Oltre a 100mila euro di sanzione, è stata ordinata dal Garante Privacy la cancellazione dei metadati illecitamente acquisiti. Il monitoraggio della posta elettronica dei dipendenti era stato attuato per sospetta rivelazione a terzi di informazioni protette.
Il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 100mila euro alla Regione Lazio, vietando i trattamenti ancora in corso che hanno integrato un illecito controllo di metadati delle mail dei dipendenti in servizio preso gli uffici dell’avvocatura regionale. Unitamente, è stata disposta la cancellazione dei dati illecitamente raccolti. A dare il via ai controlli del Garante Privacy la segnalazione di un sindacato, che aveva denunciato il monitoraggio della posta elettronica del personale. L’Ente dichiarava durante l’istruttoria di aver avviato una verifica interna sospettando la violazione del segreto d’ufficio e la rivelazione a terzi di informazioni protette. Il monitoraggio riguardava i metadati relativi a orari, destinatari, oggetto delle comunicazioni e peso degli allegati delle e-mail che il personale inviava a uno specifico sindacato. La Regione conservava per generiche finalità di sicurezza informatica, per 180 giorni e in assenza di presupposti giuridici i metadati, violando in tal modo i principi di protezione dei dati e delle norme sul controllo a distanza. L’Autorità ricorda che i metadati di posta elettronica sono una forma di corrispondenza tutelata dalla Costituzione e non sono strumentali allo svolgimento della prestazione del dipendente ai sensi dello Statuto dei lavoratori. Non solo, una tale ingerenza ha permesso all’Ente di venire anche a conoscenza di informazioni private dei dipendenti controllati, come le loro opinioni, contatti e fatti non attinenti all’attività lavorativa.
Garante Privacy, ordinanza ingiunzione del 1° dicembre 2022, numero 409