Ogni giorno, chi lavora in un ufficio, lascia una traccia digitale, un “metadato” o un “log” di navigazione (con un click, una e-mail inviata, un sito visitato…) del suo operato, impronte elettroniche che il datore di lavoro può raccoglierle, conservare e analizzarle liberamente. Una recente, molto discussa e criticata, decisione del Garante per la protezione dei dati personali (provvedimento 243 del 29 aprile 2025), ci dà una mano, nell’attività di difesa dei lavoratori.  

Partiamo subito dall’articolo 4 dello Statuto dei Lavoratori, la norma che disciplina i controlli a distanza sull’attività dei dipendenti, disciplina novellata a seguito della riforma del Jobs Act del 2015. Al comma 1 dell’art. 4, apprendiamo che gli impianti e gli strumenti dai quali può derivare un controllo a distanza dell’attività dei lavoratori, possono essere installati solo previo accordo sindacale (con RSU o RSA) o, in mancanza, con l’autorizzazione dell’Ispettorato del Lavoro. Al comma 2, però, si prevede un’importante eccezione: questa procedura di accordo o autorizzazione non si applica agli strumenti che vengono utilizzati dal lavoratore per rendere la prestazione lavorativa (come il computer, il tablet, lo smartphone aziendale) e agli strumenti di registrazione degli accessi e delle presenze (come il badge). Fin qui tutto chiaro? Non proprio. Con il provvedimento su richiamato (243/2025), il Garante della Privacy ha preso una posizione molto netta e per certi aspetti indigesta ai datori di lavoro 🡪  (privacy nelle mail) per la posta elettronica: affermando che la conservazione dei metadati (mittente, destinatario, oggetto, data, ora, ma non il contenuto del messaggio) per un periodo superiore a 21 giorni non è più giustificata da semplici esigenze di funzionamento e sicurezza. Diventa, a tutti gli effetti, un controllo a distanza sull’attività lavorativa. Di conseguenza richiede il preventivo accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro, come previsto dal primo comma dell’articolo 4. E per la navigazione su Internet? Stessa cosa 🡪 La raccolta e la conservazione dei log di navigazione internet dei dipendenti (cioè l’elenco dei siti visitati), inclusi i tentativi falliti di accesso a siti bloccati da una “black list” aziendale, è illegittima se avviene senza la preventiva autorizzazione sindacale o amministrativa. La giustificazione, secondo il Garante, si fonda sulla “legittima aspettativa di riservatezza” del lavoratore, (si richiamano, sul punto, la segretezza della corrispondenza - articoli 2 e 15 della Costituzione e il divieto di indagini sulle opinioni - articolo 8 dello Statuto dei Lavoratori -, oltre che il diritto alla vita privata sancito da fonti europee - articolo 8 della CEDU e articolo 7 della Carta dei diritti fondamentali dell’UE). I critici del provvedimento fanno notare che in un mondo digitale, qualsiasi strumento di lavoro lascia una traccia (un log, un metadato) e consente “ulteriori elaborazioni”. Se così non fosse, se non ci fosse alcuna potenzialità di controllo, lo strumento sarebbe addirittura fuori dal campo di applicazione dell’articolo 4. Seguendo la logica del Garante, sostengono gli oppositori, l’eccezione prevista dal secondo comma per gli strumenti di lavoro non si applicherebbe praticamente in nessun caso e lo spazio applicativo di questa norma verrebbe azzerato. In realtà l’interpretazione del Garante riporta la situazione a com’era prima della riforma del pessimo Jobs Act che perfino la sinistra, dopo averlo partorito, ha pensato di eliminarlo con il fallito referendum colorato, imponendo la necessità di un accordo sindacale o di un’autorizzazione amministrativa per quasi ogni strumento tecnologico aziendale. Sempre secondo i critici della posizione del Garante, appare poco comprensibile, il motivo per cui i metadati della posta elettronica, se conservati per 21 giorni, sarebbero uno “strumento di lavoro”, ma gli stessi identici dati, se conservati per 22 giorni, perderebbero magicamente questa caratteristica e diventerebbero uno “strumento di controllo”.  Fuori della discussione tra le parti, che poco ci interessa come operatori sindacali, il pronunciamento del Garante ci torna utile quindi … lo ringraziamo 

Cosa fanno notoriamente le aziende per superare il problema?   Le più avvedute si dotano di una policy interna chiara e trasparente (il cosiddetto “disciplinare interno” o “regolamento informatico”) che vieta espressamente ogni utilizzo privato degli strumenti aziendali e informa i dipendenti della possibilità che vengano effettuati dei controlli per garantire la sicurezza e il corretto utilizzo degli strumenti. Il lavoratore in questa circostanza viene avvisato che quello strumento è solo per lavorare e che può essere controllato, quindi non può legittimamente aspettarsi (le richiamate aspettative) di avere la stessa privacy che avrebbe usando il suo computer o il suo telefono personale. Questo passaggio aiuta non poco le aziende, in caso di un contenzioso con i lavoratori, a risolvere positivamente la vertenza