Il Garante per la Protezione dei Dati Personali con Provvedimento del 29 aprile 2025 ha concluso un’istruttoria nei confronti della Regione Lombardia. L’indagine, avviata d’ufficio, ha preso in esame la gestione dei dati personali dei lavoratori, con particolare attenzione ai metadati della posta elettronica, ai log di navigazione Internet e ai dati delle richieste di assistenza tecnica. Il risultato è stato una sanzione complessiva di 50.000 euro e una serie di prescrizioni stringenti a tutela della privacy dei lavoratori nel contesto lavorativo.
La vicenda si inserisce in un quadro normativo complesso, dove il datore di lavoro può trattare i dati dei dipendenti solo per finalità specifiche e nel rispetto di garanzie procedurali ben definite. In particolare, la raccolta e la conservazione di informazioni che potrebbero consentire un controllo a distanza dell’attività dei lavoratori – come i metadati delle e-mail e i log di navigazione – richiedono la stipula di accordi sindacali ai sensi dell’art. 4 dello Statuto dei Lavoratori. Tuttavia, la Regione Lombardia aveva proceduto a tali trattamenti senza aver prima sottoscritto gli accordi necessari.
L’attività ispettiva del Garante ha messo in luce che i metadati della posta elettronica venivano conservati in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali per ben 90 giorni, ben oltre il limite indicato dalle linee guida dell’Autorità, che fissa in 21 giorni il periodo massimo per la conservazione di tali dati quando finalizzata al funzionamento delle infrastrutture. Inoltre, i log di navigazione Internet venivano raccolti e conservati per un anno intero, senza distinzione tra dati attinenti all’attività lavorativa e dati personali, e senza che fosse stato svolto un percorso di valutazione d’impatto sulla protezione dei dati (DPIA), come previsto dal GDPR. Il sistema di ticketing per l’assistenza tecnica, poi, conservava i dati delle richieste dei dipendenti per periodi eccessivamente lunghi, senza una regolamentazione adeguata dei rapporti con i fornitori.
La Regione, nel corso dell’istruttoria, ha cercato di difendere le proprie scelte, sostenendo che la raccolta e la conservazione dei dati erano necessarie per garantire la sicurezza informatica e il corretto funzionamento dei servizi, e che le misure tecniche e organizzative impedivano di risalire autonomamente all’identità del dipendente. Tuttavia, il Garante ha rilevato che queste precauzioni, pur apprezzabili, non erano sufficienti a garantire la piena conformità alla normativa, soprattutto in assenza degli accordi sindacali e di una valutazione d’impatto.
Tra le prescrizioni imposte dal Garante, spiccano la riduzione a 90 giorni del periodo di conservazione dei log di navigazione Internet (con possibilità di conservazione ulteriore solo previa anonimizzazione), l’anonimizzazione dei tentativi falliti di accesso ai siti in blacklist, la cifratura dei dati relativi ai nomi dei dipendenti assegnatari delle macchine e la limitazione dell’accesso ai dati solo a un numero ristretto di persone autorizzate. La Regione dovrà inoltre aggiornare gli accordi sindacali e comunicare al Garante, entro 30 giorni, le iniziative intraprese per conformarsi alle nuove regole. La sanzione comminata, pari a 50.000 euro, è stata così ripartita: 20.000 euro per il trattamento illecito dei metadati di posta elettronica, 25.000 euro per quello dei log di navigazione Internet e 5.000 euro per il trattamento dei dati delle richieste di assistenza tecnica.
