News
Raccolta email e navigazione web: sanzione a una Regione per trattamento illecito dei dati dei dipendenti
Il provvedimento sanzionatorio del Garante Privacy che riconosce le violazioni dei dati personali ai danni dei dipendenti pubblici
4 GIUGNO 2025
Nella newsletter n. 535 del 30 maggio 2025 il Garante per la protezione dei dati personali (Garante Privacy) ha pubblicato il provvedimento n. 243 del 29 aprile 2025, con cui ha sanzionato la Regione Lombardia per un totale di 50mila euro per trattamento illecito dei dati dei dipendenti, con particolare riferimento all’uso della posta elettronica e della navigazione in Internet, nonché alla gestione del sistema di ticketing tecnico.
Il Garante ha effettuato un’ispezione nei confronti della Regione Lombardia, riscontrando violazioni nella gestione dei dati dei dipendenti, tra cui la raccolta prolungata di metadati senza accordi sindacali e l’assenza di una valutazione d’impatto (DPIA). Tali pratiche risultano in contrasto con il GDPR (Regolamento generale sulla protezione dei dati personali UE 2016/679 del Parlamento europeo) e lo Statuto dei lavoratori (legge 20 maggio 1970, n. 300). Nonostante la collaborazione dichiarata dalla Regione con il proprio DPO e l’ufficio privacy, il Garante ha rilevato gravi criticità in tema di privacy e controllo a distanza. Il caso rappresenta un precedente rilevante per tutte le PA, richiamate a garantire un equilibrio tra sicurezza digitale e tutela dei diritti dei lavoratori.