Il Garante Privacy ha ribadito un principio chiave: i log non sono solo dati tecnici.

La raccolta e la conservazione dei dati informatici dei dipendenti, anche per finalità di sicurezza o supporto tecnico, costituisce un trattamento di dati personali e può configurare un controllo a distanza. Pertanto, il trattamento di tali dati deve rispettare le condizioni previste dallo Statuto dei Lavoratori e dal GDPR.

Diventa fondamentale per le aziende essere consapevoli delle seguenti implicazioni:

✔️ il trattamento dei dati relativi ai log di posta elettronica o di navigazione deve avvenire in modo lecito, corretto e trasparente.

✔️ a determinate condizioni, la conservazione dei metadati (quali indirizzi IP, oggetto delle e-mail, timestamp) è legittima solo in presenza di un accordo sindacale o di un’autorizzazione amministrativa.

✔️ il Garante ha specificato che anche i dati apparentemente “tecnici” possono rivelare informazioni personali e consentire il controllo a distanza dei dipendenti, richiedendo pertanto l’adozione di particolari cautele.

✔️ la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) deve essere realizzata prima che il trattamento abbia inizio.

✔️ la relazione con i fornitori di servizi IT (es. hosting dei log, sistemi di ticketing, outsourcing di e-mail) deve essere attentamente regolata e monitorata, in conformità all’art. 28 del GDPR.

Cosa fare?

✅ Mappa i trattamenti dei log e verifica tempi, accessi e finalità.

✅ A seconda del tempo di conservazione dei log di posta elettronica, applica e adotta le misure prescritte dalle normative in materia di diritto del lavoro e protezione dei dati personali.

✅ Rivedi i contratti con i fornitori IT: clausole, responsabilità e istruzioni.