Il Garante per la protezione dei dati personali ha comminato una sanzione di 50mila euro alla Regione Lombardia per aver raccolto e conservato i log di navigazione internet e i metadati delle e-mail dei dipendenti senza le dovute garanzie e senza il preventivo accordo con le rappresentanze sindacali.
Il provvedimento arriva al termine di un’ispezione volta a verificare l’osservanza della normativa sulla privacy in relazione al trattamento dei dati dei lavoratori, inclusi quelli in smart working.
Violazioni Rilevate: Dati di Navigazione e Metadati Email
L’istruttoria del Garante ha messo in luce diverse violazioni. In particolare:
- Raccolta dei log di navigazione: La Regione Lombardia raccoglieva e conservava informazioni sui siti web visitati dai dipendenti, inclusi i tentativi falliti di accesso a siti inseriti in una “black list”. Questo avveniva senza alcun accordo collettivo con le rappresentanze sindacali e senza adeguate garanzie a tutela dei lavoratori. Un trattamento che, tra l’altro, permetteva al datore di lavoro di accedere a dati privati e non strettamente pertinenti all’attività lavorativa.
- Trattamento dei metadati di posta elettronica: Inizialmente, la Regione non aveva siglato alcun accordo per il trattamento dei metadati delle e-mail dei dipendenti. Sebbene la Regione abbia avviato un processo di adeguamento alle indicazioni del Garante nel corso dell’istruttoria, la mancanza iniziale di un accordo ha comunque costituito una violazione.
Misure Correttive Imposte dal Garante
Oltre alla sanzione pecuniaria, il Garante ha imposto alla Regione Lombardia una serie di misure correttive:
- Anonimizzazione dei log: I log relativi ai tentativi falliti di accesso ai siti web presenti nella black-list dovranno essere anonimizzati.
- Cifratura dei dati: Il dato concernente i nomi dei dipendenti assegnatari di PC portatili dovrà essere cifrato.
- Riduzione dei tempi di conservazione: Il termine di conservazione di tali dati dovrà essere ridotto.
Questa decisione del Garante Privacy ribadisce l’importanza cruciale del rispetto della normativa sulla protezione dei dati dei lavoratori, sottolineando la necessità di bilanciare le esigenze di controllo del datore di lavoro con il diritto alla privacy dei dipendenti, anche nell’era del lavoro agile. Le aziende e gli enti pubblici sono avvisati: la raccolta e il trattamento dei dati dei dipendenti richiedono procedure chiare, trasparenti e, ove previsto, l’accordo con le rappresentanze sindacali.
