Sanzione Garante alla regione Lazio: illegittimo il controllo sui metadati degli account email dei dipendenti in assenza di misure di tutela della riservatezza e in violazione dei limiti al controllo a distanza dei lavoratori.

Sanzioni Garante: un reclamo contro la Regione Lazio attiva l'autorità

Il sindacato Fedirets (Federazione Dirigenti e Direttivi Enti Territoriali e Sanità) ha presentato reclamo al Garante per la Protezione dei dati personali contro la Regione Lazio. La motivazione? Alcuni dipendenti hanno rivelato al sindacato di aver saputo che la Regione avrebbe effettuato

"un controllo sulle email dei legali dell’Amministrazione regionale chiedendo al responsabile delle reti informatiche della Regione […] una verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale, attribuite agli avvocati dell’avvocatura regionale […]”.

Nel corso del controllo sarebbero stati analizzati informazioni come

• mittente
• oggetto
• destinatario
• pesatura e ricognizione degli allegati
• giorno
• ora

contenute nelle caselle di posta elettronica di “tutti gli Avvocati dell’Amministrazione regionale”.

Nel reclamo, il sindacato specifica che, secondo loro, non vi sono ragioni oggettive che giustifichino un controllo così massivo e indiscriminato. Non solo: il reclamo sottolinea anche che il controllo è stato richiesto dal Segretario Generale in via informale e senza alcun atto amministrativo di autorizzazione / supporto.

Il Garante avvia l'istruttoria

Il Garante per la protezione dei dati personali ha avviato l'istruttoria a seguito della ricezione del reclamo. Ha quindi richiesto informazioni ulteriori alla Regione, che ha dichiarato che:

• i controlli derivano dall'obbligo della Regione (Titolare del trattamento) di assicurare sicurezza del trattamento e riservatezza delle informazioni;
• l'analisi delle informazioni ha riguardato dati relativi a rapporti di lavoro e serviva anche a sanzionare eventuali attività illecite di alcuni lavoratori "dei quali vi era ragionevole sospetto e che risultavano anche lesivi dell’immagine dell’Amministrazione". In dettaglio la Regione intendeva verificare l'eventuale divulgazione da parte di alcuni avvocati dell'Avvocatura regionale, di notizie di ufficio che avrebbero dovuto rimanere riservate;
• i dati analizzati sono stati limitati. Non si può quindi parlare di trattamento eccedente né si può parlare di sorveglianza della prestazione lavorativa;
• l'informativa privacy specifica che Regione Lazio si riserva di verificare, nei limiti consentiti dalle norme di legge e contrattuali, l'integrità dei propri sistemi (informatici e di telefonia)”.

Ha però ammesso che non risulta alcun atto, provvedimento o disposizione che formalizzi la richiesta all'amministratore di sistema di procedere al controllo. Ha anche documentato come la verifica non sia stata effettuata dalla Regione ma dalla società in house LAZIOCrea. Infine, la Regione ha ammesso di non aver indicato alcun limite di conservazione dei metadati a LazioCrea: i 180 di conservazione di tali dati derivano da una scelta di LazioCrea stessa.

Sanzione del Garante alla regione Lazio: trattamento illegittimo dei metadati

Il Garante, al termine dell'istruttoria, ha accertato l'assenza di presupposti giuridici validi per il controllo effettuato sul personale dell'Avvocatura. Controllo che, come è emerso dall''istruttoria, ha riguardato soltanto dipendenti che hanno intrattenuto scambi email con uno specifico sindacato. La Regione ha sfruttato inoltre tali dati per 180 giorni per "generiche finalità di sicurezza informatica".

La raccolta generalizzata di questi metadati e i loro tempi di conservazione però "non sono strumentali allo “svolgimento della prestazione del dipendente, ai sensi dello Statuto dei lavoratori". In tali casi infatti, il datore ha l'obbligo di indicare procedure di garanzia come l'accordo col sindacato o apposita autorizzazione pubblica, come previsto dalla legge. Inoltre, questo trattamento illegittimo, ha permesso anche alla regione Lazio di intercettare dati sensibili afferenti alla sfera privata dei dipendenti come opinioni sindacali e altri fatti non attinenti alla vita lavorativa.

Il Garante ha optato quindi per la sanzione. In dettaglio ha condannato la regione Lazio a:

• pagare una sanzione di 100.000 euro;
• interrompere ogni ulteriore trattamento dei metadati provenienti dall'uso della posta elettronica dei lavoratori;
• comunicare al Garante, entro 30 giorni dalla notifica del provvedimento, le misure intraprese per dare attuazione alle ingiunzioni dell'autorità e per assicurare la conformità normativa del trattamento dati.

Il provvedimento completo è disponibile qui