Logs, privacy e diritti dei lavoratori: la multa del Garante accende il dibattito

Con provvedimento n. 243 del 29 aprile 2025, l’Autorità Garante per la protezione dei dati personali ha sanzionato una Regione italiana con la somma di euro 50.000,00, per la mancata conformità in tema di trattamento dei dati personali dei dipendenti.

Il fatto- L’Ente sanzionato trattava i dati personali dei dipendenti, in particolare i file di log, secondo modalità che l’Autorità ha ritenuto non perfettamente conformi al dettato normativo. L’Ente, infatti, trattava i file di log delle e-mail dei dipendenti e degli accessi a siti internet oltreché dell’apertura dei ticket per l’assistenza, senza aver realizzato la Valutazione di Impatto sul trattamento ai sensi dell’art. 35 Gdpr e senza aver provveduto a stipulare l’accordo sindacale previsto dall’art. 4 L. 300/1970.

L’accordo sindacale- Con il provvedimento in discussione il Garante per la Protezione dei Dati Personali ha stabilito che, il trattamento dei file di log, rappresenta una modalità di monitoraggio e vigilanza dei dipendenti. Questa interpretazione non sorprende essendo già stata proposta dalla stessa Autorità Garante in diverse altre occasioni e si conforma all’indirizzo giurisprudenziale ormai consolidato. La Corte di cassazione Sezione Lavoro, con Ordinanza 13 gennaio 2025 n. 807, ha recentemente ribadito una interpretazione piuttosto restrittiva in tema di utilizzo dei file di log a fini di indagini difensive da parte del datore di lavoro. Nel provvedimento indicato vi è un chiaro riferimento all’art. 4 della L. 300/1970.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il presupposto da cui muove l’Autorità Garante è che, tramite i file di log, è possibile per il datore di lavoro, tenere traccia delle attività svolte dal dipendente, anche se non inerenti all’ambito lavorativo o riconducibili alla sfera personale. Per queste ragioni rappresenterebbe una modalità di potenziale controllo che, dopo la riforma del Codice del lavoro del 2015, si applica a qualunque strumento idoneo a realizzarla e non più solo agli strumenti di videosorveglianza.

Partendo da questo presupposto e considerato il massiccio utilizzo del web da parte dei lavoratori per l’esercizio delle proprie mansioni, non sorprende neppure che il Garante abbia individuato l’obbligo di svolgere una valutazione di impatto ai sensi dell’art. 35 GDPR. Circostanza di cui si parlerà più avanti.

Le domande- La sanzione comminata per la violazione sul trattamento dei file di log risiede, anche, nella violazione dell’art. 88 GPDR il quale prevede che gli Stati membri possono adottare normative più stringenti in termini di trattamento dei dati nel contesto lavorativo. Non si dubita che l’art. 4 della L. 300/1970 rientri in questa categoria, ciò di cui si discute è la legittimazione dell’Autorità Garante a decidere su cosa rappresenti uno strumento di controllo ai sensi della L. 300/1970 e in particolare sui rapporti tra il comma 2 e il comma 1 dell’art. 4 della L. 300/1970. Questa materia è infatti indubbiamente giuslavoristica e quindi di competenza delle sezioni specializzate delle Autorità Giurisdizionali ordinarie. Sul punto sarebbe opportuno un intervento chiarificatore della Suprema Corte di cassazione.

La valutazione di impatto- L’Autorità Garante per la protezione dei dati personali è giunta alla conclusione che il trattamento dei file di log del dipendente rientra tra quelle categorie di trattamento per cui si necessita una valutazione di impatto, ai sensi dell’art. 35 GDPR.

La ragione fonda sul fatto che l’Autorità ritiene soddisfatti due requisiti previsti dalla normativa sulla DPIA, cioè che il trattamento riguarda interessati in condizione di “vulnerabilità”, i lavoratori, e che il trattamento comporta il “monitoraggio sistematico” degli stessi.

Sulla condizione di “vulnerabilità” del lavoratore dipendente non ritengo possano esservi dubbi di sorta. Il lavoratore, infatti, non ha possibilità di rifiutare un tale trattamento né di evitarlo.

Per quanto concerne il concetto di “monitoraggio sistematico”, considerato il necessario massivo utilizzo degli strumenti digitali in certi contesti lavorativi, appare poco dubitabile che, laddove si consideri tale trattamento come una attività di controllo e monitoraggio ai sensi del già citato art. 4 L. 300/1970, questo presenti caratteri di sistematicità.

Avendo incontrato due dei requisiti previsti dalla normativa, è quindi necessario lo svolgimento di una Valutazione di Impatto ai sensi dell’art. 35 GDPR.

Certo non sfugge l’analogia tra il trattamento dei dati personali mediante impianti di video sorveglianza, motivati da esigenze di sicurezza fisica, e il trattamento dei file di log, parimenti giustificati da necessità di sicurezza informatica.

Le basi giuridiche- Nel provvedimento in discussione, le basi giuridiche analizzate dall’Autorità Garante per la Protezione dei dati personali, sono relative ai trattamenti effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato, o alla necessità di adempiere ad obblighi derivanti dalla disciplina di settore. Tuttavia oggi molte Organizzazioni, sia pubbliche che private, devono gestire i file di log come misura di sicurezza informatica obbligatoria ai sensi del D.L. 138/2024 (decreto NIS). In particolare, la registrazione dei file di log rappresenta una misura di sicurezza minima e obbligatoria per tutti i soggetti NIS ai sensi dell’allegato alla determinazione ACN 164179 del 14 aprile 2025. Pertanto, viene da domandarsi se, da ora in avanti, il trattamento dei file di log non trovi una ulteriore base giuridica nell’adempimento degli obblighi di legge inerenti alla normativa NIS. Chi scrive si chiede, inoltre, se i tempi di conservazione (21 giorni per i log delle e-mail, 90 giorni per i log dei siti internet) siano conformi a questi nuovi obblighi.

Le misure di sicurezza- Ai sensi dell’art. 58 par. 25 lett. d) del Regolamento, nel provvedimento in questione l’Autorità Garante per il Trattamento dei Dati personali suggerisce una serie di misure correttive, che diventano un’elencazione di misure di sicurezza che è opportuno adottare durante la fase di trattamento dei file di log.

Tra queste troviamo:

• La separazione dei dati: la fase di gestione dei file di log viene affidata a fornitori diversi. Uno di questi raccoglie l’indirizzo IP della macchina, l’altro l’informazione relativa all’associazione tra l’IP della macchina e il relativo MAC address e un terzo fornitore l’associazione tra il MAC address della macchina e l’utente a cui è stata assegnata.
• Individuare dettagliatamente i presupposti al ricorrere dei quali il Titolare può elaborare i dati di cui al punto precedente per risalire all’identità dei singoli dipendenti.
• Anonimizzare i log relativi agli accessi falliti ai siti web censiti nell’apposita black list;
• Termine di conservazione dei log di navigazione Internet: 90 giorni. Possibilità di conservazione per un termine ulteriore previa anonimizzazione degli stessi.
• In caso di anomalie di sicurezza, le attività di indagine e verifica andrebbero svolte a livello di singola struttura organizzativa e non a livello individuale, limitando in tal modo interventi puntuali sulla singola postazione di lavoro solo qualora le verifiche a livello aggregato non abbiano dato i risultati sperati.
• I nomi dei dipendenti assegnatari del machina devono essere cifrati.
• I trattamenti dei dati in questione devono essere effettuati da un numero limitato di soggetti, previamente individuati e espressamente autorizzati, cui siano fornite istruzioni specifiche relativamente ai rischi connessi al trattamento.

A questi si aggiungono, come già detto:

• Stipulare accordi con le rappresentanze sindacali.
• Realizzare una valutazione di impatto ai sensi dell’art. 35 GDPR.

Questo provvedimento dell’Autorità Garante per la protezione dei dati personali ha suscitato e continuerà a suscitare, ampio dibattito nella comunità della protezione dei dati personali. Le misure di sicurezza indicate, infatti, non sempre sono di facile realizzazione, alcune di queste richiedono il ricorso a fornitori, quindi spese, a cui “imporre” l’adozione di certe misure di sicurezza. Molte PMI non hanno la forza contrattuale di “imporre” alcunché a fornitori che, a volte, sottopongono contratti standard difficilmente modificabili.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Andrea Capelli

Avvocato, consulente e formatore presso realtà pubbliche e private in materia di informatica giuridica, protezione dei dati personali e sicurezza informatica

Lista degli articoli