E mail dei dipendenti, il Garante sanziona la Regione Lombardia

Pubblicato il 03 giugno 2025

Il Garante per la privacy ha sanzionato, con provvedimento n. 243 del 29 aprile 2025, la Regione Lombardia per la mancata osservanza delle norme previste dal Regolamento (UE) 2016/679 (GDPR), dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018), nonché da specifiche disposizioni della legge 20 maggio 1970, n. 300 in tema di trattamento dati personali dei dipendenti.

In particolare, l’Autorità ha inteso verificare la conformità dei trattamenti effettuati dalla Regione Lombardia in relazione a pratiche di monitoraggio sistematico e conservazione dei dati personali effettuate tramite sistemi informatici aziendali.

Uno degli aspetti centrali oggetto dell’istruttoria è rappresentato infatti dalla raccolta e conservazione dei metadati (cioè informazioni relative all’utilizzo della posta elettronica, come mittente, destinatario, orari e oggetto del messaggio) e dei log di navigazione Internet.

Tali dati infatti, pur non comprendendo direttamente il contenuto delle comunicazioni, permettono comunque di inferire informazioni sul comportamento, le relazioni e gli interessi personali del dipendente, con un potenziale effetto invasivo sulla sua sfera privata.

Nel provvedimento, il Garante ha individuato una serie di trattamenti illeciti posti in essere dalla Regione Lombardia in relazione alla gestione dei dati personali dei propri dipendenti.

L’istruttoria ha evidenziato tre ambiti principali di criticità:

• la gestione dei log di navigazione Internet;
• la conservazione dei metadati relativi alla posta elettronica;
• il trattamento dei dati nel sistema di assistenza tecnica (ticketing system OTRS e SDAS).

Le violazioni rilevate riguardano principalmente la mancanza di basi giuridiche valide, la conservazione sproporzionata dei dati e l’insufficienza delle misure tecniche e organizzative adottate.

Vediamo nel dettaglio

Log di navigazione internet

Uno degli aspetti più rilevanti del provvedimento riguarda la raccolta e la conservazione sistematica dei log di navigazione internet effettuata dalla Regione Lombardia.

Ebbene, in base alle risultanze dell’attività ispettiva è emerso che i log relativi ai siti web visitati dai dipendenti, inclusi i tentativi falliti di accesso a siti web bloccati da una blacklist, venivano registrati e conservati per un periodo pari a dodici mesi.

Questa conservazione prolungata dei dati è stata giudicata non conforme ai principi del GDPR, in particolare rispetto a quelli di limitazione della conservazione (art. 5, par. 1, lett. e) e di minimizzazione dei dati (art. 5, par. 1, lett. c).

Il Garante ha osservato infatti che, sebbene i dati siano custoditi da tre fornitori distinti (ognuno dei quali detiene una porzione delle informazioni necessarie per identificare l’utente), la Regione può comunque ricongiungere le informazioni e risalire all’identità del dipendente attraverso una procedura predefinita.

Tale possibilità di identificazione indiretta, anche se tecnicamente frazionata, comporta un elevato rischio di controllo a distanza non autorizzato.

L’accesso ai dati, secondo la Regione, era però limitato a due casi specifici:

• richiesta dell’autorità giudiziaria;
• anomalie di traffico rilevanti, quali attacchi informatici o comportamenti sospetti.

Tuttavia, il Garante ha ritenuto che la durata e la sistematicità della conservazione, unite alla possibilità concreta di identificare i lavoratori, costituiscano un trattamento sproporzionato e non giustificato dalla mera esigenza di sicurezza informatica.

Inoltre, è stato rilevato come la raccolta preventiva e indiscriminata di log, anche relativi a contenuti non pertinenti con l’attività lavorativa, possa interferire con la sfera privata dei dipendenti, violando l’art. 113 del Codice Privacy e l’art. 8 della legge 300/1970.

Metadati di posta elettronica

Un secondo punto critico riguarda la conservazione dei metadati di posta elettronica, che comprendono informazioni quali l’indirizzo email del mittente e del destinatario, la data e l’ora dell’invio o della ricezione, l’oggetto della mail e la dimensione dei messaggi.

Anche tali dati, sebbene non contengano il contenuto della comunicazione, permettono di recuperare dettagli significativi sull’attività e le relazioni professionali del dipendente.

Nel caso della Regione Lombardia, i metadati delle email venivano conservati per novanta giorni e messi a disposizione del personale tecnico incaricato dell’assistenza.

Questa conservazione avveniva in assenza di un accordo sindacale, come invece richiesto dall’art. 4, comma 1, dello Statuto dei lavoratori nei casi in cui il trattamento possa determinare un controllo indiretto sull’attività dei lavoratori.

Il Garante ha ricordato a tale proposito che la raccolta dei metadati, soprattutto quando riguarda l’intero traffico email aziendale, rappresenta una forma di monitoraggio sistematico soggetta a particolari tutele.

La normativa prevede infatti che tali trattamenti siano ammissibili solo:

• se limitati nel tempo (entro ventuno giorni per finalità tecniche e di sicurezza);
• se oggetto di valutazione d’impatto preventiva;
• se regolati da accordi collettivi.

Durante l’istruttoria, la Regione ha in realtà successivamente stipulato gli accordi sindacali mancanti e ha avviato una revisione del proprio regolamento interno; tuttavia, fino a quel momento, il trattamento è stato considerato illecito per difetto di base giuridica, con violazione degli articoli 5, 6, 35 e 88 del GDPR e dell’art. 114 del Codice.

Sistema di ticketing tecnico

Infine, il provvedimento affronta il trattamento dei dati contenuti nel sistema di gestione delle richieste di assistenza tecnica, inizialmente basato sulla piattaforma OTRS e poi migrato ad un nuovo sistema denominato SDAS.

Le criticità riscontrate dal Garante riguardano due principali aspetti.

1. Eccessiva durata di conservazione dei dati: inizialmente, i ticket di assistenza (che possono contenere informazioni identificative del dipendente e dati tecnici sull’intervento) erano conservati fino a 78 mesi, lasso di tempo ritenuto eccessivo dal Garante in assenza di necessità operative giustificate. Anche il nuovo sistema SDAS era configurato per mantenere i dati in chiaro per un anno, e solo successivamente anonimizzarli. Questa prassi è stata oggetto di osservazioni, in quanto non sufficientemente garantista nei confronti dei diritti degli interessati.
2. Nomine incomplete dei fornitori come responsabili del trattamento: il Garante ha rilevato che i fornitori incaricati della gestione del sistema OTRS non erano stati adeguatamente designati ai sensi dell’art. 28 GDPR. Solo durante l’istruttoria la Regione ha provveduto a stipulare un addendum contrattuale per integrare le previsioni mancanti, estendendo le istruzioni anche al trattamento pregresso dei dati. In assenza di tale regolamentazione formale, i fornitori non potevano però essere considerati responsabili del trattamento a norma di legge, esponendo l’amministrazione a responsabilità diretta.

Infine, il Garante ha evidenziato la mancanza di una valutazione d’impatto preventiva (DPIA) relativa al trattamento dei dati nei sistemi di ticketing, elemento essenziale alla luce della durata della conservazione, della mole di dati trattati e della vulnerabilità dei soggetti coinvolti (dipendenti pubblici).

Violazioni riscontrate

Nel provvedimento n. 243 del 29 aprile 2025, il Garante per la protezione dei dati personali ha rilevato numerose e gravi violazioni in materia di trattamento dei dati personali da parte della Regione Lombardia, con particolare riferimento ai dati trattati nell’ambito lavorativo.

Le contestazioni formulate nel corso dell’istruttoria si sono articolate attorno a due principali nuclei normativi: da un lato, la mancata osservanza delle garanzie previste dall’art. 4 dello Statuto dei lavoratori, dall’altro, la violazione dei principi fondamentali del Regolamento (UE) 2016/679 (GDPR).

Inosservanza dell’art. 4 dello Statuto dei lavoratori

Una delle violazioni più rilevanti riguarda l’omessa attivazione delle procedure sindacali previste dall’art. 4, comma 1, della legge 20 maggio 1970, n. 300 in relazione all’utilizzo di strumenti informatici che permettevano, anche indirettamente, il controllo a distanza dell’attività dei dipendenti.

Secondo quanto emerso dagli accertamenti ispettivi, infatti, la Regione aveva adottato un sistema di gestione dei log di navigazione Internet e dei metadati di posta elettronica in grado di raccogliere e conservare dati per periodi prolungati (rispettivamente dodici mesi e novanta giorni); tali trattamenti, proprio in virtù della loro natura e della possibilità concreta di associare i dati ai singoli dipendenti, rientrano nella disciplina dei controlli a distanza e avrebbero richiesto, sin dall’inizio, la stipula di specifici accordi collettivi con le rappresentanze sindacali.

Solo successivamente all’avvio dell’istruttoria da parte del Garante, la Regione Lombardia ha avviato un percorso di regolarizzazione, sottoscrivendo due distinti accordi sindacali:

• uno per il personale non dirigenziale;
• uno per il personale dirigenziale.

Tuttavia, come chiarito dal Garante, la regolarizzazione ex post non sana le violazioni già commesse in precedenza, né elimina la responsabilità dell’ente per aver posto in essere trattamenti illeciti privi di base giuridica adeguata.

In particolare, l’omessa attivazione preventiva delle garanzie procedurali previste dall’art. 4, comma 1, configura una violazione della condizione di liceità del trattamento ai sensi dell’art. 114 del Codice Privacy.

Violazione dei principi del GDPR

L’analisi del Garante ha inoltre evidenziato una pluralità di violazioni dei principi fondamentali stabiliti dal GDPR, che regolano ogni trattamento di dati personali. In particolare, sono stati accertati i seguenti profili di non conformità.

1. Liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) GDPR): i trattamenti effettuati dalla Regione Lombardia si sono rivelati privi di una base giuridica valida per un periodo significativo, specialmente in assenza degli accordi sindacali previsti dallo Statuto dei lavoratori. La raccolta dei log di navigazione e dei metadati delle email, realizzata in modo sistematico e prolungato, non è stata accompagnata da adeguate informative ai dipendenti né da forme di consenso specifico (ove applicabile), determinando una violazione del principio di trasparenza e correttezza nei confronti degli interessati.
2. Limitazione della conservazione (art. 5, par. 1, lett. e) GDPR): un altro aspetto critico riguarda la conservazione dei dati per un arco temporale non proporzionato rispetto alle finalità dichiarate. I log di navigazione Internet venivano conservati per 12 mesi, mentre i ticket del sistema di assistenza tecnica erano mantenuti fino a 78 mesi, anche dopo la dismissione del sistema OTRS. Il Garante ha evidenziato come tali tempistiche eccedano le esigenze operative legittime, soprattutto in assenza di una valutazione puntuale della necessità e della proporzionalità. La conservazione prolungata e indiscriminata dei dati ha aumentato i rischi per i diritti e le libertà degli interessati, esponendo l’amministrazione a responsabilità ai sensi del GDPR. La normativa impone che i dati siano conservati solo per il tempo strettamente necessario al raggiungimento delle finalità dichiarate, con successiva cancellazione o anonimizzazione.

Protezione fin dalla progettazione e per impostazione predefinita (art. 25 GDPR)

Il provvedimento ha inoltre rilevato l’assenza di misure tecniche e organizzative adeguate a garantire la protezione dei dati personali “fin dalla progettazione” (privacy by design) e “per impostazione predefinita” (privacy by default); in particolare, il sistema di raccolta dei log e dei metadati non prevedeva limitazioni automatiche di accesso, né meccanismi efficaci per l’anonimizzazione dei dati dopo un periodo definito.

La separazione delle informazioni tra più fornitori (IP, MAC address, nome del dipendente) è stata ritenuta insufficiente a garantire la non identificabilità degli utenti, poiché la Regione, mediante una procedura prestabilita, era comunque in grado di ricostruire il profilo completo del soggetto interessato.

Il Garante ha dunque ritenuto che, in assenza di ulteriori cautele (come la cifratura dei nomi e la segregazione dei ruoli di accesso), il principio di protezione per impostazione non risultava rispettato.

Valutazione d’impatto sulla protezione dei dati (art. 35 GDPR)

Una delle violazioni più gravi accertate riguarda però la mancata redazione della valutazione d’impatto (DPIA) per i trattamenti ad alto rischio, come quelli relativi alla gestione sistematica dei metadati email e dei log Internet.

La DPIA rappresenta infatti uno strumento essenziale per:

• analizzare i rischi connessi al trattamento;
• valutare le misure di mitigazione;
• documentare le scelte organizzative adottate dal titolare.

Il Garante ha evidenziato che la Regione avrebbe dovuto svolgere la DPIA prima dell’avvio dei trattamenti, in considerazione del monitoraggio sistematico dei lavoratori, della vulnerabilità del contesto e della quantità e qualità dei dati trattati. Solo in un momento successivo all’inizio dell’istruttoria, la Regione ha prodotto un documento di valutazione, comunque tardivo rispetto all’obbligo normativo.

Nomina dei responsabili del trattamento (art. 28 GDPR)

Infine, è stata accertata la mancata o incompleta nomina dei fornitori esterni (in particolare quelli incaricati della gestione dei sistemi di ticketing OTRS e SDAS) come responsabili del trattamento ai sensi dell’art. 28 GDPR. I contratti in essere non contenevano informazioni essenziali quali ad esempio:

• oggetto e finalità del trattamento;
• durata del trattamento;
• categorie di dati e di interessati;
• istruzioni documentate del titolare.

Solo durante l’istruttoria è stato sottoscritto un addendum contrattuale per estendere la nomina anche ai dati pregressi, ma ciò non è stato ritenuto sufficiente a sanare la violazione retroattiva. Il mancato rispetto dell’art. 28 comporta una responsabilità diretta del titolare e rappresenta un elemento di grave criticità nella governance dei dati.

Misure correttive imposte dal Garante

A seguito dell’accertamento delle violazioni in materia di protezione dei dati personali, il Garante ha prescritto alla Regione Lombardia una serie di misure correttive finalizzate a garantire la conformità dei trattamenti alle disposizioni del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy nazionale.

Adeguamenti tecnici

Tra le principali prescrizioni imposte dall’Autorità rientra la riduzione del periodo di conservazione dei log di navigazione Internet da 365 a 90 giorni, limite temporale ritenuto congruo rispetto alla finalità di sicurezza informatica e di risposta agli incidenti ed in linea con il principio di limitazione della conservazione dei dati sancito dall’art. 5, par. 1, lett. e) del GDPR.

I log conservati oltre i 90 giorni dovranno inoltre essere anonimizzati, in modo tale da impedire l’identificazione diretta o indiretta dei lavoratori.

Inoltre, il Garante ha imposto l’anonimizzazione anche dei dati relativi ai tentativi falliti di accesso a siti web inseriti in blacklist, ritenendo che tali informazioni non siano rilevanti rispetto alla prestazione lavorativa e che possano esporre i lavoratori a rischi indebiti di profilazione o controllo.

Anche questi dati, infatti, rientrano nell’ambito della sfera personale e privata dei dipendenti, specialmente nei casi in cui la navigazione avvenga in modalità agile o da dispositivi condivisi.

Una misura di particolare rilevanza tecnica riguarda la cifratura dei dati identificativi dei dipendenti, con riferimento specifico ai nomi associati alle postazioni di lavoro, prescrizione che ha lo scopo di rafforzare la protezione dei dati conservati nei sistemi e di limitare l’accessibilità delle informazioni a soggetti non autorizzati: la Regione dovrà quindi fornire istruzioni documentate ai fornitori esterni, in qualità di responsabili del trattamento, in merito alla modalità di cifratura e alla gestione sicura delle chiavi di decifratura, ai sensi dell’art. 32 del GDPR.

Accanto agli interventi tecnici, il Garante ha richiesto l’adozione di misure organizzative, tra cui la designazione esplicita e la formazione del personale autorizzato al trattamento dei log. Tali soggetti dovranno essere individuati in numero limitato e dovranno ricevere istruzioni specifiche in relazione alla natura del trattamento, ai rischi per i diritti e le libertà degli interessati e agli obblighi di riservatezza.

La Regione dovrà altresì aggiornare periodicamente tali designazioni, garantendo che l’accesso ai dati sensibili sia concesso solo nei casi espressamente previsti, quali:

• richieste motivate da parte dell’autorità giudiziaria;
• anomalie di traffico predefinite e formalmente catalogate.

Obblighi documentali e comunicativi

In aggiunta agli adeguamenti tecnici e organizzativi, il Garante ha imposto obblighi di comunicazione e documentazione formale.

In primo luogo, è stato richiesto l’aggiornamento degli accordi collettivi già sottoscritti con le rappresentanze sindacali, al fine di recepire e integrare le nuove misure tecniche prescritte dal provvedimento. Gli accordi dovranno esplicitare:

• le modalità di conservazione e anonimizzazione dei dati;
• le finalità lecite del trattamento;
• le cautele adottate per evitare controlli illegittimi o eccessivi.

In secondo luogo, il Garante ha imposto alla Regione Lombardia di fornire un riscontro documentato entro 30 giorni dalla notifica del provvedimento, attestando:

• l’adozione delle misure tecniche e organizzative richieste;
• la data di attuazione delle modifiche;
• la trasmissione degli aggiornamenti agli accordi sindacali.

Il mancato riscontro nei tempi indicati costituirebbe una ulteriore violazione, sanzionabile in base al combinato disposto degli artt. 83, par. 5, del GDPR e 166 del Codice Privacy.

Le sanzioni, in sintesi

Ambito del trattamento	Violazioni accertate	Norme violate	Importo sanzione
Metadati di posta elettronica	- Conservazione per 90 giorni senza accordo sindacale - Trattamento senza base giuridica adeguata	Art. 5, par. 1, lett. a); art. 6; art. 35; art. 88 GDPR Art. 114 Codice Privacy	€ 20.000
Log di navigazione Internet	- Conservazione generalizzata per 12 mesi - Possibilità di controllo a distanza non autorizzato	Art. 5, par. 1, lett. a), c), e); art. 6; art. 25; art. 35; art. 88 GDPR Artt. 113 e 114 Codice Privacy	€ 25.000
Sistema di ticketing tecnico (OTRS)	- Conservazione prolungata dei ticket - Mancata nomina conforme dei responsabili del trattamento	Art. 5, par. 1, lett. e); art. 25; art. 28 GDPR	€ 5.000
Totale sanzione pecuniaria			€ 50.000