Con il provvedimento n. 243 del 29 aprile 2025, il Garante privacy ha sanzionato la Regione Lombardia per violazioni nel trattamento dei dati dei dipendenti, riguardanti metadati di posta elettronica, log di navigazione internet e sistemi di assistenza tecnica. L’attività ispettiva, avviata d’ufficio, ha evidenziato che i metadati delle email venivano conservati per 90 giorni, i log di navigazione per 12 mesi e i ticket di help desk per 78 mesi, senza adeguate garanzie.
Il Garante ha ribadito che la raccolta generalizzata e la conservazione prolungata dei metadati di posta e dei log internet non possono essere giustificate come semplici strumenti di lavoro (art. 4, co. 2, Statuto dei Lavoratori), ma richiedono accordo sindacale o autorizzazione (art. 4, co. 1). Ha inoltre rilevato la mancata preventiva DPIA e la violazione dei principi di minimizzazione e limitazione della conservazione previsti dal GDPR.
La Regione, pur avendo collaborato e introdotto misure correttive (accordi collettivi, riduzione tempi di conservazione, dismissione sistemi, addendum contrattuali), è stata comunque sanzionata per 50.000 euro complessivi: 20.000 per i metadati email, 25.000 per i log di navigazione e 5.000 per l’assistenza tecnica.
Il provvedimento conferma l’approccio del Garante: bilanciare esigenze di sicurezza e organizzative con i diritti fondamentali dei lavoratori, imponendo trattamenti proporzionati, trasparenti e rispettosi della normativa privacy.
Leggi l’articolo completo su altalex