GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/750/01.jpg
mercoledì 21 dicembre 2022
di Dott. Alessandro Mammoli
Sanzione Garante alla regione Lazio: illegittimo il controllo sui metadati degli account email dei dipendenti in assenza di misure di tutela della riservatezza e in violazione dei limiti al controllo a distanza dei lavoratori.
Il sindacato Fedirets (Federazione Dirigenti e Direttivi Enti Territoriali e Sanità) ha presentato reclamo al Garante per la Protezione dei dati personali contro la Regione Lazio. La motivazione? Alcuni dipendenti hanno rivelato al sindacato di aver saputo che la Regione avrebbe effettuato
"un controllo sulle email dei legali dell’Amministrazione regionale chiedendo al responsabile delle reti informatiche della Regione […] una verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale, attribuite agli avvocati dell’avvocatura regionale […]”.
Nel corso del controllo sarebbero stati analizzati informazioni come
contenute nelle caselle di posta elettronica di “tutti gli Avvocati dell’Amministrazione regionale”.
Nel reclamo, il sindacato specifica che, secondo loro, non vi sono ragioni oggettive che giustifichino un controllo così massivo e indiscriminato. Non solo: il reclamo sottolinea anche che il controllo è stato richiesto dal Segretario Generale in via informale e senza alcun atto amministrativo di autorizzazione / supporto.
Il Garante per la protezione dei dati personali ha avviato l'istruttoria a seguito della ricezione del reclamo. Ha quindi richiesto informazioni ulteriori alla Regione, che ha dichiarato che:
Ha però ammesso che non risulta alcun atto, provvedimento o disposizione che formalizzi la richiesta all'amministratore di sistema di procedere al controllo. Ha anche documentato come la verifica non sia stata effettuata dalla Regione ma dalla società in house LAZIOCrea. Infine, la Regione ha ammesso di non aver indicato alcun limite di conservazione dei metadati a LazioCrea: i 180 di conservazione di tali dati derivano da una scelta di LazioCrea stessa.
Il Garante, al termine dell'istruttoria, ha accertato l'assenza di presupposti giuridici validi per il controllo effettuato sul personale dell'Avvocatura. Controllo che, come è emerso dall''istruttoria, ha riguardato soltanto dipendenti che hanno intrattenuto scambi email con uno specifico sindacato. La Regione ha sfruttato inoltre tali dati per 180 giorni per "generiche finalità di sicurezza informatica".
La raccolta generalizzata di questi metadati e i loro tempi di conservazione però "non sono strumentali allo “svolgimento della prestazione del dipendente, ai sensi dello Statuto dei lavoratori". In tali casi infatti, il datore ha l'obbligo di indicare procedure di garanzia come l'accordo col sindacato o apposita autorizzazione pubblica, come previsto dalla legge. Inoltre, questo trattamento illegittimo, ha permesso anche alla regione Lazio di intercettare dati sensibili afferenti alla sfera privata dei dipendenti come opinioni sindacali e altri fatti non attinenti alla vita lavorativa.
Il Garante ha optato quindi per la sanzione. In dettaglio ha condannato la regione Lazio a:
Il provvedimento completo è disponibile qui
domenica 25 maggio 2025
mercoledì 24 maggio 2023
CONDIVIDI QUESTA PAGINA!