Il Garante per la protezione dei dati personali ha comminato una sanzione di 50.000 euro alla Regione Lombardia per il trattamento illecito dei metadati delle e-mail e dei log di navigazione Internet dei propri dipendenti, in violazione della normativa privacy e del GDPR. Si tratta del primo intervento esplicito dell’Autorità che fa riferimento alle linee guida del “Documento di indirizzo sulla gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 6 giugno 2024.
Le violazioni contestate.
Al termine dell’attività istruttoria, l’Autorità ha accertato che la Regione conservava i metadati di posta elettronica per 90 giorni, superando il limite di 21 giorni previsto nel documento di indirizzo del Garante del giugno 2024, in assenza di accordo sindacale, e i log di navigazione Internet per 12 mesi, senza adeguate misure di anonimizzazione e senza aver stipulato accordi con le rappresentanze sindacali.
Questa raccolta sistematica e prolungata ha configurato un controllo indiretto e ingiustificato sull’attività lavorativa e sulla sfera privata dei dipendenti, in palese violazione dei principi di minimizzazione, proporzionalità e limitazione della conservazione sanciti dagli artt. 5 e 25 del GDPR.
Ancora più rilevante è la mancata effettuazione della Valutazione d’Impatto sulla Protezione dei Dati (DPIA), strumento imprescindibile per valutare e mitigare i rischi di trattamenti che possono ledere i diritti fondamentali degli interessati.
Infine, è stata accertata la gestione irregolare dei dati del sistema di ticketing per le richieste di assistenza tecnica, conservati per un periodo di 9 anni senza giustificazioni e senza un accordo contrattuale specifico con i fornitori, violando l’art. 28 del GDPR.
Le misure correttive.
Il Garante ha imposto che la Regione assicuri l’adozione di una serie di misure correttive, con particolare riferimento a:
- Riduzione a 90 giorni del termine di conservazione dei log di navigazione in Internet, relativi ai tentativi di accesso falliti ai siti web censiti nella black list, con possibilità di conservazione per un periodo ulteriore previa anonimizzazione degli stessi, in modo da non consentire l’identificabilità del dipendente e il rafforzamento delle garanzie per la tutela dei lavoratori.
- Cifratura dei dati sensibili, quali i nomi dei dipendenti assegnatari della macchina, prevedendo istruzioni specifiche e documentate ai fornitori;
- Trattamento dei dati limitato a persone fisiche appositamente selezionate, che dovranno essere qualificate come “designate” e istruite in relazione ai rischi connessi al trattamento in questione;
- Aggiornamento degli accordi già stipulati ai sensi dell’art. 4 della l. 20 maggio 1970, n. 300, con le rappresentanze sindacali alla luce delle misure sopra indicate.
Implicazioni operative e raccomandazioni.
Questo provvedimento rappresenta un monito importante per enti pubblici e aziende private, che devono adeguare le proprie politiche di trattamento dati, rispettando i limiti temporali, assicurando la trasparenza verso i dipendenti e adottando un approccio di “privacy by design”.
In particolare, è necessario:
- Condurre una DPIA prima di implementare sistemi di raccolta di metadati e log di navigazione;
- Rivedere le politiche di conservazione dei dati, adeguandole ai termini indicati (21 giorni per i metadati, riduzione del periodo per i log con anonimizzazione);
- Stipulare accordi sindacali chiari e dettagliati, nel rispetto dell’art. 4 L. 300/1970, e integrare le informative privacy rivolte ai dipendenti;
- Formalizzare istruzioni ai fornitori nell’ambito delle nomine di responsabile del trattamento;
- Adottare misure tecniche di sicurezza quali cifratura, anonimizzazione e controllo degli accessi per minimizzare i rischi.
