giorni, di misure correttive specifiche, tra cui:

• anonimizzazione dei log relativi ai tentativi falliti di accesso a siti bloccati dalla black list;
• cifratura dei dati che identificano i dipendenti titolari dei dispositivi, fornendo istruzioni documentate al fornitore designato come Responsabile del trattamento;
• riduzione dei tempi di conservazione dei dati raccolti, con possibilità di prolungare la conservazione solo se i dati vengono prima anonimizzati in modo da impedire l’identificazione del lavoratore;
• accesso ai metadati limitato al solo personale espressamente autorizzato.

Questo provvedimento rappresenta un segnale chiaro anche per le imprese private, comprese le PMI. L’utilizzo di strumenti informatici per finalità organizzative o di sicurezza deve sempre rispettare il principio di proporzionalità e trasparenza, nel pieno rispetto del GDPR e dello Statuto dei Lavoratori.

È fondamentale:

• valutare attentamente i trattamenti effettuati sui dati dei dipendenti, specie se effettuati con strumenti tecnologici di controllo;
• coinvolgere le rappresentanze sindacali, laddove previste, prima di introdurre sistemi di monitoraggio;
• redigere una valutazione d’impatto nei casi in cui il trattamento possa generare rischi significativi;
• aggiornare gli accordi con i fornitori IT e nominare formalmente i Responsabili del trattamento;
• implementare misure tecniche che limitino l’accesso ai dati, ne garantiscano la sicurezza e, dove possibile, la loro anonimizzazione.
   

Il rispetto delle normative privacy nel contesto lavorativo è un obbligo, non solo per evitare sanzioni, ma anche per tutelare il rapporto fiduciario con i propri collaboratori e dimostrare responsabilità nella gestione delle informazioni.

Le imprese devono adottare un approccio proattivo, affiancandosi a consulenti qualificati per la gestione di questi aspetti. L’obiettivo è garantire un equilibrio tra esigenze organizzative, sicurezza aziendale e diritti dei lavoratori.