renorm sfondo bianco

Privacy e GDPRLog e Metadati: cosa ha stabilito il Garante Privacy contro la Regione Lombardia

16 Giugno 20250

Di cosa si tratta?

Il Garante per la protezione dei dati personali (Garante Privacy) ha recentemente emesso un provvedimento nei confronti della Regione Lombardia, dopo un controllo avviato d’ufficio. Al centro della questione: il modo in cui la Regione raccoglie e conserva dati relativi all’utilizzo di email e navigazione su internet da parte dei propri dipendenti. Si parla quindi nuovamente della conservazione quindi di log e metadati.

I Fatti

  • La regione:
    conservava per 90 giorni i metadati delle email (informazioni come mittente, destinatario,
  • orario, ecc., ma non il contenuto dei messaggi);
  • registrava in modo preventivo e generalizzato le connessioni ai siti web per 365 giorni

Cosa ha contestato il Garante?

Il Garante ha contestato che queste pratiche violassero diverse regole sulla privacy e sul rispetto dei diritti dei lavoratori. Ecco i principali motivi di indagine da parte dell’Autorità:

  1. Controlli non autorizzati: la regione non avevo osservato correttamente la normativa in materia di controlli a distanza sui lavoratori, per lungo tempo è stata sprovvista di Accordo sindacale relativamente a log e metadati.
  2. Conservazione eccessiva dei dati: i tempi di conservazione dei dati (come i log di navigazione) erano troppo lunghi rispetto a quanto giustificato dalle finalità dichiarate.
  3. Raccolta di dati non pertinenti: la Regione raccoglieva anche dati non collegati all’attività lavorativa.
  4. Mancanza di valutazioni di Impatto (DPIA) sul trattamento di metadati di posta elettronica e log di navigazione.
  5. Inadeguata regolamentazione ex art. 28 GDPR: le nomine con fornitori esterni (c.d. responsabili del trattamento) non risultavano adeguate

Come si è difesa la Regione?

La regione ha presentato una memoria difensiva dichiarando che:

  1. Controlli non autorizzati: i trattamenti contestati erano finalizzati all’esclusivo funzionamento delle infrastrutture e di natura prettamente tecnica. Prima del provvedimento contro la regione Lazio, la regione Lombardia considerava log e metadati come strumenti lavorativi e quindi non soggetti ad applicazione dello stat Lav, nella parte in cui prevede l’accordo con i sindacati o l’autorizzazione dell’ispettorato competente. Da dopo questa sentenza la regione Lombardia aveva però rivisto la sua posizione raggiungendo apposito accordo sindacale.
  2. Conservazione eccessiva dei dati: regione sosteneva di aver messo in campo misure tecniche che impedivano agli operatori di risalire in maniera autonoma al mach tra dati e interessati stessi.
  3. Raccolta di dati non pertinenti: i dati non sono mai stati utilizzati per finalità o controlli non dovuti. Mancanza di valutazioni di Impatto (DPIA) sul trattamento di metadati di posta elettronica e log di navigazione: a parere dell’Amministrazione interessata non venivano trattati né dati legati a monitoraggi sistematici, né c’era un uso innovativo di nuove soluzioni tecnologiche organizzative.
  4.  Mancanza di valutazioni di Impatto (DPIA) sul trattamento di metadati di posta elettronica e log di navigazione: a parere dell’Amministrazione interessata non venivano trattati né dati legati a monitoraggi sistematici, né c’era un uso innovativo di nuove soluzioni tecnologiche organizzative.
  5.  Inadeguata regolamentazione ex art. 28 GDPR: le nomine non specificavano alcuni punti, ma con un addendum, Regione Lombardia dopo la contestazione aveva provveduto.

L’epilogo della vicenda?

La Regione Lombardia è stata sanzionata con il pagamento di 50.000,00 Euro per i seguenti motivi.

Lo Statuto dei Lavoratori (art. 4) distingue due casi

  • Comma 1: riguarda gli strumenti che possono portare al controllo dell’attività lavorativa (es. registrazione dei metadati per lungo tempo). Questi possono essere usati solo con accordo sindacale o autorizzazione specifica.
  • Comma 2: riguarda gli strumenti necessari per lavorare (es. pc, email) e per registrare presenze. In questo caso, non serve accordo.

Secondo il Garante, conservare per 90 giorni i metadati delle email rientra nel comma 1, perché:

  • il lavoratore non si accorge della raccolta;
  • i dati non servono solo per lavorare, ma possono essere usati dal datore di lavoro per finalità proprie;
  • il dipendente non può disattivare questa funzione.

Solo nei primi 21 giorni, la conservazione dei metadati può essere giustificata dal comma 2, per ragioni tecniche e di sicurezza. Oltre questo limite, è necessario un accordo sindacale. Regione Lombardia avrebbe provveduto solo tardivamente a raggiungere questo accordo.

È stato poi stabilito dal Garante che:

La valutazione d’impatto era dovuta, in quanto tra le altre cose, gli interessati hanno una particolare   “vulnerabilità” nel contesto lavorativo ed il trattamento comportava rischi specifici per i diritti degli interessati coinvolti.

I dati conservati erano eccedenti, in quanto anche non attinenti allo svolgimento della prestazione lavorativa e conservati per un periodo eccessivamente lungo, rispetto alle finalità stesse.

– L’addendum è stato fatto solo in un secondo momento, precedentemente i rapporti non erano conformemente regolati ai sensi dell’art. ex art. 28 GDPR.

Il recente provvedimento rappresenta un’importante occasione di riflessione sui trattamenti di log e metadati all’interno delle organizzazioni, sollevando questioni rilevanti in termini di conformità normativa e adeguatezza dei modelli organizzativi.

Aziende ed enti si interrogano su come recepire correttamente le indicazioni dell’Autorità e integrarle efficacemente nella propria struttura di governance privacy, garantendo al contempo il rispetto dei principi del GDPR e la sicurezza operativa dei propri sistemi.

Riteniamo che il tema meriti un adeguato approfondimento. Per questo motivo il Team Renorm si è prontamente attivato, anche attraverso un confronto diretto con le autorità locali potenzialmente interessate dal provvedimento – come, ad esempio, l’Ispettorato del Lavoro – al fine di comprendere modalità e margini di intervento utili a orientare le scelte organizzative e tecniche.

L’obiettivo è poter fornire, indicativamente nel corso del mese di settembre, spunti pratici e concreti ai nostri clienti, a supporto del loro percorso di compliance e adeguamento tecnico.

Stay tuned.

Informativa privacy Webinar

Leave a Reply

previous
"I nomi dei condomini morosi: sino a che punto vale il diritto alla riservatezza?"
AboutContatti
Siamo qui per te
+ 39 0471 1882777
info@renorm.it
www.renorm.it
infoSede legale
La nostra Sede
Renorm S.r.l.
Via Macello 50, 39100 Bolzano
P.iva: 03064760212
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.
AboutContatti
Siamo qui per te
+ 39 0471 1882777
info@renorm.it
www.renorm.it
infoSede legale
La nostra Sede
Renorm S.r.l.
Via Macello 50, 39100 Bolzano
P.iva: 03064760212
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita