Smart working: maximulta del Garante alla Regione Lombardia

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia per una serie di irregolarità nel trattamento dei dati dei propri dipendenti, in particolare relativi a

• all’uso della posta elettronica e 
• alla navigazione internet.

L’ispezione, avviata d’ufficio, mirava a verificare la conformità delle pratiche adottate nel contesto del lavoro agile.

Dall’istruttoria è emerso che la Regione conservava i metadati della posta elettronica (informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi) per 90 giorni, e i log di navigazione internet per ben 12 mesi, senza aver prima stipulato accordi sindacali come richiesto dalla normativa (art. 4, comma 1, Legge 20 maggio 1970, n. 300). 

Inoltre, tali trattamenti non erano stati preceduti da una valutazione d’impatto sulla protezione dei dati, violando l’art. 35 del Regolamento (UE) 2016/679 (GDPR).

Qui le indicazioni del garante sula privacy nel lavoro dipendente

Solo durante l’istruttoria, la Regione ha provveduto a regolarizzare la situazione, stipulando accordi con le organizzazioni sindacali e introducendo misure migliorative, ma ciò non è bastato ad evitare la sanzione.

Scarica qui il provvedimento del Provvedimento  243 del 29 aprile 2025 [doc web 10134221] reso noto nella Newsletter del 30.5.2025.

1) Le violazioni: dati conservati troppo a lungo e uso non proporzionato

Il Garante ha rilevato come la conservazione dei metadati e dei log fosse eccessiva e sproporzionata rispetto alle finalità dichiarate, che erano di natura tecnica o legate alla sicurezza informatica.

 In particolare, per i metadati email, il limite previsto per un uso tecnico e lecito secondo l’art. 4, comma 2, dello Statuto dei Lavoratori, è generalmente fissato a 21 giorni. Superare tale soglia, come nel caso della Regione, rientra invece nella casistica dell’art. 4, comma 1, che impone l’accordo sindacale.

Per i log di navigazione, la situazione è risultata ancora più delicata: la raccolta sistematica e la possibilità di ricondurre tali dati ai singoli dipendenti, seppure mediante l’incrocio di dati fra fornitori, configura un controllo indiretto dell’attività lavorativa.

 Il Garante ha quindi stabilito che tale pratica, in assenza di adeguate misure tecniche e di anonimizzazione, viola i principi di minimizzazione, proporzionalità e limitazione della conservazione previsti dagli artt. 5 e 25 del GDPR.

Anche la gestione dei ticket di assistenza tecnica tramite il vecchio sistema OTRS ha sollevato criticità: i dati erano conservati fino a 9 anni senza giustificazioni adeguate, e mancava un accordo specifico con i fornitori per disciplinare il trattamento, in violazione dell’art. 28 del GDPR.

2) La decisione del Garante e le misure richieste

A conclusione dell’istruttoria, il Garante ha dichiarato l’illiceità dei trattamenti e ha inflitto tre sanzioni amministrative distinte:

• 20.000 euro per la conservazione illecita dei metadati di posta elettronica;
• 25.000 euro per la conservazione eccessiva dei log internet;
• 5.000 euro per la gestione impropria dei dati di assistenza tecnica.

Oltre alla multa, la Regione Lombardia dovrà adottare misure correttive entro 90 giorni, tra cui:

• anonimizzare i log di navigazione più datati;
• ridurre a 90 giorni la conservazione dei dati internet, estendibile solo se anonimizzati;
• limitare l’accesso a tali dati a un numero ristretto di soggetti autorizzati;
• aggiornare gli accordi sindacali in coerenza con le nuove disposizioni.

Il provvedimento è stato pubblicato sul sito del Garante in base all’art. 166 del Codice in materia di protezione dei dati personali, per la sua rilevanza e funzione dissuasiva.