Provvedimento Garante del 29 aprile contro Regione Lombardia

Nel panorama della protezione dei dati personali, il recente provvedimento del Garante per la protezione dei dati personali del 29 aprile contro la Regione Lombardia rappresenta un caso emblematico.

Contesto: il documento di indirizzo del Garante

Nel giugno dello scorso anno, il Garante Privacy ha pubblicato un documento di indirizzo che fornisce indicazioni su come devono essere gestiti i dati di log, ovvero le informazioni relative all'accesso e all’utilizzo degli strumenti informatici da parte dei lavoratori. Tali indicazioni sono fondamentali per garantire il rispetto del principio di minimizzazione dei dati, della trasparenza e della protezione della privacy, in particolare nel contesto del lavoro pubblico.

Le violazioni riscontrate nella gestione dei metadati delle email

Il primo punto critico rilevato dal Garante riguarda la conservazione dei log relativi ai metadati delle email dei dipendenti. La Regione Lombardia conservava questi dati per un periodo di 90 giorni, superando ampiamente i 21 giorni indicati nel documento di indirizzo del Garante.

A questo si aggiungono due mancanze rilevanti:

  • assenza di una valutazione d’impatto (DPIA): Questo documento, previsto dal GDPR, serve a dimostrare che il trattamento dei dati è proporzionato, giustificato e sicuro. La Regione non ha prodotto questa valutazione a supporto della scelta di conservare i log per 90 giorni;
  • mancanza di accordo sindacale: Prima di iniziare un trattamento sistematico e potenzialmente invasivo dei dati dei lavoratori, sarebbe stato necessario siglare un accordo con le rappresentanze sindacali, come previsto dalla normativa.

Log di navigazione web: una conservazione eccessiva

Il secondo aspetto critico ha riguardato la conservazione dei log di navigazione web dei dipendenti. In questo caso, la Regione Lombardia conservava i dati per 365 giorni – un intervallo considerato eccessivo dal Garante. Inoltre, venivano memorizzati anche i tentativi di accesso falliti a siti bloccati tramite blacklist, senza un’adeguata giustificazione né un processo di minimizzazione.

Anche in questo ambito, l’autorità ha rilevato le medesime carenze:

  • nessuna valutazione di impatto preventiva;
  • nessun accordo sindacale preventivo.

Le sanzioni e i correttivi imposti

In seguito alle violazioni riscontrate, il Garante ha irrogato una sanzione amministrativa di 50.000 euro nei confronti della Regione Lombardia. Ma il provvedimento non si è fermato qui: l’Autorità ha anche indicato delle misure correttive da adottare.

Le nuove raccomandazioni includono:

  • conservazione dei log delle email per massimo 21 giorni, come indicato nel documento di indirizzo.
  • conservazione dei log di navigazione per massimo 90 giorni, con possibilità di conservazione più prolungata solo in forma anonimizzata o aggregata, per evitare la profilazione individuale dei dipendenti.

Perché questo caso è rilevante

Questo provvedimento rappresenta uno spartiacque per tutte le pubbliche amministrazioni e anche per le aziende private, in quanto fissa degli standard operativi chiari in tema di monitoraggio e conservazione dei dati dei lavoratori.

In particolare:

  • sottolinea l’obbligo di proporzionalità e necessità nella conservazione dei dati;
  • richiama l’importanza della trasparenza e del coinvolgimento sindacale;
  • rende evidente che la compliance al GDPR non è un’opzione, ma un obbligo preciso, sanzionabile in caso di violazioni.

Le ultime interviste

AI e selezione del personale: caso USA sugli ATS

Raffaella Aghemo

AI generativa sul lavoro: impatto linee guida di Hong Kong

Raffaella Aghemo

Tutela utenti nei chatbot per salute mentale: modello USA

Raffaella Aghemo