Con ordinanza ingiunzione del primo dicembre 2022 (Registro dei provvedimenti n. 409, doc. web n. 9833530) il Garante per la privacy ha comminato una sanzione di 100.000 euro alla Regione Lazio per illecito controllo di metadati delle e-mail di dipendenti: l’Autorità ha accertato la mancanza di adeguate tutele per la riservatezza e la violazione delle norme che limitano il controllo a distanza dei lavoratori.
Oltre alla sanzione amministrativa, il Garante ha anche vietato alla Regione Lazio ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti.
“La sanzione del Garante nei confronti della Regione Lazio ribadisce l’importanza del rispetto, non solo della normativa in materia di protezione dei dati personali, ma anche degli artt. 4 e 8 dello Statuto dei lavoratori. Inoltre, è interessante che la sanzione riguardi la raccolta e la conservazione di metadati”, sottolinea l’avvocato Anna Cataleta, Senior Partner P4I – Partners4Innovation.
Indice degli argomenti
Sanzione alla Regione Lazio: l’attività istruttoria
La decisione del Garante che ha portato alla sanzione a Regione Lazio nasce dalla segnalazione presentata ai sensi dell’art. 144 del Codice Privacy da parte del sindacato autonomo Fedirets (Federazione Dirigenti e Direttivi Enti Territoriali e Sanità) che aveva lamentato un monitoraggio posto in essere dall’Amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.
In particolare, come si legge nella segnalazione del sindacato, l’Ente avrebbe effettuato “un controllo sulle email dei legali dell’Amministrazione regionale chiedendo al responsabile delle reti informatiche della Regione […] una verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale, attribuite agli avvocati dell’avvocatura regionale […]”.
Tale controllo sarebbe avvenuto analizzando informazioni quali “mittente, oggetto e destinatario delle mail inviate, oltre che ricognizione e pesatura di eventuali allegati alle mail stesse” senza che sussistessero “ragioni oggettive per l’effettuazione di un tale massivo ed indiscriminato controllo”.
Inoltre, sempre secondo il sindacato, non sarebbe stata data una precisa informativa ai lavoratori in relazione alla possibilità di detti controlli sulla posta elettronica, mancando anche “procedure regolamentari e di policy sull’uso della posta elettronica e della Rete”. Il controllo in questione, infatti, non sarebbe stato chiesto dal datore di lavoro (che nel caso della Regione Lazio è da identificarsi con il Direttore della Direzione regionale “Organizzazione e Personale”, ma dal Segretario Generale seguendo una procedura “informale” in assenza di atti o provvedimenti amministrativi autorizzativi.
Secondo quanto riferito nella documentazione fornita dalla Società LAZIOcrea S.p.A. (che ha effettuato lo stesso per conto della Regione), si precisa che “per prassi il traffico delle email è conservato per 180 giorni circa prima di essere definitivamente cancellato” e che “per disporre di tale traffico non si accede né ai computer del personale né tantomeno alla loro casella di posta […] [in quanto] quando si parla di traffico di posta che il sistemista può vedere si [fa riferimento ai] dati a contorno come […] il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’email stessa. Non è possibile vedere né il contenuto, né eventuali allegati. La presenza di allegati si desume (non si ha certezza) della dimensione dell’email stessa”.
La decisione del Garante Privacy
Su richiesta del Garante, la Regione Lazio ha dichiarato che la causa dei controlli effettuati deriva dall’obbligo per la Regione, in qualità di titolare del trattamento, di assicurare la sicurezza dei trattamenti e, nel caso specifico, anche di tutelare la riservatezza delle informazioni gestite dagli avvocati: i dati personali contenuti nelle e-mail avrebbero potuto essere illecitamente diffusi.
La Regione si è quindi giustificata asserendo che l’iniziativa datoriale ha riguardato dati connessi al rapporto di lavoro e aveva l’obiettivo di accertare eventuali comportamenti illeciti del lavoratore, dei quali vi era ragionevole sospetto e che risultavano anche lesivi dell’immagine dell’Amministrazione.
A giustificazione di ciò, la Regione ha anche precisato che all’interno dell’informativa sul trattamento dei dati personali per il personale in servizio, pubblicata nella sezione della Intranet aziendale dedicata alla Privacy, è specificato che “Regione Lazio si riserva di verificare, nei limiti consentiti dalle norme di legge e contrattuali, l’integrità dei propri sistemi (informatici e di telefonia)”.
Motivazioni che, evidentemente, non sono bastate al Garante Privacy che ha avviato un procedimento per l’adozione dei provvedimenti (art. 58, par. 2 GDPR) per aver posto in essere un trattamento di dati personali relativi all’utilizzo della posta elettronica da parte dei dipendenti:
- in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, “limitazione della conservazione” e “responsabilizzazione” , in violazione dell’art. 5, par. 1, lett. a) ed e), e par. 2, del Regolamento;
- in assenza di una base giuridica e in maniera difforme dalla disciplina di settore in materia di controlli a distanza dei lavoratori e raccolta di dati non pertinenti rispetto all’attività lavorativa (artt. 4 e 8 della l. n. 300/1970), in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 113 e 114 del Codice;
- omettendo di fornire agli interessati un’informativa sul trattamento dei dati personali, in violazione degli artt. 12 e 13 del Regolamento;
- in maniera non conforme al principio di “protezione dei dati fin dalla progettazione e per impostazione predefinita”, in violazione dell’art. 25 del Regolamento;
- omettendo di effettuare una previa valutazione d’impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento.
Nel provvedimento, l’Autorità ha inoltre chiarito che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che in quanto forma di corrispondenza è tutelata dalla Costituzione – non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori.
In questi casi, infatti, il datore di lavoro deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge.
Il trattamento di dati personali posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.
Politica interna privacy: ecco come garantire sicurezza dei processi aziendali e competitività
Cosa impariamo dal provvedimento del Garante
Di fatto, quindi, la conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti, ancorché sul presupposto della sua necessità per finalità di sicurezza informatica (invocate nel caso di specie dalla Regione), può comportare un indiretto controllo a distanza dell’attività dei lavoratori, che la legge consente esclusivamente al ricorrere di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, e in presenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o, in alternativa, autorizzazione pubblica).
A tal proposito, ancora secondo l’avvocato Anna Cataleta “si coglie con favore un provvedimento in cui il Garante sottolinea l’importanza del rispetto delle garanzie per il lavoratore, con particolare attenzione alla vita privata, considerato anche che le informazioni raccolte dalla Regione Lazio sono risultate inconferenti rispetto al contesto lavorativo”.
Oltre a contestare il non idoneo trattamento dei dati personali relativo all’utilizzo della posta elettronica da parte dei dipendenti, la mancanza di correttezza e trasparenza nei confronti degli interessati, l’assenza di liceità del trattamento con conseguente mancato rispetto della disciplina in materia di controlli a distanza e una violazione dei principi di limitazione della conservazione dei dati e la loro protezione fin dalla progettazione e per impostazione predefinita (privacy by design e by default), il Garante Privacy ha anche contestato a Regione Lazio di avere agito in maniera difforme dal principio di “responsabilizzazione” (principio di accountability, art. 5, par. 2 GDPR; si veda anche l’art. 24 del Regolamento).
In definitiva, dunque, tutti i titolari del trattamento devono sempre tenere in considerazione la delicatezza del trattamento di dati personali posti in essere, in particolar modo quando questi stessi dati risultano essere idonei a controllare a distanza l’attività dei lavoratori e a consentire al datore di lavoro di entrare in possesso anche di informazioni relative alla sfera privata degli stessi.
Altrimenti, si rischia di effettuare un trattamento dati in violazione dei principi di base in materia di protezione dei dati, così come riportati all’art. 5, par. 1 del GDPR (con particolare riferimento alle lett. a) ed e) nel caso della procedimento verso la Regione Lazio).
