Privacy, dati digitali e rapporto di lavoro: il Garante sanziona Regione Lombardia per illecito trattamento dei dati dei dipendenti.

Con il provvedimento n. 243 del 29 aprile 2025, il Garante per la protezione dei dati personali ha sanzionato Regione Lombardia per 50.000 euro, rilevando un trattamento illecito dei dati personali dei dipendenti.

Si tratta di un provvedimento particolarmente rilevante, non solo perché rappresenta la prima sanzione formale in materia di metadati, ma anche perché evidenzia l’importanza – spesso sottovalutata – della gestione dei dati digitali all’interno dei contesti lavorativi.
Il provvedimento, inoltre, offre un’interessante panoramica delle complesse interazioni tra normativa privacy e diritto del lavoro (in particolare l’art. 4 dello Statuto dei Lavoratori) e fornisce indicazioni operative preziose per tutte le organizzazioni, pubbliche e private, per trattare correttamente i dati dei propri dipendenti.

Nel dettaglio, il Garante ha riscontrato che Regione Lombardia trattava illecitamente:

• i metadati delle mail;
• i log di navigazione internet generati dai dipendenti;
• i dati relativi ai “ticket” di assistenza IT aperti dai dipendenti.

1. Illecito trattamento dei metadati della mail.

I metadati delle e-mail sono le informazioni registrate nei log dei server di gestione della posta elettronica, quali indirizzi e-mail del mittente e destinatario, indirizzi IP, orari di invio/ricezione, dimensioni del messaggio e degli eventuali allegati, e in alcuni casi l’oggetto della comunicazione.

Il Garante ha accertato che Regione Lombardia effettuava un trattamento illecito di tali dati, conservandoli per un periodo superiore a 90 giorni in assenza di accordo sindacale o autorizzazione dell’Ispettorato del lavoro.

È bene precisare che ai sensi dell’art. 4 della Legge 1970/300 l’utilizzo di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” – quali ad esempio gli impianti di videosorveglianza – è ammesso solo per specifiche finalità (organizzative, produttive, sicurezza del lavoro, tutela del patrimonio aziendale) e previo accordo sindacale o autorizzazione dell’Ispettorato del Lavoro. Tuttavia, il comma 2 del medesimo articolo prevede, che tale la norma non si applichi “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

I metadati delle mail sono da questo punto di vista particolarmente problematici: da un lato, infatti, sono generati tramite strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (pc o telefoni aziendali), e, dall’altro, offrono la possibilità di controllo a distanza dell’attività dei lavoratori; inoltre essendo generati dallo scambio di corrispondenza privata, agli stessi devono assicurate le garanzie costituzionali di riservatezza proprie della corrispondenza.

Il criterio per tracciare il confine tra comma 1 e comma 2 dell’art. 4 Legge 300/1970, ossia, tra la necessità o meno di autorizzazione o accordo sindacale, nell’ambito dei metadati è da rinvenirsi nel tempo di conservazione di tali dati. Conformemente a quanto indicato nel provvedimento di indirizzo del 6 giugno 2024 (qui la nostra precedente newsletter: Metadati delle mail aziendali: le nuove indicazioni del Garante – Fasola & Partners), il Garante ha stabilito che il trattamento dei metadati può essere effettuato in assenza di specifica autorizzazione, qualora esso venga effettuato “per un periodo limitato a pochi giorni, comunque non superiore ai 21”, salva specifica dimostrazione della necessità di una conservazione maggiore che, nel caso di specie, non è stata effettuata.

Si segnala che quella in esame è stata la prima sanzione comminata dal Garante per l’illecito trattamento dei metadati delle mail.  

2. Illecito trattamento dei log di navigazione internet

In secondo luogo, è stato accertato che Regione Lombardia conservava i log di navigazione in Internet generati dai dipendenti – consistenti in informazioni relative ai siti web visitati, inclusi quelli relativi ai tentativi falliti di accesso a siti censiti all’interno di una apposita black list di siti – per 365 giorni, in assenza di autorizzazione preventiva o di accordo sindacale.

Il Garante ha rilevato che i log di navigazione sono potenzialmente idonei a consentire un controllo a distanza dell’attività del lavoratore e che, pertanto, il loro trattamento deve avvenire nel rispetto delle disposizioni di cui all’art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori). Inoltre, con specifico riferimento ai dati relativi ai tentativi di accesso a siti web inclusi in blacklist, il Garante ha osservato come il loro eventuale trattamento possa integrare un’indagine sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non pertinenti all’idoneità professionale, condotte vietate ai sensi dell’art. 8 della medesima legge.

Non sono risultate persuasive le difese dell’ente, secondo cui l’accesso a tali dati era subordinato, in base al regolamento interno, al verificarsi di specifici eventi (quali un ordine dell’autorità o determinate anomalie nel traffico internet) e che l’identificazione del dipendente autore della navigazione non fosse direttamente possibile, essendo necessario incrociare le informazioni detenute da tre diversi fornitori IT.

Il Garante ha quindi stabilito che l’eventuale futuro trattamento di tali dati potrà avvenire solo nel rispetto delle seguenti prescrizioni:

• anonimizzazione dei log relativi ai tentativi di accesso a siti inclusi nella blacklist;
• riduzione del periodo di conservazione a 90 giorni, salvo previo processo di anonimizzazione;
• adozione di un approccio graduale e proporzionato nelle attività ispettive;
• limitazione del trattamento a un numero ristretto di soggetti appositamente formati;
• aggiornamento degli eventuali accordi sindacali già in vigore.

3. Illecito trattamento dei dati relativi al sistema di ticketing per assistenza informatica.

Da ultimo è stata riscontrata l’illeceità del trattamento dei dati relativi ai “ticket” per l’assistenza informatica aperti dai dipendenti per tutta la durata del rapporto contrattuale con il fornitore IT. Il lungo tempo di conservazione era motivato in virtù di esigenze amministrative/contabili legate alla valutazione del servizio offerto dal fornitore, nonché alla relativa fatturazione.

Il Garante ha osservato che le esigenze di contabilizzazione potevano essere espletate senza fare ricorso al trattamento di dati personali, ovvero anonimizzandoli. Ha ritenuto, pertanto, illecito il trattamento protratto, in contrasto con i principi di limitazione della conservazione e di privacy by design, individuando come idoneo un termine massimo di 12 mesi dalla generazione del ticket.

4. Conclusione

Il provvedimento testimonia la grande attenzione che il Garante dedica al trattamento dei dati personali in ambito lavorativo, con riferimento a categorie di dati digitali spesso considerate marginali, ma in realtà centrali nella gestione quotidiana delle attività aziendali.

Al fine di assicurare la piena conformità alla normativa privacy e di limitare di conseguenza il rischio di sanzioni o di contenzioso, le organizzazioni, pubbliche e private, sono chiamate ad adottare un approccio consapevole, basato sulla minimizzazione, la limitazione della conservazione e la trasparenza nei confronti dei lavoratori.

In particolare, con riferimento al trattamento dei metadati della mail, riprendendo le raccomandazioni indicate dal Garante nel provvedimento n. 364 del 6 giugno 2024, i datori di lavoro pubblici e privati devono adottare misure tecniche e organizzative adeguate, verificando che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di rispettare il termine massimo di 21 giorni per la conservazione dei metadati.

Lo studio è a disposizione per qualsiasi chiarimento.