Regione Lombardia multata: raccolte e conservate informazioni relative alla sfera privata dei dipendenti
In generale, il datore di lavoro può raccogliere i ‘log’ di navigazione in Internet e i metadati delle e-mail dei dipendenti, ma solo in presenza di specifiche condizioni e garanzie
Multa per la Regione Lombardia, colpevole, secondo quanto appurato dal ‘Garante per la privacy’ (provvedimento del 29 aprile 2025), di avere raccolto e conservato anche informazioni relative alla sfera privata dei dipendenti. In generale, il datore di lavoro può raccogliere i ‘log’ di navigazione in Internet e i metadati delle e-mail dei dipendenti, ma solo in presenza di specifiche condizioni e garanzie. Cosa non avvenuta, invece, nel caso della Regione Lombardia. Inequivocabili, difatti, i risultati forniti dal ciclo ispettivo portato avanti dal ‘Garante’ per verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del cosiddetto lavoro ‘agile’. Molteplici le violazioni riscontrate. Dall’istruttoria è emerso, difatti, che la Regione Lombardia raccoglieva e conservava i ‘log’ di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita ‘black list’ – senza aver stipulato un accordo collettivo con le rappresentanze sindacali e senza aver adottato adeguate garanzie a tutela dei lavoratori. Così, tale trattamento consentiva, tra l’altro, alla Regione Lombardia, in veste di datore di lavoro, di entrare in possesso di informazioni non attinenti all’attività lavorativa ma relative alla sfera privata dei dipendenti. Nessun accordo, peraltro, era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori. Consequenziale, quindi, la sanzione amministrativa nei confronto della Regione Lombardia, che dovrà anche adottare alcune misure correttive suggerite dal ‘Garante’, ossia, l’anonimizzazione dei ‘log’ relativi ai tentativi di accesso falliti ai siti web censiti nella ‘black-list’, la cifratura del dato concernente i nomi dei dipendenti assegnatari dei computer portatili, la riduzione del termine di conservazione di tali dati.