L’Autorità Garante per la protezione dei dati personali ha recentemente comminato una sanzione di 50.000 euro alla Regione Lombardia per aver trattato i dati relativi ai log di navigazione in Internet e i metadati delle e-mail dei dipendenti in violazione della normativa privacy e giuslavoristica vigente ed applicabile.
Il Garante Privacy ha aperto l'istruttoria a seguito di accertamenti avviati d'ufficio e attività ispettiva per verificare la conformità dei trattamenti dei dati personali nel contesto lavorativo, anche in modalità agile, dai quali è emerso che: la Regione conserva tutti i log relativi alla navigazione effettuata, compresi i tentativi falliti di accesso ai predetti siti, per 12 mesi sui server di ARIA, nominato responsabile del trattamento, nell'ambito della convenzione quadro per la gestione dell'infrastruttura tecnologica in cui sono compresi il networking; la Regione ha informato le rappresentanze sindacali senza stipulare un accordo in quanto reputa che i trattamenti non rientrano in eventuali attività di controllo a distanza dei lavoratori; in caso di richieste motivate, i log messi a disposizione della sola autorità giudiziaria; i log del servizio di posta elettronica (metadati) sono raccolti da ARIA e conservati per 90 gg per consentire l'eventuale assistenza tecnica; nessun dipendente ha accesso ai medesimi log. Violazioni Il Garante Privacy ha riscontrato e confermato le seguenti non conformità: trattamento dei metadati di posta elettronica in violazione degli articolo 5, par. 1, lett. a), 6, 35 e 88 GDPR e dell'articolo 114 del Codice Privacy in quanto la Regione ha conservato i metadati in assenza di previo accordo sindacale nonché per un ampio arco temporale (i.e. 90 giorni) e per una finalità di trattamento non riconducibile all'ambito del mero funzionamento delle infrastrutture del sistema di posta elettronica quanto per lo più alla tutela dell'integrità del patrimonio informativo e della sicurezza informatica. Pertanto, sono necessarie le garanzie previste dal comma 1 dell'articolo 4 dello Statuto dei Lavoratori (i.e. accordo sindacale, subentrato solo in un secondo momento). Il Garante Privacy ha altresì evidenziato che non valgono ad escludere la responsabilità della Regione rispettivamente che (i) il periodo di conservazione dei metadati sia stato stabilito prima della pubblicazione del documento di indirizzo del Garante Privacy visto un orientamento consolidato sul tema; (ii) le rappresentanze sindacali non abbiano richiesto la stipula dell'accordo sindacale posto che trattasi di un onere che spetta al datore di lavoro, quale titolare del trattamento dei dati. Inoltre, non è stata effettuata valutazione d'impatto sulla protezione dei dati personali, pur necessaria alla luce della particolare vulnerabilità degli interessati nel contesto lavorativo nonché dell'impiego di sistemi che comportano un monitoraggio sistematico; trattamento dei log di navigazione in Internet in violazione degli articolo 5, par. 1, lett. a), c) ed e), 6, 25, 35 e 88 GDPR e degli articoli 113 e 114 del Codice Privacy in quanto la Regione ha raccolto e conservato i log di navigazione in Internet in assenza di previo accordo sindacale e per un ampio periodo di conservazione (365 giorni) con possibilità di risalire alla navigazione dei singoli dipendenti e quindi di dati estranei ed ultronei allo svolgimento dell'attività lavorativa. Inoltre, non è stata effettuata valutazione d'impatto sulla protezione dei dati personali, pur necessaria alla luce della particolare vulnerabilità degli interessati nel contesto lavorativo nonché dell'impiego di sistemi che comportano un monitoraggio sistematico. Pertanto, il suddetto trattamento non risulta essere necessario alla finalità perseguita nonché in violazione del principio di limitazione della conservazione; trattamento dei dati personali contenuti nel sistema OTRS in violazione degli articolo 5, par.1, lett. e), 25 e 28 GDPR. La Regione ha conservato i dati relativi alle richieste di assistenza tecnica presenti nel sistema di ticketing “OTRS”, poi dismesso, per tutta la durata del rapporto contrattuale intercorso con il fornitore del servizio per esigenze di gestione amministrativa (i.e. richieste di assistenza risalenti al 2016). Difatti, inizialmente la Regione intendeva conservare i dati per un periodo di 78 mesi poi ridotto a 12 mesi, a seguito dell'istruttoria. Inoltre, la Regione non ha esteso la nomina a responsabile del trattamento dei tre fornitori per l'erogazione del suddetto servizio di assistenza tecnica anche al trattamento dei dati personali contenuti nel sistema OTRS. Pertanto, il trattamento in oggetto viola il principio di limitazione della conservazione nonché di privacy by design e by default ed è avvenuto in assenza di debito atto di nomina a responsabile del trattamento. Sanzione Le tre violazioni già menzionate sono state trattate separatamente dal Garante Privacy ai fini della quantificazione della sanzione amministrativa che complessivamente ammonta ad 50.000 euro, avendo ritenuto medio il livello di gravità delle non conformità da parte titolare del trattamento. Ciò nonostante, il Garante Privacy ha tenuto in debita considerazione le seguenti circostante attenuanti: il titolare ha collaborato con il Garante Privacy durante tutta l'istruttoria; il titolare non ha commesso precedenti violazioni; non sono coinvolti categorie particolari di dati personali nelle violazioni. Misure correttive Rispetto alle non conformità del trattamento dei log di navigazione web associati ai dipendenti, il Garante Privacy ha ingiunto alla Regione l'adozione di misure di sicurezza tecniche ed organizzative supplementari volte a garantire l'impossibilità di identificare il singolo dipendente che ha effettuato la navigazione web entro 90 giorni dalla notifica del provvedimento sanzionatorio. Di seguito, le misure supplementari richieste: l'anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web inseriti nella apposita black list, inclusi quelli allo stato presenti nei sistemi; la riduzione a 90 giorni del termine di conservazione dei log di navigazione in Internet, con possibilità di conservazione per un periodo ulteriore previa anonimizzazione degli stessi, in modo da non consentire l'identificabilità del dipendente, e ferma restando la cancellazione dei dati personali presenti nei log di navigazione web registrati nei sistemi da oltre 90 giorni; implementazione di attività di verifica, in presenza di una delle già menzionate anomalie di sicurezza e in un'ottica di gradualità e progressività, a livello di singole strutture organizzative e non invece a livello individuale, limitando la possibilità di interventi granulari e puntuali sulla singola postazione di lavoro ai soli casi di previo e infruttuoso esperimento di verifiche a livello aggregato; la cifratura del dato concernente i nomi dei dipendenti assegnatari della macchina, fornendo a tal riguardo specifiche istruzioni documentate al fornitore che, in qualità di responsabile del trattamento, tratta tali dati per conto e nell'interesse della Regione medesima; il trattamento dei dati in questione venga in ogni caso effettuato da un numero strettamente limitato di persone fisiche autorizzate e a tal fine appositamente selezionate, che dovranno essere destinatarie di designazione espressa e istruzioni specifiche in relazione ai rischi connessi al trattamento in questione, secondo quanto potrà essere previsto dalle procedure interne della Regione e dalle istruzioni documentate che la stessa Regione deve impartire ai fornitori ai sensi dell'articolo 28 del Regolamento, che a tal fine dovranno quindi essere opportunamente aggiornate nonché periodicamente rivalutate al fine di verificarne l'adeguatezza e l'efficacia; l'aggiornamento degli accordi già stipulati con le rappresentanze sindacali alla luce delle misure sopra indicate. La Regione dovrà, altresì, provvedere a comunicare al Garante Privacy le iniziative adottate al fine di garantire la conformità dei trattamenti alla normativa privacy, entro trenta giorni dalla notifica del presente provvedimento. Conclusioni Alla luce di quanto sopra, la Regione dovrà conformarsi alle prescrizioni del Garante Privacy entro 90 giorni dalla data della notifica del provvedimento, ferma la possibilità di proporre ricorso all'autorità giudiziaria ordinaria entro 30 giorni dalla comunicazione del provvedimento. Trattasi del primo provvedimento per violazioni relative al trattamento dei metadati, a seguito del documento d'indirizzo del Garante Privacy sul tema (Provvedimento 6 giugno 2024) e che conferma l'importanza per le aziende della corretta compliance alla normativa privacy.
Provvedimento del 29 aprile 2025, n. 243