La recente multa di 50.000 euro inflitta dal Garante per la protezione dei dati personali alla Regione Lombardia rappresenta un punto di svolta nel dibattito sulla privacy dei lavoratori in Italia. Il provvedimento ha infatti acceso i riflettori su una questione delicata, ovvero la raccolta e la conservazione dei metadati delle e-mail e dei log di navigazione internet dei dipendenti pubblici, soprattutto nel contesto del lavoro agile e dello smart working.

L’ispezione del Garante ha evidenziato che la Regione Lombardia conservava i metadati delle e-mail (informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi) per 90 giorni e i log di navigazione internet per 12 mesi, senza aver stipulato preventivamente gli accordi sindacali previsti dall’art. 4 dello Statuto dei Lavoratori. Inoltre, mancava una valutazione d’impatto sulla protezione dei dati (DPIA), obbligatoria ai sensi dell’art. 35 del GDPR, e l’informativa ai dipendenti risultava carente o poco trasparente.

Questi trattamenti, secondo il Garante, erano particolarmente invasivi, dal momento che la raccolta sistematica e indiscriminata di dati digitali, senza adeguate garanzie e senza il coinvolgimento delle rappresentanze sindacali, ha esposto i lavoratori a rischi di sorveglianza occulta e a una lesione della loro sfera privata.

La normativa italiana, rafforzata dal GDPR, stabilisce che il monitoraggio delle attività digitali dei dipendenti deve essere:

  • Proporzionato e motivato da reali esigenze organizzative o di sicurezza
  • Trasparente, con una informativa chiara e completa ai lavoratori
  • Soggetto, nel pubblico impiego, ad accordo sindacale o autorizzazione dell’Ispettorato del Lavoro
Multa Regione Lombardia

Crediti: Shutterstock

L’articolo 88 del GDPR e l’articolo 4 dello Statuto dei Lavoratori rappresentano i pilastri di questo sistema di tutele, impedendo raccolte di dati non necessarie e pratiche di controllo non dichiarate.

Il Garante ha suddiviso la sanzione in tre parti: 20.000 euro per la conservazione illecita dei metadati delle e-mail, 25.000 euro per la conservazione eccessiva dei log internet e 5.000 euro per la gestione impropria dei dati di assistenza tecnica. Oltre alla multa, la Regione Lombardia dovrà adottare una serie di misure correttive entro 90 giorni, tra cui:

  • Anonimizzare i log di navigazione più datati
  • Ridurre a 90 giorni la conservazione dei dati internet, estendibile solo se anonimizzati
  • Limitare l’accesso a tali dati a un numero ristretto di soggetti autorizzati
  • Aggiornare gli accordi sindacali in coerenza con le nuove disposizioni

Questo provvedimento segna un precedente importante non solo per la pubblica amministrazione, ma anche per le imprese private. È la prima volta che il Garante applica le linee guida sui metadati delle e-mail emanate nel 2024, sottolineando che anche dati apparentemente “tecnici” come i metadati possono rivelare abitudini, comportamenti e livelli di produttività dei lavoratori, e quindi meritano tutele rafforzate.

La decisione richiama tutte le amministrazioni e le aziende a una maggiore responsabilizzazione nella gestione dei dati dei dipendenti. Occorre adottare policy chiare, informare adeguatamente i lavoratori, coinvolgere le rappresentanze sindacali e aggiornare costantemente le procedure di data protection.

(Immagine in apertura: Shutterstock)