Con il Provv. n. 243 del 29 aprile 2025 il Garante, anche a seguito del Provvedimento n. 346 del 6 giugno 2024 ≪Documento di Indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento di metadati≫, ha terminato un’attività ispettiva nei confronti della Regione Lombardia per verificare il rispetto della normativa sulla protezione dei dati personali e, in particolare, nel contesto dell’utilizzo di strumenti digitali in ambito lavorativo, nella cornice del lavoro agile (cd. “Smart working”).
L’indagine ha rivelato una serie di trattamenti di dati personali relativi ai dipendenti della Regione Lombardia, effettuati tramite sistemi di gestione della posta elettronica, log di navigazione internet e sistemi di ticketing I.T. Questi trattamenti presentavano criticità e non conformità al Regolamento (UE) 2016/679 (GDPR) e al Codice Privacy (D.lgs. n.196/2003 e s.m.i.).
Assenza di Accordi Sindacali e Controllo a Distanza
L’Autorità ha riscontrato l’assenza di accordi sindacali, come previsto dall’art. 4 della L. n. 300/1970 (cd. “Statuto dei Lavoratori”), nei casi in cui i trattamenti avrebbero potuto configurare un controllo a distanza sull’attività lavorativa dei dipendenti. Sebbene il monitoraggio fosse indiretto e apparentemente orientato a fini tecnici e di sicurezza, permetteva comunque di ricondurre i dati a soggetti identificabili. Di conseguenza, le misure adottate dalla Regione sono state giudicate insufficienti a garantire la liceità, proporzionalità e trasparenza del trattamento.
Illecito Trattamento dei Metadati della Posta Elettronica
Il Garante ha contestato alla Regione Lombardia l’illiceità del trattamento dei metadati relativi all’uso della posta elettronica da parte dei dipendenti. I log venivano conservati per 90 giorni, ben oltre il termine indicativo di 21 giorni stabilito da precedenti provvedimenti, e raccolti sistematicamente senza un previo accordo collettivo sindacale. Nonostante la Regione sostenesse che tale trattamento fosse finalizzato esclusivamente alla manutenzione tecnica e alla sicurezza del sistema, l’Autorità ha chiarito che, per le sue modalità e durata, rientrava nell’ambito di applicazione del comma 1 dell’art. 4 dello Statuto dei Lavoratori, richiedendo quindi garanzie procedurali specifiche. Sono stati violati gli artt. 5, § 1, lett. a) e 6 del GDPR, nonché l’art. 88 del GDPR e l’art. 114 del Codice Privacy, poiché l’uso di dati idonei a un controllo individuale esige una base giuridica solida, un’informativa adeguata e il rispetto dei principi di trasparenza e liceità.
Monitoraggio della Navigazione Internet non Conforme
Anche il monitoraggio della navigazione internet dei dipendenti è risultato non conforme. I dati venivano raccolti e conservati per 12 mesi, con la possibilità di risalire all’utente tramite correlazione di IP e utenza, sebbene memorizzati separatamente. Questa pratica permetteva un controllo indiretto, ma effettivo, dell’attività lavorativa, anch’esso privo di un accordo sindacale. Inoltre, i log potevano contenere tentativi di accesso a siti non attinenti all’attività lavorativa, con il rischio di trattare dati personali non pertinenti e potenzialmente sensibili. Ciò ha comportato violazioni degli artt. 5, § 1, lett. a), c) ed e), 6, 25 e 88 del GDPR, e degli artt. 113 e 114 del Codice Privacy.
Criticità nel Sistema di Ticketing I.T. (O.T.R.S.)
La Regione utilizzava il sistema O.T.R.S. per la gestione delle richieste di assistenza tecnica del personale. I dati raccolti tramite questo sistema erano conservati per un periodo eccessivo, fino a 78 mesi, senza adeguata giustificazione. Inoltre, mancava una regolamentazione contrattuale completa e specifica per i trattamenti effettuati in tale contesto da parte dei fornitori esterni, in violazione dell’art. 28 del GDPR. L’Autorità ha sottolineato che i dati contenuti nel sistema avrebbero dovuto essere anonimizzati o cancellati più tempestivamente, in linea con il principio di limitazione della conservazione (art. 5, § 1, lett. e) GDPR).
Mancanza di Valutazione d’Impatto sulla Protezione dei Dati (D.P.I.A.)
Una delle carenze più significative è stata l’assenza di una Valutazione d’Impatto sulla Protezione dei Dati (D.P.I.A.) per i trattamenti dei metadati della posta elettronica e dei log di navigazione. Ai sensi dell’art. 35 del GDPR, tale valutazione è obbligatoria in presenza di trattamenti che comportano “rischi elevati per i diritti e le libertà degli interessati”, come nel caso del monitoraggio sistematico in un contesto lavorativo, dove i dipendenti sono considerati soggetti vulnerabili. Solo nel corso dell’istruttoria la Regione ha provveduto a effettuare la D.P.I.A. e a trasmettere le relative evidenze documentali.
Utilizzo dei Log per Contestazioni Disciplinari e Violazione dei Principi di Finalità
In almeno due episodi specifici, la Regione ha utilizzato i log raccolti per contestazioni disciplinari nei confronti di dipendenti. Questa condotta ha aggravato la posizione dell’amministrazione, dimostrando che i dati venivano utilizzati per finalità ulteriori rispetto a quelle dichiarate (sicurezza e manutenzione tecnica), in violazione del principio di limitazione della finalità (art. 5, § 1, lett. b) GDPR) e dell’art. 6 del Regolamento. È stato inoltre rilevato che, prima della stipula tardiva di un addendum contrattuale, i trattamenti svolti dai fornitori incaricati della gestione del sistema O.T.R.S. non erano adeguatamente regolati sotto il profilo della responsabilità del trattamento, configurando una violazione dell’art. 28 del GDPR.
Comportamento Collaborativo della Regione e Sanzione
Il comportamento collaborativo della Regione Lombardia durante l’istruttoria è stato valutato positivamente, contribuendo all’attenuazione della sanzione. La Regione ha infatti stipulato due distinti accordi sindacali collettivi (per il personale non dirigenziale e per quello dirigenziale), adottando e aggiornando un decreto infotelematico ed eseguendo la D.P.I.A. Infine, ha regolamentato con efficacia retroattiva i rapporti con i fornitori del sistema O.T.R.S. ai sensi dell’art. 28 GDPR, disponendo l’anonimizzazione o pseudonimizzazione di alcuni dati utilizzati nei sistemi informatici esistenti. Alla luce di ciò, il Garante ha comminato una sanzione pecuniaria complessiva di 50.000 €.
Conclusioni e Raccomandazioni per le Pubbliche Amministrazioni
Le conclusioni derivanti da questo provvedimento sono estensibili a tutte le Pubbliche Amministrazioni. È fondamentale prestare attenzione non solo alla gestione dei rapporti contrattuali privacy compliant con i fornitori e provider di servizi (anche di posta elettronica certificata), ma anche a quelli di manutenzione e di misure di sicurezza informatica che possano ricondurre, anche indirettamente ma effettivamente, al controllo dell’operato del dipendente.
Il Garante ha inoltre sottolineato la necessità di un’informativa trasparente e coerente e dell’accordo sindacale o, in assenza, dell’autorizzazione dell’Ispettorato Territorialmente Competente del Lavoro. Tali trattamenti, per i mezzi e le tecnologie coinvolte e la platea di interessati, richiedono una valutazione proattiva dei rischi e della compliance preventiva da parte delle pubbliche amministrazioni, specialmente in presenza di software e applicativi ormai pervasivamente integrati nei processi lavorativi.
A cura di Dott.ssa Cristina Pieretti
