L’Autorità Garante ha sanzionato la Regione Lazio per 100.000 € per aver usato un sistema di controllo dei dati della posta elettronica dei dipendenti.

In data 01/12/2022 il Garante Italiano per la privacy ha sanzionato per 100 mila euro la Regione Lazio per aver controllato, illecitamente, i metadati delle e-mail dei propri dipendenti, attività estremamente lesiva per la riservatezza dei lavoratori.

Pertanto, oltre alla sanzione amministrazione, è stato subito vietato alla Regione Lazio di proseguire con il trattamento dei metadati e disposto immediatamente la cancellazione di quelli raccolti illecitamente, in quanto in piena violazione dell’art. 5, par. 1, lett. a) ed e) del GDPR

 

Il caso

Il caso è nato dalla segnalazione di un sindacato che aveva lamentato un monitoraggio da parte dell’amministrazione sulle caselle e-mail del personale impiegato presso gli uffici dell’avvocatura regionale. Costituivano oggetto di monitoraggio i metadati relativi agli orari, destinatari, oggetto delle comunicazione e peso di eventuali allegati.

 

La violazione dei principi di protezione dei dati

Il Garante ha pertanto rilevato che la Regione aveva potuto effettuare il monitoraggio del personale dell’avvocatura, in particolare dei dipendenti che inviavano messaggi a uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni, in assenza di idonei presupposti giuridici violando così i principi di protezione dei dati e delle norme sul controllo a distanza (ex art. 4 dello Statuto dei Lavoratori). Il trattamento di dati personali illecitamente posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.

L’Autorità ha voluto precisare che la raccolta generalizzata e la conservazione per periodi prolungati di metadati raccolti dalla posta elettronica non sono strumentali allo svolgimento della prestazione del dipendente, ai sensi dello Statuto dei Lavoratori.

Così come per ogni sistema dal quale possa derivare un controllo sui dipendenti, la Regione avrebbe dovuto avviare le specifiche procedure di garanzie (accordo sindacale o autorizzazione pubblica) come previsto dall’art. 4 dello Statuto dei Lavoratori.

 

Fonte: Comunicato Stampa del Garante per la Protezione dei Dati Personali