Con il provvedimento n. 243 del 29 aprile 2025, il Garante per la Protezione dei Dati Personali ha sanzionato la Regione Lombardia per 50 mila euro complessivi per la violazione della normativa privacy relativa ai trattamenti dei dati dei propri dipendenti, anche in relazione a situazioni di lavoro agile.
Tra le violazioni contestate alla Regione Lombardia, l’Autorità ha rilevato il trattamento illecito dei metadati delle comunicazioni di posta elettronica dei dipendenti, nonché dei file di log relativi alla navigazione Internet.
L’attività istruttoria
Nell’ambito della propria attività istituzionale di vigilanza, l’autorità Garante per la Protezione dei Dati Personali (“Autorità”) ha condotto accertamenti ispettivi nei confronti della Regione Lombardia (“Ente”), con l’obiettivo di verificare la liceità dei trattamenti effettuati sui dati personali del personale dipendente, anche nel contesto del lavoro agile.
Gli accertamenti hanno fatto emergere diverse criticità, in particolare in merito alla raccolta e alla conservazione generalizzata dei metadati della posta elettronica e dei log di navigazione Internet da parte dei dipendenti.
Sul trattamento dei metadati della posta elettronica dei dipendenti
Dall’attività istruttoria posta in essere dall’Autorità è emerso che l’Ente ha posto in essere attività di trattamento particolarmente invasive, effettuate mediante la raccolta generalizzata e indiscriminata dei metadati della posta elettronica dei propri dipendenti, definendo un periodo di conservazione pari a 90 giorni, e in assenza di un preventivo accordo con le organizzazioni sindacali ai sensi dell’art. 4, comma 1, della L. n. 300/1970 (“Statuto dei lavoratori”).
In particolare, sostiene l’Autorità, attraverso la raccolta preventiva e generalizzata di tali tipologie di dati, per una generica finalità di sicurezza informatica e assistenza tecnica legata a problemi inerenti le comunicazioni di posta elettronica, l’Ente ha la possibilità di effettuare un monitoraggio sull’attività lavorativa dei propri dipendenti; ipotesi disciplinata espressamente dall’art. 4, comma 1 dello Statuto dei lavoratori, a mente del quale è possibile far ricorso a strumenti che possono comportare anche solo la possibilità di monitorare l’operato dei propri dipendenti solamente i) per finalità legate ad esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nonché ii) a condizione che sia preventivamente siglato un accordo con le rappresentazioni sindacali.
Invero, come rilevato anche dall’Autorità, si ritiene applicabile la tutela prevista dall’art. 4, comma 1 dello Statuto dei lavoratori e dall’art. 88 del GDPR qualora il sistema adottato dal titolare del trattamento agisca con modalità non percepibili dal lavoratore e in modo del tutto indipendente rispetto alla normale attività dello stesso, ovvero nel caso di sistemi che non sono solo funzionali alla prestazione, ma consentono anche ulteriori elaborazioni da parte del datore di lavoro per il perseguimento di proprie finalità; specie nei casi in cui tali funzionalità non possano essere disabilitate dal dipendente.
Diversamente, l’applicazione dell’esimente di cui al comma 2 dell’art. 4 dello Statuto dei lavoratori sarebbe possibile, esclusivamente nel caso in cui i) siano raccolti e conservati i soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e il soddisfacimento delle più essenziali garanzie di sicurezza informatica, determinati all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione; ii) tali dati siano conservati per un periodo di tempo molto limitato, comunque non superiore ai 21 giorni, “salvo che il titolare, sempre nel perseguimento della predetta finalità riconducibile all’alveo del comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300, comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l’estensione in ragione delle specificità della propria realtà tecnica e organizzativa”. Dunque, nel caso in cui il titolare datore di lavoro ritenesse necessario conservare i metadati della casella di posta strettamente necessari per un periodo ulteriore a 21 giorni, rispetto alle finalità determinate, sarà tenuto a documentare e giustificare adeguatamente tali esigenze, tenuto conto anche dei possibili rischi sui diritti e le libertà fondamentali dei propri dipendenti, redigendo una valutazione d’impatto e tutta la documentazione ritenuta idonea a fornire una giustificazione adeguata sulla necessità, la pertinenza e la liceità del trattamento.
Ciò anche tenuto conto del fatto i metadati di posta elettronica, come ribadito dalla stessa Autorità, “risultano assistiti da garanzie di segretezza, tutelate anche costituzionalmente (artt. 2 e 15 Cost.), intese ad assicurare protezione al nucleo essenziale della dignità della persona e al pieno sviluppo della sua personalità nelle formazioni sociali” e che tali operazioni di trattamento sono effettuate per esigenze proprie del datore di lavoro, automaticamente e indipendentemente dalla percezione e dalla volontà del lavoratore il quale, al contrario, anche nel contesto lavorativo, può nutrire una “legittima aspettativa di riservatezza in relazione alla corrispondenza e, analogamente, agli elementi ricavabili dai dati esteriori della stessa, che ne definiscono i profili temporali (come la data e l’ora di invio/ricezione) nonché gli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo”.
Sulla rilevazione dei metadati della navigazione web
Analogamente, l’Autorità ha ritenuto illecito il trattamento effettuato mediante la rilevazione sistematica, generalizzata e indiscriminata dei dati di log della navigazione in Internet dei dipendenti, comprensiva, altresì, dei tentativi falliti di accesso a siti censiti nelle blacklist, in assenza di un previo accordo sindacale, per finalità di sicurezza della rete.
Invero, l’Autorità ha ribadito che anche le attività di rilevazione e la conseguente conservazione dei log di navigazione web possono comportare un monitoraggio sulle attività lavorative dei dipendenti, nonché il trattamento di informazioni personali estranee all’attività professionale, in grado, in taluni casi, di rivelare aspetti della sfera personale e della vita privata dei dipendenti, tutelati dall’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea e dall’art. 8 della Convenzione europea dei diritti dell’uomo, nonché aspetti più intimi della persona ai sensi dell’art. 9 del GDPR.
Per tali motivi, il trattamento di tali dati, prosegue l’Autorità, è esperibile solo a condizione che: i) sia siglato specifico accordo con le organizzazioni sindacali ai sensi dell’art. 4, comma 1 dello Statuto dei lavoratori; ii) siano poste in essere tutte le altre attività prodromiche necessarie a rendere lecito il trattamento, quali, a titolo esemplificativo, lo svolgimento della valutazione di impatto ex art. 35 del GDPR; iii) il trattamento avvenga nel rispetto dei principi di liceità, necessità e finalità del trattamento, mediante la raccolta dei soli dati necessari, pertinenti ed adeguati rispetto alla finalità che si intende perseguire; iv) sia determinato un periodo di conservazione congruo rispetto alle finalità – nel caso di specie i log di navigazione web venivano conservati per un periodo temporale ritenuto eccessivo dall’Autorità e pari a 365 giorni.
L’esigenza di ridurre il rischio di usi impropri della navigazione web da parte dei dipendenti non può infatti giustificare ogni forma di interferenza nella loro vita privata, consentita soltanto con la predisposizione di misure tecniche e organizzative idonee a prevenire la raccolta e il trattamento di dati personali non pertinenti.
Per tali motivi, l’Autorità, oltre a sanzionare l’Ente, ha ingiunto alla Regione Lombardia una serie di misure correttive tra cui, in particolare: i) l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; ii) la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; iii) la riduzione a 90 giorni del termine di conservazione dei file di log di navigazione Internet dei dipendenti, periodo ritenuto adeguato dall’Autorità rispetto alla finalità di sicurezza della rete perseguita dall’Ente, con possibilità conservazione per un periodo di tempo ulteriore previa anonimizzazione degli stessi, in modo da non consentire l’identificabilità del dipendente e ferma restando la cancellazione dei dati personali presenti nei log registrati per oltre 90 giorni.
Avv. Simona Lanna e Dott. Lapo Lucani
