Il Garante Privacy sanziona la Regione Lazio.

Con un provvedimento del 19 dicembre 2022 l’Autorità Garante della protezione dei dati personali ha sanzionato la Regione Lazio, dopo aver riscontrato il mancato controllo dei metadati della posta elettronica dei dipendenti, senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori.

La sanzione comminata ammonta a 100.000 euro, a cui si è aggiunto il divieto di proseguire con i trattamenti tuttora in corso.

La fattispecie sottoposta al vaglio dell’Autorità è stata sollevata dalla segnalazione effettuata da un sindacato che aveva lamentato un controllo posto in essere dall’amministrazione sulle e–mail del personale in servizio presso gli uffici dell’Avvocatura regionale.

Nel corso dell’istruttoria la Regione ha dichiarato di aver disposto un controllo interno sui metadati delle mail riferite ad alcuni dipendenti, sulla base del sospetto di divulgazione a terzi di informazioni protette dal segreto.

L’accertamento del Garante, in particolare, ha riguardato il monitoraggio svolto dall’ente a carico dei dipendenti dell’Avvocatura, con particolare riferimento agli invii di messaggi diretti ad uno specifico sindacato.

Il controllo è potuto avvenire sfruttando i dati che venivano conservati per generiche finalità di sicurezza informatica nei 180 giorni successivi al loro impego, in assenza di idonei presupposti giuridici, in mancanza di una valutazione di impatto e, dunque, in violazione dei principi di protezione dei dati e delle norme sul controllo a distanza.

Nel proprio provvedimento, l’Autorità chiarisce che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che in quanto forma di corrispondenza è tutelata dalla Costituzione – non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori.

Viene altresì ribadito dal Garante che obbligo del datore di lavoro in questi casi è quello di avviare le specifiche procedure di garanzia previste dalla legge per le azioni di monitoraggio dei dipendenti, consistenti in un accordo sindacale o nell’autorizzazione pubblica.

Il trattamento di dati personali posto in essere nel caso di specie ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.

Il Garante ha, pertanto, dichiarato, ai sensi dell’art. 57, par. 1, lett. f), del GDPR, l’illiceità del trattamento effettuato dalla Regione per violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, 12, 13, 25, 35, 88, par. 1, del Regolamento, nonché 113 e 114 del Codice Privacy (in relazione agli artt. 4 e 8 della l. n. 300/1970).

Come sopra anticipato, oltre alla sanzione amministrativa di 100.000 euro, l’Autorità ha vietato alla Regione Lazio ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti.

Il provvedimento è scaricabile qui