Oltre a 100mila euro di sanzione, è stata ordinata dal Garante Privacy la cancellazione dei metadati illecitamente acquisiti. Il monitoraggio della posta elettronica dei dipendenti era stato attuato per sospetta rivelazione a terzi di informazioni protette.
Il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 100mila euro alla Regione Lazio, vietando i trattamenti ancora in corso che hanno integrato un illecito controllo di metadati delle mail dei dipendenti in servizio preso gli uffici dell’avvocatura regionale. Unitamente, è stata disposta la cancellazione dei dati illecitamente raccolti. A dare il via ai controlli del Garante Privacy la segnalazione di un sindacato , che aveva denunciato il monitoraggio della posta elettronica del personale. L’Ente dichiarava durante l’istruttoria di aver avviato una verifica interna sospettando la violazione del segreto d’ufficio e la rivelazione a terzi di informazioni protette. Il monitoraggio riguardava i metadati relativi a orari, destinatari, oggetto delle comunicazioni e peso degli allegati delle e-mail che il personale inviava a uno specifico sindacato . La Regione conservava per generiche finalità di sicurezza informatica, per 180 giorni e in assenza di presupposti giuridici i metadati, violando in tal modo i principi di protezione dei dati e delle norme sul controllo a distanza. L’Autorità ricorda che i metadati di posta elettronica sono una forma di corrispondenza tutelata dalla Costituzione e non sono strumentali allo svolgimento della prestazione del dipendente ai sensi dello Statuto dei lavoratori . Non solo, una tale ingerenza ha permesso all’Ente di venire anche a conoscenza di informazioni private dei dipendenti controllati, come le loro opinioni, contatti e fatti non attinenti all’attività lavorativa.
Garante Privacy, ordinanza ingiunzione del 1° dicembre 2022, n. 409