Navigazioni sorvegliate: il Garante privacy detta le regole per i controlli sui dipendenti

Aziende ed enti pubblici possono controllare la navigazione internet dei propri dipendenti, ma solo rispettando precise regole. Lo ha ribadito il Garante per la protezione dei dati personali con l’ingiunzione n. 243 del 29 aprile 2025, intervenendo su un caso che ha visto protagonista un ente pubblico, colpevole di aver conservato per un intero anno i log di navigazione dei propri dipendenti — inclusi i tentativi di accesso a siti inseriti in una black list — senza alcun accordo sindacale e senza adottare le garanzie previste dalla normativa.

La disciplina è chiara: i datori di lavoro, siano essi imprese o pubbliche amministrazioni, possono raccogliere e conservare i cosiddetti log di navigazione — ossia le registrazioni degli accessi a internet — solo in presenza di specifiche condizioni e garanzie. Tra queste, spicca l’obbligo di stipulare preventivamente un accordo con le rappresentanze sindacali ai sensi dell’articolo 4 dello Statuto dei lavoratori (legge 300/1970), anche se i sindacati non sollevano obiezioni.

Inoltre, i log non possono essere conservati per più di 90 giorni, salvo anomalie di sicurezza o richieste specifiche dell’autorità giudiziaria. Superato questo termine, i dati devono essere anonimizzati o cancellati.

Le regole del Garante

Il Garante ha sottolineato che i controlli devono bilanciare la necessità di garantire la sicurezza informatica con il rispetto della riservatezza dei dipendenti. Non è infatti lecito schematizzare o profilare i lavoratori sulla base della loro attività in rete, anche quando questa sia solo tentata.

Per procedere legittimamente, le imprese devono:

• Predisporre una valutazione d’impatto privacy (DPIA) ai sensi dell’articolo 35 del GDPR;
• Stabilire un termine massimo di conservazione dei dati, fissato dal Garante in 90 giorni;
• Sottoscrivere un accordo sindacale per l’attivazione di sistemi di controllo indiretto;
• Limitare la possibilità di risalire all’identità del singolo dipendente, separando le informazioni tecniche dai dati personali.

Inoltre, l’identità del dipendente che utilizza un determinato dispositivo deve essere associata al log solo in casi di comprovata necessità e attraverso procedure graduali e controllate, sempre previa verifica a livello aggregato.

Tempi e modalità di conservazione

Anche la conservazione delle richieste di assistenza tecnica rivolte ai fornitori informatici deve essere limitata nel tempo. Nel caso specifico, il Garante ha ritenuto congruo un periodo massimo di 12 mesi.

Sono invece considerati strumenti di lavoro ordinari e quindi esclusi dall’obbligo di accordo sindacale i sistemi che bloccano automaticamente l’accesso a siti vietati senza però registrare i tentativi di connessione.

In ogni caso, le operazioni di verifica devono essere affidate a un numero ristretto di persone autorizzate e specificamente designate, con istruzioni precise sui rischi e le modalità di trattamento dei dati.

Il principio di proporzionalità

Il principio cardine, ribadisce il Garante, è quello di proporzionalità e minimizzazione: le attività di controllo devono essere strettamente necessarie, pertinenti e non eccedenti rispetto alle finalità di sicurezza informatica e buon andamento dei servizi.

In mancanza di accordo sindacale e adeguate garanzie, ogni trattamento di dati sui dipendenti rimane privo di base giuridica e rischia di esporsi a pesanti sanzioni amministrative, come accaduto nel caso in esame.

---

LEGGI ANCHE