Una recente decisione del Garante per la Protezione dei Dati Personali nei confronti della Regione Lombardia, emessa a seguito di accertamenti ispettivi volti a verificare l’osservanza delle norme in ambito lavorativo, compreso lo svolgimento del lavoro agile, pone l’accento sulle delicate questioni relative al trattamento dei dati personali dei dipendenti. Il provvedimento (Registro dei provvedimenti n. 243 del 29 aprile 2025) evidenzia diverse violazioni e impone misure correttive, offrendo importanti spunti di riflessione per tutti i datori di lavoro, pubblici e privati.
L’istruttoria del Garante ha riguardato, in particolare, le modalità di raccolta e conservazione dei metadati relativi all’utilizzo della posta elettronica e dei log di navigazione in Internet da parte del personale, nonché la gestione dei dati nel sistema di assistenza tecnica.
Metadati di posta elettronica: oltre la sfera tecnica
Uno dei punti critici emersi riguarda la gestione dei metadati di posta elettronica. La Regione Lombardia conservava tali dati, inclusi mittente, destinatario, data, ora, dimensione e talvolta l’oggetto, per un periodo di 90 giorni, dichiarando finalità di sicurezza informatica e assistenza tecnica. Tuttavia, il Garante ha ritenuto che una conservazione così estesa, in assenza di un preventivo accordo sindacale (o autorizzazione dell’Ispettorato Nazionale del Lavoro), costituisse un trattamento non conforme alla disciplina nazionale sui controlli a distanza dei lavoratori.
Secondo il Garante, i metadati di posta elettronica godono di garanzie di segretezza, anche a livello costituzionale, e persino i dati “esteriori” (come tempi e destinatari) possono rivelare aspetti della sfera personale se aggregati ed elaborati. L’eccezione prevista dall’art. 4, comma 2, della Legge 300/1970 (Statuto dei Lavoratori) per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa è di stretta interpretazione. La raccolta e conservazione generalizzata e preventiva dei metadati per un arco temporale esteso non rientra, di regola, in questa eccezione, ma ricade nell’ambito di applicazione del comma 1, che richiede l’accordo sindacale (o l’autorizzazione).
Il Garante ha ribadito il suo orientamento consolidato, precisando che l’attività di raccolta e conservazione dei soli metadati strettamente necessari al funzionamento e alla sicurezza essenziale del sistema può rientrare nel comma 2 solo se limitata a pochi giorni, di norma non superiore ai 21 giorni, salvo comprovare specifiche necessità di estensione. La conservazione per 90 giorni, come nel caso della Regione, è stata considerata eccedente le finalità di mero funzionamento e rientrante invece nella finalità di tutela del patrimonio informativo e della sicurezza informatica, ricondotta al comma 1 dell’art. 4.
Nonostante la Regione abbia poi stipulato accordi sindacali durante l’istruttoria e avesse avviato una riflessione interna anche prima della pubblicazione del Documento di indirizzo sui metadati, il trattamento pregresso è stato ritenuto illecito per assenza delle garanzie procedurali previste.
Log di navigazione Internet: attenzione alla pertinenza e alla conservazione
Anche per i log di navigazione in Internet è stata riscontrata una situazione analoga. La Regione raccoglieva e conservava tutti i log (inclusi i tentativi falliti di accesso a siti in black list) per 365 giorni senza un accordo sindacale.
Il Garante ha stabilito che la raccolta e conservazione sistematica dei log di navigazione, consentendo di risalire all’attività dei singoli dipendenti, richiede il rispetto dell’art. 4, comma 1, Legge 300/1970. Tali dati, infatti, possono riguardare aspetti della vita privata, e i dipendenti, specie in lavoro agile, hanno una legittima aspettativa di riservatezza.
La conservazione dei log di navigazione per 365 giorni è stata giudicata eccessiva rispetto alla finalità di sicurezza della rete, anche considerando le misure organizzative messe in atto dalla Regione per separare i dati tra diversi fornitori (indirizzo IP, MAC address, nome utente), poiché tale separazione non impediva al titolare di risalire all’identità del dipendente con la cooperazione dei fornitori.
Il trattamento è stato pertanto ritenuto non conforme ai principi di liceità, correttezza, trasparenza, minimizzazione dei dati e limitazione della conservazione. Il Garante ha anche sottolineato il divieto di raccogliere dati non attinenti all’attività lavorativa, come previsto dall’art. 113 del Codice Privacy in relazione all’art. 8 Legge 300/1970.
Dati di assistenza tecnica: i tempi di conservazione contano
Un altro punto critico ha riguardato la conservazione dei dati relativi alle richieste di assistenza tecnica nel sistema dismesso “OTRS”. Alcuni dati risalivano al 2016 ed erano ancora conservati all’epoca dell’istruttoria. Sebbene la Regione abbia poi provveduto alla cancellazione, la conservazione prolungata è stata ritenuta in contrasto con i principi di limitazione della conservazione e di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design/default).
Inoltre, l’accordo con i nuovi fornitori del servizio di assistenza (nominati responsabili del trattamento ai sensi dell’art. 28 GDPR) non copriva inizialmente il trattamento dei dati presenti nel vecchio sistema OTRS durante la fase di dismissione. Questo ha comportato una violazione degli obblighi relativi alla nomina del responsabile del trattamento.
Mancanza della valutazione d’impatto sulla protezione dei dati (DPIA)
Il Garante ha rilevato che il trattamento dei metadati di posta elettronica e dei log di navigazione Internet era stato avviato e condotto in assenza di una preliminare DPIA. La DPIA è obbligatoria quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il monitoraggio sistematico dei dipendenti tramite sistemi tecnologici rientra tipicamente in queste fattispecie, data la loro particolare vulnerabilità nel contesto lavorativo. Nonostante la Regione abbia svolto le DPIA tardivamente durante l’istruttoria, il trattamento pregresso è stato ritenuto illecito per la mancata valutazione preventiva.
È importante notare che la Regione ha chiarito che nessuno dei due procedimenti disciplinari avviati nei confronti di dipendenti negli ultimi cinque anni era basato sull’utilizzo dei log di posta elettronica o navigazione internet. Il Garante ha preso atto di ciò, escludendo una violazione specifica relativa all’uso di dati trattati illecitamente per fini disciplinari.
Sanzioni e misure correttive imposte
Per le violazioni riscontrate, il Garante ha imposto alla Regione Lombardia una sanzione amministrativa pecuniaria complessiva di 50.000 Euro. La sanzione è stata calcolata considerando separatamente le condotte relative ai metadati email (20.000 €), ai log di navigazione (25.000 €) e ai dati OTRS (5.000 €), tenendo conto sia degli elementi aggravanti (la delicatezza dei dati, l’assenza di garanzie per lungo tempo) che attenuanti (la cooperazione della Regione, l’assenza di precedenti specifici, le iniziative di adeguamento intraprese durante l’istruttoria).
In aggiunta alla sanzione, il Garante ha ingiunto alla Regione l’adozione, entro 90 giorni, di una serie di misure correttive supplementari, in particolare per i log di navigazione, per garantire una maggiore conformità del trattamento. Queste includono:
- L’anonimizzazione dei log relativi ai tentativi falliti di accesso ai siti in black list.
- La riduzione del termine di conservazione dei log di navigazione da 365 a 90 giorni, con cancellazione dei dati personali oltre tale termine e possibilità di conservazione anonimizzata per periodi ulteriori.
- Lo svolgimento delle verifiche legate ad anomalie di sicurezza principalmente a livello organizzativo, limitando l’identificazione individuale a casi estremi.
- La cifratura del dato relativo ai nomi dei dipendenti assegnatari delle macchine.
- L’autorizzazione al trattamento di questi dati solo a un numero strettamente limitato di persone appositamente selezionate e istruite.
- L’aggiornamento degli accordi sindacali per riflettere le nuove misure.
La Regione dovrà comunicare al Garante le iniziative intraprese entro 30 giorni dalla notifica del provvedimento.
Conclusioni e raccomandazioni per i datori di lavoro
La decisione del Garante conferma la grande attenzione rivolta alla tutela della privacy dei lavoratori nell’era digitale, sottolineando l’equilibrio delicato tra le legittime esigenze organizzative e di sicurezza del datore di lavoro e i diritti fondamentali dei dipendenti.
Per evitare sanzioni e garantire la conformità normativa, i datori di lavoro devono:
- Valutare attentamente la necessità e la proporzionalità del trattamento dei dati personali dei dipendenti, inclusi metadati di posta elettronica e log di navigazione.
- Qualora i trattamenti configurino un controllo a distanza che vada oltre il mero utilizzo degli strumenti di lavoro per le mansioni, è indispensabile rispettare le garanzie procedurali previste dall’art. 4, comma 1, Legge 300/1970, ovvero stipulare un accordo sindacale o ottenere un’autorizzazione amministrativa.
- Prestare particolare attenzione ai tempi di conservazione dei dati, aderendo ai principi di limitazione della conservazione e minimizzazione dei dati, come ribadito dal Garante anche nel contesto dei metadati email (massimo 21 giorni per finalità meramente tecniche, salvo necessità specificamente motivate).
- Effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima di implementare trattamenti che presentino un rischio elevato, come il monitoraggio sistematico dei dipendenti.
- Assicurarsi che gli accordi con i fornitori (responsabili del trattamento ai sensi dell’art. 28 GDPR) siano esaustivi e dettagliati, coprendo tutte le specifiche attività di trattamento svolte per conto del titolare.
- Implementare misure tecniche e organizzative adeguate per garantire la sicurezza e la protezione dei dati, inclusi, se del caso, anonimizzazione, pseudonimizzazione e cifratura.
- Mantenere procedure interne chiare e istruzioni documentate per il personale autorizzato al trattamento dei dati dei dipendenti.
Questa decisione rafforza l’importanza di un approccio proattivo e consapevole nella gestione della privacy in ambito lavorativo, suggerendo ai datori di lavoro di rivedere attentamente le proprie politiche e pratiche alla luce degli orientamenti del Garante e del quadro normativo vigente.
Giugno 2025
