--- title: "E-mail e navigazione web dei dipendenti: per il Garante privacy raccolta di log e metadati possibile solo in presenza di specifiche condizioni e garanzie." date: 2025-06-06 description: "Nella newsletter n. 535 del 30 maggio 2025, il Garante per la protezione dei dati personali ha reso noto di aver sanzionato la Regione Lombardia per" categories: - name: "Legislazione Lavoro" url: "https://www.ancepadova.it/legislazione-lavoro1.md" --- # E-mail e navigazione web dei dipendenti: per il Garante privacy raccolta di log e metadati possibile solo in presenza di specifiche condizioni e garanzie. Nella newsletter n. 535 del 30 maggio 2025, **il Garante per la protezione dei dati personali ha reso noto di aver sanzionato la Regione Lombardia per numerose violazioni nell’ambito dei trattamenti dei dati dei dipendenti**, anche nel caso dello svolgimento del lavoro agile. **Il provvedimento** – giunto al termine di accertamenti avviati d’ufficio per verificare l’osservanza delle norme in materia di protezione dei dati personali in relazione ai trattamenti posti in essere in ambito lavorativo – **è conseguenza dell’aver constatato che la Regione raccoglieva e conservava i log di navigazione in Internet**– consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list – **senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori**. **Non era stata effettuata, infatti, una valutazione d’impatto sulla protezione dei dati** con riferimento al trattamento dei metadati dei suddetti log di navigazione in Internet. **Tale trattamento, inoltre, consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti**. Nessun accordo inoltre era stato inizialmente siglato nemmeno per il trattamento dei metadati di posta elettronica dei lavoratori. Ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati (cfr. nostra circolare n. 49 dell’8 febbraio 2024) la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi. Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante, oltre alla sanzione amministrativa, ha ingiunto una serie di misure correttive. Tra queste, in particolare: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati. Dal caso di specie e dalla lettura del Provvedimento in argomento, **emerge ancora una volta l’importanza che, in ogni caso, il trattamento sia necessario rispetto alla lecita finalità perseguita ed abbia ad oggetto i soli dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati**. Inoltre, **altro aspetto di fondamentale rilevanza per non incorrere in sanzioni è quello relativo alla conservazione degli stessi**: i dati personali, infatti, devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. ## Custom Fields **N.:** 159