Controlli a Distanza sui Lavoratori: Garante Privacy Sanziona Ente
Il Garante per la protezione dei dati personali ha comminato una sanzione di 50.000 euro a una Regione italiana per aver raccolto e conservato illegittimamente i log di navigazione internet e i metadati delle email dei dipendenti senza le necessarie garanzie procedurali. Il provvedimento, adottato il 29 aprile 2025, rappresenta un importante precedente in materia di controlli a distanza nell'ambito lavorativo, anche nel contesto del lavoro agile.
L'istruttoria del Garante ha evidenziato multiple violazioni della normativa privacy. La Regione raccoglieva sistematicamente i log di navigazione internet dei dipendenti - compresi i tentativi falliti di accesso ai siti censiti in una black list - senza aver stipulato preventivamente un accordo collettivo con le rappresentanze sindacali, come richiesto dall'art. 114 del Codice Privacy in relazione all'art. 4 dello Statuto dei Lavoratori.
Analogamente, i metadati di posta elettronica venivano conservati per 90 giorni in assenza delle garanzie procedurali previste dalla disciplina di settore. Tale trattamento consentiva al datore di lavoro di acquisire informazioni non attinenti all'attività lavorativa e relative alla sfera privata dei dipendenti.
Come chiarito dalla giurisprudenza di legittimità, la Cassazione ha stabilito che "sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in internet, all'utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all'art. 4, comma 2, della l. n. 300 del 1970".
Il Codice Privacy all'art. 115 stabilisce specificamente che "nell'ambito del rapporto di lavoro domestico del telelavoro e del lavoro agile il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale".
Oltre alla sanzione pecuniaria, il Garante ha ingiunto alla Regione l'adozione di specifiche misure correttive entro 90 giorni, tra cui: l'anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la riduzione a 90 giorni del termine di conservazione dei log di navigazione internet; la cifratura del dato concernente i nomi dei dipendenti assegnatari delle postazioni di lavoro; l'implementazione di controlli graduali e progressivi, limitando gli interventi puntuali ai casi di infruttuoso esperimento di verifiche aggregate
Nel corso dell'istruttoria, la Regione ha dimostrato un atteggiamento collaborativo, stipulando accordi collettivi con le rappresentanze sindacali e adottando valutazioni d'impatto sulla protezione dei dati. Questo approccio proattivo è stato considerato dal Garante come circostanza attenuante nella determinazione della sanzione.
Il provvedimento del Garante ribadisce che anche nell'era digitale e del lavoro agile, i controlli sui dipendenti devono rispettare rigorosi standard di legalità e proporzionalità. La raccolta sistematica di dati sulla navigazione internet e sull'utilizzo della posta elettronica non può prescindere dalle garanzie procedurali previste dallo Statuto dei Lavoratori e dalla normativa privacy.
Le amministrazioni pubbliche e i datori di lavoro privati sono chiamati a rivedere le proprie politiche di controllo tecnologico, assicurando il necessario equilibrio tra tutela degli interessi organizzativi e rispetto dei diritti fondamentali dei lavoratori.