Con ordinanza del 1 dicembre 2022 il Garante ha comminato una sanzione di 100.000,00€ alla regione Lazio per illecito trattamento dei metadati della
posta elettronica dei dipendenti e vietato i trattamenti tuttora in corso.
I fatti. Con una segnalazione all’Autorità, un sindacato ha rappresentato che la Regione Lazio, a fronte di una presunta rivelazione a terzi di notizie d’ufficio, avrebbe effettuato un controllo dei metadati della posta elettronica dei dipendenti (giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail), che l'Autorità a tutela della protezione dei dati personali vieta “senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori”.
Il datore di lavoro nel rapporto con il dipendente deve rispettare le norme nazionali e applicare misure appropriate e specifiche a salvaguardia della dignità umana e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento e i sistemi di monitoraggio sul posto di lavoro, che costituiscono una condizione di liceità del trattamento.
Inoltre, non bisogna dimenticare che, il contenuto dei messaggi di posta elettronica (come pure i dati esteriori delle comunicazioni e i file allegati), riguardano forme di corrispondenza assistite da tutela costituzionale ex artt. 2 e 15 Cost.. Ciò si riflette anche nel contesto lavorativo, dove sussiste una legittima aspettativa alla riservatezza della corrispondenza.
Un ulteriore importante aspetto preso in esame dall’Autorità è il principio di “limitazione della conservazione”: i dati personali devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. In considerazione del principio di privacy by design and by default il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti richiesti dal Regolamento.
Il Garante ha accertato che la Regione aveva potuto effettuare il monitoraggio del personale, in particolare dei dipendenti che inviavano messaggi a uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni, conservazione che la legge consente esclusivamente previo accordo sindacale o, in alternativa, autorizzazione pubblica, violando così i principi espressi dal Regolamento e dalle norme sul controllo a distanza.
Afferma il Garante che, qualora non vengano rispettate tali condizioni per il lecito trattamento, qualunque trattamento dei dati debba considerarsi sprovvisto di idonea base giuridica e quindi illecito.
Conseguentemente, le forme di controllo sull’attività dei lavoratori, poste in essere in assenza delle predette garanzie, si pongono al di fuori del quadro di liceità delineato dalla normativa di settore e dalla disciplina in materia di protezione dei dati.
L’attività istruttoria del Garante ha mostrato, inoltre, che il trattamento dei metadati relativi all’utilizzo della posta elettronica è stato effettuato dalla Regione Lazio anche in assenza di una preliminare valutazione d’impatto sulla protezione dei dati sul presupposto che il trattamento non presentasse rischi specifici per gli stessi.
Oltre alla sanzione amministrativa di 100.000 euro, il Garante ha vietato alla Regione Lazio ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti.
Il testo completo del provvedimento è disponibile al seguente URL:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9833530
