Il provvedimento del Garante Privacy n. 243/2025: una censura severa e articolata
Il Garante per la protezione dei dati personali ha emesso un provvedimento, pubblicato nella newsletter dello scorso 6 giugno, che avrà certamente un’eco profonda in tutta la pubblica amministrazione. Con la decisione n. 243 del 29 aprile 2025 (premere qui per leggere), l’Autorità ha sanzionato la Regione Lombardia per un insieme articolato di violazioni del regolamento europeo 2016/679 (GDPR) e del Codice Privacy nazionale, che ruotano attorno alla gestione dei metadati di posta elettronica, ai log della navigazione internet e ai dati dei ticket di assistenza tecnica.
Una triplice violazione: posta, navigazione e assistenza
Il provvedimento fotografa un sistema nel quale la raccolta e conservazione sistematica di dati — dai log della navigazione ai metadati e-mail — non risultava sorretta dalle adeguate basi giuridiche, in quanto assente un accordo sindacale preventivo, come richiesto dall’art. 4, comma 1, dello Statuto dei lavoratori (l. 300/1970), e ancora in quanto mancava una valutazione d’impatto sulla protezione dei dati (DPIA), ai sensi dell’art. 35 GDPR, ed infine si rilevava una conservazione eccessivamente prolungata dei dati, non giustificata rispetto alle finalità dichiarate (violazione del principio di limitazione della conservazione, art. 5 GDPR).
1. Metadati di posta elettronica: strumenti o controllo occulto?
La Regione conservava per 90 giorni i metadati delle e-mail dei dipendenti — oggetto, mittente, destinatario, orari di invio e ricezione — senza avere in origine stipulato l’accordo sindacale previsto dalla normativa.
Il Garante ha ritenuto che questa attività, anche se giustificata con esigenze di sicurezza e assistenza, configuri un potenziale controllo a distanza, in quanto permette al datore di lavoro di ricostruire l’attività del dipendente, anche a prescindere dalla volontà di quest’ultimo.
Il trattamento è stato pertanto ritenuto illecito, con violazione degli articoli 5, 6, 88 e 114 del Codice.
2. Log di navigazione Internet: una sorveglianza sistemica
Ancora più critica la situazione relativa alla navigazione web. I log degli accessi ai siti Internet, inclusi i tentativi falliti verso domini bloccati, venivano conservati per 12 mesi. Il sistema consentiva la tracciabilità della navigazione dei singoli utenti grazie all’incrocio dei dati detenuti da tre fornitori distinti (indirizzo IP, MAC address e nominativo assegnato al dispositivo).
Nonostante l’adozione di una “disaggregazione” informativa, il Garante ha ritenuto che la reidentificazione fosse comunque tecnicamente possibile, specie in presenza di anomalie di rete o su richiesta dell’autorità giudiziaria.
È stata inoltre rilevata l’assenza di anonimizzazione dei dati non necessari o eccedenti rispetto alle finalità perseguite, configurando una violazione anche degli articoli 113 del Codice Privacy e 25 GDPR (protezione dei dati fin dalla progettazione).
3. Dati dei ticket di assistenza: conservazione sproporzionata
L’ultima censura riguarda la gestione delle richieste di assistenza tecnica tramite il sistema OTRS, poi dismesso. Tali dati — contenenti informazioni sui malfunzionamenti segnalati dai dipendenti — erano conservati dal 2016 fino al 2025, senza giustificazione idonea.
Inoltre, l’accordo con i fornitori non copriva espressamente tale trattamento, in violazione dell’art. 28 GDPR (relativo ai rapporti tra titolare e responsabile del trattamento).
Le misure correttive e la sanzione pecuniaria
Il Garante ha imposto alla Regione Lombardia l’adozione, entro 90 giorni, di una serie di misure tecniche e organizzative supplementari, tra cui:
- anonimizzazione dei log relativi ai tentativi falliti di accesso a siti in blacklist;
- riduzione del periodo di conservazione a 90 giorni, con possibilità di estensione solo previa anonimizzazione;
- cifratura dei dati identificativi dei dipendenti coinvolti;
- limitazione del trattamento a personale selezionato e appositamente designato;
- aggiornamento degli accordi sindacali già sottoscritti.
Contestualmente, ha inflitto una sanzione amministrativa complessiva di € 50.000, suddivisa come segue:
- € 20.000 per i metadati e-mail;
- € 25.000 per i log di navigazione;
- € 5.000 per i dati dei ticket OTRS.
Un precedente rilevante
Questo provvedimento evidenzia in modo netto come il principio di trasparenza e proporzionalità nel trattamento dei dati personali non possa essere sacrificato nemmeno in nome della sicurezza informatica o dell’efficienza amministrativa.
Il contesto lavorativo richiede una ponderazione rafforzata degli interessi in gioco, tenendo conto della posizione di vulnerabilità del lavoratore rispetto al datore di lavoro, specialmente in scenari come lo smart working.
Il caso della Regione Lombardia rappresenta un monito per tutte le amministrazioni pubbliche, chiamate ad adeguare strutturalmente i propri sistemi di trattamento ai dettami del regolamento europeo, evitando approcci formalistici o dilatori.
The post Sanzionata la Regione Lombardia: metadati, log e privacy violata first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
