Informiamo che con Provvedimento del 13 marzo 2025 (reso noto con la Newsletter n. 535 del 30 maggio u.s.), il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia per numerose violazioni riscontrate nell’ambito dei trattamenti dei dati dei dipendenti, anche durante lo svolgimento del lavoro agile.
Dalle ispezioni del Garante è emerso che la Regione raccoglieva e conservava, oltre i limiti temporali previsti, i log di navigazione in Internet, ossia le informazioni inerenti ai siti web visitati dai dipendenti (inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list), senza aver stipulato un accordo collettivo con le rappresentanze sindacali e senza aver adottato adeguate garanzie a tutela dei lavoratori. Non era stata effettuata, infatti, una valutazione d’impatto sulla protezione dei dati (cd. DPIA) con riferimento al trattamento dei metadati relativi all’utilizzo della posta elettronica e dei suddetti log di navigazione in Internet (in violazione dell’art. 35 del Reg. UE 679/2016). Inoltre, con tale trattamento, il datore di lavoro era entrato in possesso di informazioni relative alla sfera privata dei dipendenti e non attinenti all’attività lavorativa.
Con il Provvedimento in esame il Garante ha ribadito, tra l’altro, che <il trattamento deve in ogni caso essere “necessario” rispetto alla lecita finalità perseguita (art. 6, par. 1 del Regolamento) e avere ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento)”. Inoltre, in base al principio di “limitazione della conservazione”, “i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), del Regolamento)>.
In virtù di quanto sopra, il Garante, nel rilevare l’illiceità del trattamento, ha sanzionato la Regione irrogando una sanzione amministrativa di 50.000,00 Euro e ha ordinato alla stessa di mettere in atto una serie di misure correttive.
