La sanzione da 50miila euro inflitta alla Regione Lombardia dal Garante Privacy il 29 aprile 2025, a seguito di un'indagine sulla sua infrastruttura informatica, rappresenta un precedente significativo. Il caso ruota intorno al trattamento dei metadati della posta elettronica e della navigazione Internet dei dipendenti. Come sottolineato dall'avvocato Ugo Di Stefano, senior partner di Studio Legale Lexellent, che ha risposto a una nostra intervista sul tema, si tratta della “prima sanzione che il Garante Privacy fa dopo le linee guida del 2024 sui metadati di posta elettronica”.
In realtà un precedente c’è, e risale al 2022: la multa di 100mila euro alla Regione Lazio, per controlli non autorizzati sui metadati delle email dei dipendenti (oltre che per mancato aggiornamento dei dati). Ma la sanzione a Regione Lombardia è la prima applicazione concreta delle linee guida del 2024 del Garante in materia di metadati della posta elettronica. Tali linee guide, in seguito a un forte dibattito pubblico, nel giugno dello scorso anno erano state modificate, spostando il termine di conservazione per i metadati da 7 a 21 giorni.
L'insistenza del Garante sulla limitazione della conservazione dei metadati e sui controlli stringenti deriva principalmente dalla preoccupazione per la perdita di informazioni personali raccolte dai fornitori tecnologici, e in particolare dai cloud provider globali. “L'obiettivo del Garante, ma non solo in Italia perché si tratta di un trend europeo, è di limitare la dispersione di informazioni personali in questi grandi serbatoi di dati”, ha spiegato Di Stefano. “Quello che viene chiesto è di dedicare tempo e risorse, interne nel caso si abbia un Data Protection Officer, esterne nel caso si ricorra per la privacy a un consulente, in modo da effettuare correttamente una valutazione di impatto preventiva, completare il registro dei trattamenti, produrre tutta l'informativa in maniera specifica e corretta”.
Le violazioni contestate a Regione Lombardia
L'indagine del Garante ha rivelato diverse violazioni delle normative sulla privacy, cioè del Gdpr europeo, e dello Statuto dei Lavoratori (Legge 300/1970). Le criticità principali riguardano diverse aree.
- Conservazione prolungata e sistematica di metadati di vario tipo: posta elettronica, log di navigazione Internet e log dei ticket di assistenza. I metadati di posta elettronica (informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi) dei dipendenti della Regione sono stati conservati per 90 giorni. Il Garante ha stabilito che tale durata è "priva del presupposto negoziale previsto dall’art. 4, comma 1, della l. 300/1970, in quanto non preceduta da accordo collettivo con le rappresentanze sindacali". Le nuove linee guida suggeriscono un termine congruo di 21 giorni per usi leciti senza accordo sindacale.
Per quanto riguarda i log di navigazione Internet (siti visitati, inclusi i tentativi di accesso a siti in blacklist), la loro conservazione per un periodo di 12 mesi è stata ritenuta eccessiva e sproporzionata. Questa pratica ha permesso al datore di lavoro di ottenere "informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti". Il Garante ha ribadito che la navigazione è un dato personale e la sua riservatezza è tutelata da principi costituzionali.
Terzo punto, i log dei ticket di assistenza. I dati relativi alle richieste di assistenza tecnica sono stati conservati per periodi eccessivi (fino a sei anni e mezzo o anche nove anni, secondo alcune fonti), senza una necessità sufficientemente argomentata.
- Assenza di accordo sindacale o autorizzazione ministeriale.
La Regione non ha rispettato gli articoli 4 e 8 dello Statuto dei Lavoratori, “i quali prevedono che le attività di controllo dei dipendenti debbano essere effettuate con un accordo sindacale o un'autorizzazione ministeriale”, ha spiegato Di Stedano. “Nonostante la Regione abbia sostenuto di aver definito tutta una serie di raccordi con il sindacato e con il proprio Data Protection Officer, il Garante ha ritenuto tali consultazioni non sufficienti e non equivalenti a un accordo sindacale”.
- Mancata valutazione d'impatto sulla protezione dei dati (Dpia):
Non è stata realizzata una Dpia per il trattamento dei metadati di posta elettronica e dei log di navigazione. Ciò è avvenuto nonostante il Garante abbia ritenuto integrato il criterio del rischio elevato per l'articolazione sistematica e su larga scala di trattamenti incidenti sulla sfera relazionale del lavoratore.
- Carenza dei requisiti formali nelle nomine a Responsabile del trattamento.
Le nomine a responsabile del trattamento (ex art. 28 del Gdpr) sono risultate carenti nei requisiti formali, mancando l'indicazione puntuale dello strumento tecnologico e delle date di riferimento.
Ugo Di Stefano, senior partner di Studio Legale Lexellent
Che cosa ci insegna il provvedimento del Garante
Un punto cruciale del provvedimento è la distinzione tra strumenti funzionali alla prestazione lavorativa e sistemi idonei alla sorveglianza digitale. La Regione ha classificato i sistemi utilizzati come "strumenti di lavoro". Tuttavia, il Garante ha ricondotto l'intero impianto informatico all'Art. 4, comma 1, dello Statuto dei Lavoratori, evidenziando che "la capacità dei dati trattati di documentare l’attività del lavoratore e l’assenza di un filtro tecnico in grado di neutralizzare il potenziale monitoraggio" hanno trasformato questi strumenti in sistemi di sorveglianza. La nozione di "strumento di lavoro", infatti, richiede una destinazione esclusiva alla prestazione, la generazione di dati irrilevanti sotto il profilo disciplinare e una completa trasparenza nei confronti del dipendente.
Il provvedimento non avrà, invece, impatti sullo smart working. “La sanzione non spaventa o inibisce le aziende nell’utilizzo dello smart working", ha chiarito Di Stefano. La violazione non riguarda specificamente le modalità di lavoro agile, ma il trattamento dei metadati e dei log di navigazione, valido allo stesso modo se il dipendente lavora in presenza o da remoto. "Non c’è differenza su questi aspetti”, ha rimarcato l'avvocato. Tuttavia, potrebbe essere opportuno regolamentare specificamente il trattamento dei dati in smart working, soprattutto quando i lavoratori utilizzano i propri device, a causa dei maggiori rischi di intrusione e furto di dati.
Come evitare sanzioni per la privacy
Il provvedimento di questi giorni è particolarmente rilevante anche per il suo potenziale impatto futuro sul mondo delle imprese. “Dobbiamo aspettarci che questa sanzione di 50mila euro possa essere anche ben maggiore se il Garante dovesse fare, e sicuramente ora lo farà, degli accertamenti in aziende private, perché normalmente le sanzioni sono inteferiori per gli enti pubblici”, ha osservato Di Stefano. Per le imprese e le pubbliche amministrazioni, questo provvedimento sottolinea alcune necessità, su azioni e strategie che permettano di evitare sanzioni simili. In particolare:
· Valutare e motivare la congruità del termine di conservazione dei metadati, aderendo al limite di 21 giorni o giustificando un periodo più lungo tramite il principio di accountability.
· Stipulare accordi sindacali qualora la conservazione dei dati superi i 21 giorni per esigenze organizzative, produttive o di sicurezza.
· Adattare le configurazioni IT: assicurarsi che i programmi e i servizi informatici (specialmente in cloud) consentano di limitare il periodo di conservazione dei dati.
· Realizzare una valutazione d'impatto sulla protezione dei dati (Dpia) per trattamenti su larga scala che incidono sulla privacy dei lavoratori.
· Aggiornare le informative e i contratti, fornendo ai dipendenti informative chiare sull'uso degli strumenti aziendali e aggiornando i contratti di nomina dei responsabili del trattamento dati.
L'avvocato Di Stefano ha infine sottolineato il "tema reputazionale" associato alle sanzioni: “Essere colpiti da una multa può dare il messaggio che l'organizzazione è poco preparata in termini di gestione della privacy, e questo si riflette anche su come sono trattati i dati di clienti e fornitori”.