Il Garante per la protezione dei dati personali ha inflitto una sanzione di 50.000 euro alla Regione Lombardia per la raccolta e la conservazione non conformi alla normativa dei dati di navigazione internet e dei metadati delle e-mail dei propri dipendenti.
La decisione sottolinea un principio fondamentale: i datori di lavoro possono raccogliere tali informazioni solo in presenza di condizioni specifiche e garanzie adeguate a tutela della privacy dei lavoratori.
Un’Ispezione Dettagliata Rileva Numerose Irregolarità
Il provvedimento del Garante è il risultato di un’approfondita ispezione volta a verificare l’osservanza della normativa sulla privacy da parte della Regione Lombardia, anche in relazione alle modalità di svolgimento del lavoro agile. L’indagine ha portato alla luce diverse violazioni significative.
In particolare, è emerso che la Regione raccoglieva e conservava i log di navigazione internet – che includevano informazioni sui siti web visitati dai dipendenti, compresi i tentativi falliti di accesso a siti inseriti in una “black list” – senza aver preventivamente stipulato un accordo collettivo con le rappresentanze sindacali e senza aver adottato le necessarie garanzie a protezione dei lavoratori. Questa pratica ha permesso al datore di lavoro di accedere a informazioni private dei dipendenti, non direttamente attinenti all’attività lavorativa.
Metadati Email e Misure Correttive Imposte
Anche per il trattamento dei metadati di posta elettronica dei lavoratori, inizialmente non era stato siglato alcun accordo. Sebbene la Regione avesse successivamente avviato un processo di adeguamento alle indicazioni fornite dal Garante in casi analoghi – ancor prima dell’adozione del Documento di indirizzo sui metadati – le violazioni iniziali hanno comunque determinato la sanzione.
Oltre alla multa, il Garante ha ingiunto una serie di misure correttive alla Regione Lombardia. Tra queste, spiccano:
- L’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web presenti nella black-list.
- La cifratura del dato relativo ai nomi dei dipendenti assegnatari dei PC portatili.
- La riduzione del termine di conservazione di tali dati.
Il Messaggio del Garante: Bilanciare Controllo e Diritto alla Privacy
Questa decisione del Garante privacy invia un messaggio chiaro ai datori di lavoro: la sorveglianza delle attività online e delle comunicazioni dei dipendenti deve essere rigorosamente regolamentata e motivata da esigenze lavorative legittime, sempre nel rispetto dei diritti fondamentali alla privacy e alla protezione dei dati personali. È essenziale che ogni forma di monitoraggio sia accompagnata da accordi sindacali, informative chiare ai lavoratori e misure tecniche adeguate a minimizzare l’invasione della sfera privata.
