Sanzione del Garante Privacy alla Regione Lombardia per violazione della privacy dei dipendenti

E' soltanto in presenza di determinate condizioni e garanzie che il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti. Ad affermarlo è il Garante privacy, che ha di recente inflitto una sanzione di 50mila euro alla Regione Lombardia al termine di un ciclo ispettivo che l’Autorità ha effettuato per verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del "lavoro agile". 

Sono state diverse le violazioni riscontrate.

Il comportamento della Regione

Dall’istruttoria del Garante è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet - che consistevano in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list - senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento permetteva al datore di lavoro di entrare in possesso di informazioni che non riguardavano l’attività lavorativa e che invece si riferivano alla sfera privata dei dipendenti.

Non era inoltre stato sottoscritto alcun accordo iniziale per il trattamento dei metadati di posta elettronica dei lavoratori. Prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi. Sono state queste le motivazioni che, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, hanno portato il Garante, oltre alla sanzione amministrativa, a infliggere alcune misure correttive.

Ricordiamo tra queste:

• L’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list;
• la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati.