Accesso ai log e metadati dei dipendenti solo con accordo sindacale

Il Garante della Privacy, con la newsletter del 30 maggio 2025, n. 535, ricorda che il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie.

Il Garante, con provvedimento 29 aprile 2025, ha infatti sanzionato la Regione Lombardia in quanto raccoglieva e conservava i log di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list – senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori.

Nessun accordo, inoltre, era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori.

Il Garante, oltre alla sanzione amministrativa pari a € 50.000, ha ingiunto una serie di misure correttive, tra queste, in particolare:

• l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list;
• la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili;
• la riduzione del termine di conservazione di tali dati.