Cosa stai cercando?
CONSULENZE

News

Author Di LegadvancePosted on

Trattamento di dati personali dei dipendenti da parte della Regione Lombardia: sanzioni e indicazioni operative del Garante

Con il provvedimento n. 243 del 29 aprile 2025, l’Autorità Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia per trattamenti illeciti di dati personali dei dipendenti, in particolare per l’eccessiva conservazione dei metadati di posta elettronica, dei log di navigazione internet e dei dati raccolti tramite sistemi di ticketing informatico.

Il provvedimento richiama espressamente il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 6 giugno 2024 (doc. web n. 10026277), ribadendo alcuni punti chiave:

  • la conservazione dei metadati oltre 21 giorni richiede l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro ex art. 4, co. 1, L. 300/1970;
  • analogo regime vale per la raccolta sistematica dei log di navigazione Internet, inclusi i tentativi falliti di accesso ai siti in black list;
  • tali trattamenti devono essere oggetto di valutazione di impatto ai sensi dell’art. 35 del GDPR;
  • i dati dei sistemi di ticketing IT non devono essere conservati oltre 12-24 mesi dalla “chiusura” del ticket.

Nel caso specifico, la Regione conservava:

  • i metadati della posta elettronica per 90 giorni (limite minimo tecnico di Microsoft 365);
  • i log di navigazione dei dipendenti, compresi i tentativi falliti di accesso ai siti presenti in una black list;
  • tutti i dati dei sistemi di ticketing per l’intera durata del rapporto contrattuale con il fornitore.

In assenza di base giuridica adeguata, tali pratiche sono state ritenute lesive dei diritti dei lavoratori e, pertanto, sanzionate con un’ammenda di 50.000 euro, con l’obbligo di implementare misure correttive entro 90 giorni, tra cui:

  • ridurre la conservazione dei log a non oltre 90 giorni;
  • anonimizzare i log di accesso ai siti vietati;
  • cifrare i nominativi associati ai dispositivi aziendali.

Il trattamento di dati riconducibili ai lavoratori, effettuato dal datore di lavoro è da alcuni anni uno dei temi di maggiore attenzione per l’Autorità Garante. Pertanto, si raccomanda a tutti i datori di lavoro di verificare i tempi di conservazione dei dati nei propri sistemi informatici e, se necessario, procedere all’adeguamento secondo le indicazioni del Garante, anche mediante accordi sindacali, autorizzazioni ispettive e valutazioni d’impatto.