Controllo email inviate dai dipendenti e cronologia della navigazione su Internet
Egr. avvocato, sono un pubblico dipendente e vorrei porre una domanda in materia di gestione dei metadati di posta elettronica e dei log di navigazione in internet, anche in considerazione del Provvedimento del 29 aprile 2025, n. 243 del Garante della Privacy nei confronti della Regione Lombardia.
Il datore di lavoro, pubblico o privato, può controllare l'email inviate dai propri dipendenti oppure la cronologia della navigazione su internet effettuata utilizzando il computer aziendale, senza avere attivato le garanzie dell'articolo 4 comma 1 dello statuto dei lavoratori?
La mia domanda è appunto la seguente: in quali casi il trattamento dei metadati di posta elettronica e dei log di navigazione in internet è legittimo, soltanto previa attivazione delle garanzie sindacali ovvero dell’autorizzazione dell’Ispettorato nazionale del lavoro, come previsto dal primo comma dell'articolo 4 dello Statuto dei Lavoratori?
In quali casi invece si deve fare riferimento al comma 2 del suddetto articolo, quindi non occorrono queste garanzie?
I metadati di posta elettronica e i log di navigazione sono informazioni idonee a consentire controlli indiretti sull’attività lavorativa?
RISPOSTA
Certamente sì, i metadati di posta elettronica e i log di navigazione sono informazioni idonee a consentire controlli indiretti sull’attività lavorativa del dipendente pubblico o privato.
A parte il Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679), dobbiamo considerare l'articolo 4 dello Statuto dei Lavoratori, disciplinante l'uso degli strumenti tecnologici che consentono anche solo potenzialmente una verifica a distanza dell’attività del dipendente.
Controllare l'email inviate dai propri dipendenti oppure la cronologia della navigazione su internet effettuata utilizzando il computer aziendale, significa che il datore di lavoro ha deciso di prolungare i tempi di conservazione dei metadati; in questi casi ci si deve sempre chiedere, qual è la finalità del trattamento da parte del datore di lavoro?
Quando la conservazione serve unicamente ad assicurare il normale funzionamento della posta elettronica affinché il messaggio giunga correttamente al destinatario, si applica l’art. 4, comma 2, dello Statuto dei lavoratori, essendo un trattamento strettamente connesso all’uso dello strumento di lavoro; non è necessario attivare né le garanzie sindacali (accordo sindacale) né l'Ispettorato del Lavoro (richiesta di autorizzazione amministrativa).
Qualsiasi estensione temporale della conservazione dei metadati di posta elettronica e dei log di navigazione che abbia finalità ulteriori rispetto al mero utilizzo della email aziendale oppure della navigazione in internet, anche soltanto per una semplice finalità prudenziale, presuppone l'attivazione delle garanzie previste nel comma 2 dell'articolo 4 dello statuto dei lavoratori: l'accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali oppure l'autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro.
Di seguito il testo dei primi due commi dell'articolo 4 della legge 300/1970:
Articolo 4 della legge n. 300/1970
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Non a caso la Regione Lombardia è stata multata dal Garante della Privacy con una sanzione pecuniaria di 50.000 euro per avere implementato un sistema di controllo della navigazione sul web dei propri dipendenti, senza accordo sindacale e senza l'autorizzazione dell'Ispettorato del Lavoro. L'Ente Regionale aveva attivato un sistema che registrava i tentativi di accesso da parte dei pubblici dipendenti verso siti in blacklist, con possibilità di risalire al singolo dipendente. Si tratta di un sistema di conservazione particolarmente esteso e non adeguatamente disciplinato all'interno dell'Ente regionale, senza regole di cancellazione o anonimizzazione dei dati tutelati.
A disposizione per chiarimenti.
Cordiali saluti.
