5 GIUGNO 2025

Nella newsletter n. 535 del 30 maggio 2025 il Garante per la protezione dei dati personali ha pubblicato il Provvedimento n. 243 del 29 aprile 2025, con cui ha sanzionato la Regione Lombardia per un totale di 50mila euro per trattamento illecito dei dati dei dipendenti, con particolare riferimento all’uso della posta elettronica e della navigazione in Internet, nonché alla gestione del sistema di ticketing tecnico.

Accertamenti ispettivi

Il Garante ha condotto un’attività ispettiva nei confronti della Regione Lombardia per verificare la conformità dei trattamenti dei dati personali dei dipendenti. Le violazioni riscontrate riguardano la raccolta eccessiva e prolungata di metadati con l’assenza di accordi sindacali preventivi e il mancato svolgimento di una valutazione d’impatto sulla protezione dei dati, la cui finalità è determinare la validità di criteri che stabiliscono se un trattamento presenti o meno un rischio elevato.
Le inosservanze della Regione Lombardia si posizionano in netto contrasto con il GDPR, (Regolamento generale sulla protezione dei dati personali UE 2016/679 del Parlamento europeo) e lo Statuto dei lavoratori (legge 20 maggio 1970, n. 300).
La Regione Lombardia si è difesa dichiarando una ferma collaborazione con il DPO regionale e il supporto dell’ufficio privacy. Ciò nonostante, l’Autorità evidenzia delle criticità significative in materia di privacy e controllo a distanza.
Il caso rappresenta un precedente rilevante per tutte le Pubbliche Amministrazioni nell’equilibrio tra controllo digitale e tutela della privacy dei dipendenti. Il Garante ribadisce che le misure tecniche devono essere calibrate in maniera da minimizzare l’identificabilità e l’accesso a dati personali; misure di anonimizzazione e limitazione temporale sono essenziali per la tutela non solo dei lavoratori, ma anche di eventuali terzi coinvolti nelle comunicazioni e navigazioni.
Violazioni riscontrate

Tre sono gli ambiti principali in cui sono state rilevate violazioni del Regolamento UE 2016/679 (GDPR) e dello Statuto dei lavoratori:
–Metadati della posta elettronica: la Regione ha conservato informazioni relative a data, ora, mittente, destinatario e oggetto delle email per 90 giorni, ben oltre i limiti raccomandati dal Garante (7–21 giorni), senza un preventivo accordo sindacale.
–Log di navigazione in Internet: la raccolta sistematica dei dati di navigazione, inclusi i tentativi di accesso ai siti web censiti nella black-list, è stata giudicata sproporzionata per durata (365 giorni) rispetto alla finalità perseguita; ovvero la sicurezza della rete. Inoltre è stata riscontrata come potenzialmente riconducibile al singolo dipendente, anche se distribuita tra diversi soggetti tecnici. L’indagine rivela una sistematica raccolta di dati personali anche non attinenti allo svolgimento della prestazione lavorativa.
–Sistema OTRS di ticketing: i dati presenti nel vecchio sistema di gestione delle richieste di assistenza tecnica (Open Source Help Desk System, in particolare il Ticket Request System) erano conservati per l’interezza del rapporto contrattuale con il fornitore del servizio e non erano coperti da un contratto conforme all’art. 28 del GDPR.

Sanzioni e misure correttive

Il Garante ha comminato una sanzione complessiva di 50mila euro. Contestualmente, ha imposto alla Regione una serie di misure correttive:
Separazione dei dati messi a disposizioni dai tre fornitori. Avendo valutato la misura in cui i fornitori terzi (gestore del servizio proxy: ARIA, il gestore della rete: Fastweb; il gestore della PdL: Engineering) possono accedere alle informazioni relative all’utente che ha effettuato la navigazione; si è stabilito che nessuno tra questi, singolarmente, ha la possibilità di risalire all’identità del singolo. Si intima quindi alla Regione di limitare tale individuazione dei soggetti ai soli casi eccezionali in cui questa venga commissionata dalle autorità giudiziarie.
Riduzione dei tempi di conservazione dei log a 90 giorni, che possono essere aumentati solo previa anonimizzazione dei dati.
In caso si verifichino anomalie di sicurezza, la Regione deve svolgere le verifiche partendo da un’analisi generale, a livello delle singole strutture e non concentrandosi subito sulla singola postazione di lavoro.
Anonimizzazione dei dati tecnici e cifratura del dato concernente i nomi dei dipendenti.
Aggiornamento degli accordi sindacali.
È stato inoltre richiesto alla Regione, ai sensi dell’art. 157 del Codice, di trasmettere entro 30 giorni, all’autorità del Garante della Privacy, le iniziative intraprese per conformarsi alle prescrizioni.

Implicazioni per la Pubblica Amministrazione
Il provvedimento sottolinea l’importanza di adottare misure tecniche e organizzative coerenti con il principio di “privacy by design”. I dipendenti pubblici devono essere informati sui trattamenti cui sono sottoposti e tutelati nei loro diritti, anche in ambienti digitali. Le amministrazioni, da parte loro, sono chiamate a rivedere procedure, accordi e valutazioni d’impatto per assicurare la liceità e proporzionalità dei controlli, nel pieno rispetto della normativa vigente.