Con la newsletter del 30 maggio 2025, il Garante privacy ha dato notizia della pubblicazione del provvedimento emesso il 29 aprile contro la Regione Lombardia per alcune violazioni incentrate soprattutto sulla non corretta applicazione delle norme del codice privacy che richiamano gli articoli 4 e 8 dello Statuto dei lavoratori, in relazione all’uso della tecnologia per finalità di cybersecurity.
Fatti
L’autorità aveva avviato un’attività ispettiva d’ufficio nei confronti della Regione Lombardia per verificare l’osservanza delle norme in materia di protezione dei dati personali nell’ambito lavorativo, inclusa la modalità di “lavoro agile”.
Dagli accertamenti è emerso che la Regione Lombardia utilizzava strumenti informatici secondo un proprio regolamento, come segue.
- Navigazione Internet: La navigazione era libera ad eccezione di una “black list”. Tutti i log di navigazione, inclusi i tentativi falliti di accesso, venivano conservati per 12 mesi sui server del proprio responsabile del trattamento, incaricato della gestione dell’infrastruttura tecnologica e della navigazione sicura. La Regione poteva risalire alla navigazione di una macchina specifica tramite la ricongiunzione di informazioni separate (utente e IP) in caso di richieste motivate dell’autorità giudiziaria o anomalie di traffico. Non era stato stipulato un accordo sindacale ai sensi dell’articolo 4 comma 1 della Legge 300/1970.
- Posta Elettronica (Microsoft 365): Il servizio era gestito da identico gestore. I log del servizio di posta elettronica (metadati) venivano raccolti dal responsabile del trattamento e conservati per 90 giorni per assistenza tecnica, senza accesso diretto da parte dei dipendenti. Per la posta elettronica, Microsoft consentiva la raccolta di metadati per 7 giorni direttamente sul server Exchange e mediante un report CSV con meno informazioni per 90 giorni, parametro temporale impostato da Microsoft e non riducibile.
- Servizio di Assistenza Tecnica: Il servizio prevedeva un numero telefonico dedicato e un portale. I ticket di assistenza venivano gestiti tramite una piattaforma, con conservazione dei dati per 78 mesi (6 anni + 6 mesi). Il personale della società fornitrice e alcuni dipendenti della Regione avevano accesso al sistema, con visibilità differenziata. I dati del sistema di ticketing, in una fase successiva, sarebbero stati conservati per 12 mesi con dati identificativi, poi anonimizzati per finalità amministrative.
- Separazione dei dati: La Regione ha evidenziato come l’organizzazione dei servizi di sicurezza preventiva è concepita in modo che nessun gestore poteva risalire autonomamente all’identificazione dell’utente. Infatti, il gestore proxy conservava i log di navigazione associati al solo l’IP della macchina; il gestore rete associava IP e MAC ADDRESS e il gestore della postazione di lavoro (PdL) associava MAC ADDRESS e nome utente. Gli allarmi di sicurezza erano analizzati in modo automatico e anonimo., e solo in caso di alto rischio si procedeva all’individuazione della postazione infetta.
Trattamento dei dati personali in ambito lavorativo
Il Garante ha innanzitutto ricordato il quadro normativo inerente ai trattamenti di dati personali in ambito lavorativo.
Il datore di lavoro può trattare i dati personali dei lavoratori, comprese le categorie particolari di dati (art. 9, GDPR), se il trattamento è necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6.1.c), 9.2.b) e 4; 88 del GDPR). Il trattamento è lecito anche quando è «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [artt. 6.1, e), 2 e 3 del GDPR; 2-ter del Codice].
L’articolo 88 del GDPR consente agli Stati membri di introdurre o mantenere disposizioni più specifiche per garantire la protezione dei diritti e delle libertà degli interessati nell’ambito lavorativo.
In Italia, queste disposizioni specifiche includono gli articoli 113 e 114 del Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003) e gli articoli 4 e 8 della legge n. 300/1970 (Statuto dei lavoratori), nonché l’articolo 10 del d.lgs. n. 276/2003, che tutelano la dignità delle persone sul luogo di lavoro e disciplinano i controlli da parte del datore di lavoro. L’osservanza di tali norme nazionali costituisce una condizione di liceità del trattamento dei dati. Il Garante ha specificamente notificato alla Commissione Europea, ai sensi dell’articolo 88, paragrafo 3, del Regolamento, queste norme più specifiche.
Normative nazionali specifiche e controlli a distanza
Talvolta, i pronunciamenti del Garante su questi temi sono criticati dai giuslavoristi (cioè, gli esperti in diritto del lavoro) come indebite invasioni di campo. Tuttavia, proprio la ricostruzione dell’excursus normativo citato è alla base della legittimazione degli interventi dell’autorità in questi ambiti. L’autorità di controllo ha competenza a eseguire i compiti e a esercitare i poteri che le sono conferiti dal Regolamento (art. 55.1, GDPR) e tra questi vi è la sorveglianza e l’assicurazione dell’applicazione del GDPR (art. 57.1.a), GDPR] il quale, tramite la norma di rinvio dell’articolo 88, include le disposizioni dei richiamati articoli 113 e 114 del codice privacy. Peraltro, istituzione e compiti dell’autorità di controllo trovano legittimazione nella norma primaria della Carta (art. 8.3, Carta) la quale, appunto, prevede che «il rispetto di tali norme (quelle sulla protezione dei dati personali n.d.r.) è soggetto al controllo di autorità indipendenti» nonché dal TFUE che contiene anch’esso una norma analoga (art. 16.1, TFUE).
In conclusione, il Garante ha la competenza di verificare che i trattamenti di dati personali relativi alle operazioni di controllo a distanza o alla raccolta di informazioni non pertinenti all’attitudine professionale dei lavoratori rispettino i principi e le regole della normativa sulla protezione dei dati; nonché che essi siano conformi agli articoli statutari richiamati dal codice privacy, la cui ottemperanza è una condizione di liceità dei trattamenti correlati.
Controlli a distanza
L’articolo 4 dello Statuto dei Lavoratori individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).
Sul punto, il Garante fornisce un’interessante chiave interpretativa per distinguere tra gli strumenti che possono rientrare nel comma 2 e quelli soggetti alla disciplina ordinaria del comma 1, che richiede il soddisfacimento della procedura.
Il secondo comma dello stesso articolo esonera dalla procedura quegli strumenti che siano essenziali per l’erogazione della prestazione. Esso costituisce un’eccezione al comma 1 e deve essere oggetto di stretta interpretazione. La Regione riteneva che la conservazione dei metadati per 90 giorni per finalità tecniche, relative al corretto funzionamento e regolare utilizzo del sistema di posta elettronica, unita a un’informazione trasparente dei lavoratori e controlli anonimi, indiretti e graduali, fosse sufficiente per rientrare nell’ambito del secondo comma dell’articolo 4 dello Statuto dei Lavoratori.
Secondo il Garante, nella nozione di «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa» (art. 4, comma 2), possono ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa.
La deroga del comma 2 non è applicabile e, di contro, trova applicazione il comma 1 (che richiede accordo sindacale o autorizzazione pubblica) nei casi in cui il sistema:
- Agisca con modalità non percepibili dal lavoratore.
- Operi in modo del tutto indipendente rispetto alla normale attività del lavoratore.
- Consenta ulteriori elaborazioni da parte del datore di lavoro per il perseguimento di proprie finalità, specialmente quando tali funzionalità non possono essere disabilitate dal dipendente.
L’autorità, compiendo un passo interpretativo ulteriore rispetto al precedente provvedimento nei confronti della Regione Lazio (v. Alert del 12 gennaio 2023 e del 27 giugno 2024), ha evidenziato come queste caratteristiche si verifichino, ad esempio, nel trattamento dei metadati di posta elettronica e dei log di navigazione Internet quando vengono raccolti e conservati in modo preventivo e generalizzato per un esteso arco temporale. I sistemi che consentono la tracciatura degli accessi a Internet non possono, in generale, essere ricompresi nell’ambito dell’art. 4, comma 2, a differenza dei sistemi di inibizione automatica di consultazione in rete (senza conservazione dei tentativi di accesso). Tali operazioni, infatti, sono automatiche e indipendenti dalla percezione e volontà del lavoratore, e i dati rimangono nella disponibilità esclusiva del datore di lavoro (o del suo fornitore), documentando il traffico anche dopo l’eventuale cancellazione. Questo configura un rischio di indiretto controllo a distanza dell’attività dei lavoratori. Per questo specifico profilo, la Regione ha chiarito che nessuno dei procedimenti disciplinari avviati nei confronti dei dipendenti è stato basato sull’utilizzo dei log di posta elettronica o di navigazione Internet, per cui il Garante ha concluso che non sussistono le condizioni per far valere responsabilità della Regione.
Sotto altro aspetto, come riportato nel documento di indirizzo del Garante (v. Alert del 27 giugno 2024), per essere applicabile la deroga del comma 2, la raccolta e conservazione dei metadati devono essere limitate a pochi giorni, di norma non superiori a 21 giorni, salvo comprovate esigenze specifiche per il funzionamento delle infrastrutture e la sicurezza informatica.
Di conseguenza, considerato che i metadati venivano conservati per un tempo maggiore dei 21 giorni, si sarebbe dovuta rispettare la procedura amministrativa, in quanto a nulla rileva se il titolare che utilizza il servizio di Microsoft 365 sia condizionato dalle modalità non modificabili imposte dal fornitore.
Microsoft permette di raccogliere informazioni per sette giorni direttamente sul server di Exchange, includendo data e ora del messaggio, indirizzo del mittente, indirizzo del destinatario, oggetto, status di consegna, dimensione del messaggio (in KB o MB, inclusi allegati) e header del messaggio. Per le e-mail più vecchie di 7 giorni (fino a 90 giorni), Microsoft permette di raccogliere una quantità minore di informazioni tramite un report in formato CSV disponibile per gli amministratori, che include timestamp del messaggio, indirizzo del mittente, indirizzo del destinatario con eventuale status, oggetto e dimensione del messaggio (in bytes, inclusi allegati) e identificativo univoco del messaggio.
La giustificazione della Regione di non poter diminuire il parametro di 90 giorni impostato da Microsoft non è stata accettata dal Garante; qualunque siano le condizioni del fornitore del servizio di posta, se il periodo di conservazione dei metadati supera la soglia temporale dei 21 giorni, si dovrà far ricorso alla procedura amministrativa dell’articolo 4 dello Statuto.
Dati del lavoratore non necessari
Il tracciamento della navigazione dei lavoratori su internet solleva un ulteriore problema di diritto.
L’articolo 8 dello Statuto vieta al datore di lavoro di raccogliere o trattare dati personali relativi a opinioni politiche, religiose o sindacali, o fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore (art. 8, L. 300/1970; art. 10, d.lgs. 276/2003; art. 113 del Codice).
I log di navigazione Internet, specialmente quelli relativi a tentativi di accesso a siti in black list, possono riguardare la sfera personale e la vita privata dei dipendenti, per cui il loro trattamento deve rispettare i diritti fondamentali e la dignità dell’interessato. L’esigenza di sicurezza non giustifica ogni forma di interferenza, e le misure tecniche e organizzative dovrebbero prevenire la raccolta di informazioni personali “non pertinenti”.
Valutazione d’Impatto sulla Protezione dei Dati
La Regione Lombardia aveva ritenuto non necessaria una DPIA per i trattamenti relativi ai log di navigazione Internet e ai metadati delle e-mail pervenendo a questa conclusione a seguito dell’interpretazione delle linee guida wp248 rev.01, fatte proprie dall’EDPB. Secondo la Regione, nel loro caso, risultava applicabile esclusivamente il criterio valutativo del rischio elevato che riguarda gli “interessati vulnerabili” (i dipendenti sono considerati vulnerabili nel contesto lavorativo) mentre non si ritenevano applicabili né il criterio del “monitoraggio sistematico” né quello dello “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative”.
Il Garante ha contestato l’esattezza di questa valutazione, nonostante essa sia rimessa al titolare del trattamento, in attuazione del principio di responsabilizzazione (art. 5, par. 2, del Regolamento).
Tenuto conto delle indicazioni fornite anche a livello europeo, il Garante ha ritenuto che sia il trattamento dei metadati di posta elettronica (raccolta sistematica di dati esteriori della corrispondenza, inclusi mittente/destinatario e oggetto, e memorizzazione per 90 giorni) sia il trattamento dei log di navigazione Internet (raccolta preventiva e generalizzata delle connessioni dei dipendenti ai siti web e memorizzazione per 365 giorni) comportano rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo.
In particolare, l’autorità:
- Vulnerabilità degli interessati: ha confermato che i dipendenti sono una categoria di interessati “vulnerabili” nel contesto lavorativo (cons. 75 e art. 88 del GDPR e criterio n. 3 delle Linee guida wp248 rev.01).
- Monitoraggio sistematico: ha affermato che un trattamento utilizzato per osservare, monitorare o controllare gli interessati, inclusi i dati raccolti tramite reti, con l’impiego di sistemi, comporta un “monitoraggio sistematico” che può presentare rischi e configurare un controllo preterintenzionale dell’attività dei dipendenti.
Questi principi erano già stati ribaditi dal Garante in altri documenti e provvedimenti, che menzionano espressamente tra quelli soggetti a DPIA obbligatoria, i «trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti» (provv. 11/10/2018 n. 467, doc. web n. 9058979, all. n. 1).
Periodo di conservazione dei dati
La questione relativa al periodo di conservazione dei dati dei log di navigazione solleva il frequente problema della frizione tra esigenza di sicurezza informatica e tutela dei dati personali.
La Regione conservava tutti i log relativi alla navigazione Internet dei dipendenti, inclusi i tentativi falliti di accesso a siti nella “black list”, per 12 mesi (365 giorni) sui server del proprio fornitore di servizio di assistenza tecnica. La Regione motivava questa lunga conservazione con la necessità di una strategia efficace di “Incident Response” e per analizzare attacchi persistenti (APT), che possono durare mesi o anni.
Il sistema di sicurezza preventiva della Regione si basa su un’analisi automatica e anonima di diverse tipologie di allarmi. Queste tipologie includono: attacchi DoS/DDoS, postazioni e server infette, tentativi di attacco a sistemi/applicazioni/servizi, sfruttamento di vulnerabilità, sistemi collegati a Botnet, esfiltrazione di dati, intrusioni, compromissione di sistemi/applicazioni/servizi, modifica o cancellazione non autorizzata di dati, e invio di e-mail di phishing o comunicazione con IP/domini/URL riconducibili ad attività malevole. Inizialmente, queste tipologie di allarmi vengono analizzate in modo anonimo. Solo se si valuta che l’allarme possa generare un danno effettivo all’infrastruttura (e alle informazioni contenute), scatta la procedura di analisi approfondita che, come extrema ratio, prevede l’individuazione della postazione infetta.
La Regione ha anche sottolineato – come anticipato – che le informazioni erano conservate separatamente da tre fornitori, rendendo impossibile a ciascuno di essi risalire autonomamente all’utente completo senza ricongiunzione.
Il Garante ha giudicato la conservazione di 365 giorni non proporzionata rispetto alla finalità di sicurezza della rete, nonostante le misure di separazione dei dati adottate dalla Regione. Sebbene queste misure fossero apprezzabili, non erano sufficienti a superare del tutto le criticità e a rendere il trattamento complessivamente proporzionato. La raccolta di dati non attinenti all’attività lavorativa è una violazione del principio di pertinenza (art. 5.1.c del Regolamento e art. 113 del Codice).
Misure correttive
La raccolta e conservazione dei metadati delle e-mail e dei log di navigazione, poichè presenta rischi specifici per i diritti e le libertà fondamentali dei lavoratori, ha richiesto l’adozione di misure correttive che il Garante ha ingiunto di adottare, al fine di rendere estremamente improbabile risalire all’identità del singolo dipendente. Queste misure includono:
- Anonimizzazione dei log relativi ai tentativi falliti di accesso alla black list, inclusi quelli già presenti.
- Riduzione del termine di conservazione dei log di navigazione a 90 giorni, con possibilità di conservazione ulteriore solo previa anonimizzazione.
- Verifiche in caso di anomalie di sicurezza, svolte di regola a livello di strutture organizzative, limitando gli interventi individuali solo come extrema ratio.
- Cifratura del dato concernente i nomi dei dipendenti assegnatari delle macchine.
- Limitazione del trattamento dei dati ad opera di un numero strettamente limitato di persone fisiche autorizzate, con istruzioni specifiche.
- Aggiornamento degli accordi sindacali alla luce di queste nuove misure.
Conclusioni
Dal provvedimento esaminato possono trarsi le seguenti conclusioni o conferme:
I trattamenti di dati personali connessi alla raccolta e conservazione dei metadati delle e-mail dei dipendenti nonché alla registrazione e conservazione dei log di navigazione in internet evidenziano un potenziale rischio elevato per i diritti e le libertà degli interessati, tanto da rendere obbligatoria la valutazione di impatto.
I metadati delle e-mail dei dipendenti possono essere conservati per un massimo di 21 giorni. Viceversa, per eventuali estensioni, devono essere fornite motivazioni tecniche e di sicurezza documentate oppure seguire la procedura sindacale o l’autorizzazione pubblica.
Il tracciamento dei log di navigazione internet è uno strumento che può monitorare l’attività dei lavoratori e, pertanto, richiede il preventivo soddisfacimento della procedura prevista dall’articolo 4 dello Statuto.
La raccolta dei log identificativi dei tentativi di accesso ai siti web contenuti nella black list rappresenta una violazione del divieto di indagini sulle opinioni del lavoratore (articoli 8 dello Statuto, 113 del codice e 10 del d.lgs. n. 276/2003).
Il tempo di conservazione dei log di navigazione per finalità di sicurezza informatica preventiva deve risultare proporzionato; tale valutazione è stimata in 90 giorni per i log identificativi mentre, per la conservazione per periodi ulteriori, occorre procedere alla preventiva anonimizzazione degli stessi.
