Una recente sanzione ha coinvolto in prima persona la Regione Lombardia. Nello specifico, nel mese di aprile 2025, il Garante per la privacy ha emesso un provvedimento (n. 243 del 29 aprile) in seguito a un accertamento d’ufficio sul trattamento dei dati personali dei dipendenti. Quest’ultimo ha incluso sia il lavoro in presenza che quello da remoto. L’ispezione aveva l’obiettivo di valutare la conformità alle norme vigenti in materia di privacy e ha portato alla luce diverse criticità. Ciò soprattutto in merito alla gestione di metadati, log di navigazione web e dati legati all’assistenza tecnica informatica.
Sanzione per la Regione Lombardia: ecco cosa è successo nel dettaglio
Durante le verifiche, è emerso che l’utilizzo degli strumenti informatici da parte dei dipendenti è regolato da un apposito Decreto interno. Le regole contenute in quest’ultimo valgono sia per il lavoro in ufficio che per lo smart working. Mentre la navigazione in rete è sostanzialmente libera, salvo l’accesso a determinati siti inseriti in una black list. Eppure, tutti i log di navigazione vengono conservati per un anno intero nei server gestiti da ARIA. E grazie all’incrocio tra dati di accesso e indirizzi IP, è possibile risalire all’identità del dispositivo (e potenzialmente dell’utente) che ha navigato. Va sottolineato che tale Decreto è stato condiviso con le rappresentanze sindacali, ma non è mai stato formalizzato attraverso un accordo ai sensi dello Statuto dei lavoratori.
La sanzione complessiva imposta alla Regione Lombardia ammonta a 50.000 euro. Suddivisa in tre importi: 20.000 euro per la gestione dei metadati e-mail, 25.000 euro per i log di navigazione e 5.000 euro per la conservazione dei ticket di assistenza tecnica. Ognuna di tali violazioni è stata classificata con un livello di gravità medio.
Elementi analizzati dal Garante della privacy
Anche la posta elettronica, basata su Microsoft 365, è gestita da ARIA. Quest’ultima conserva i relativi metadati per 90 giorni, giustificandone l’uso a fini di assistenza tecnica. Inoltre, l’assistenza informatica è erogata tramite una piattaforma chiamata SDAS. Operata da remoto con ticket archiviati per un periodo di 78 mesi. Il sistema precedente, OTRS, ormai dismesso, conservava le richieste dal 2016. La Regione ha dichiarato di non aver mai utilizzato né i metadati della posta né quelli della navigazione per finalità di controllo dei dipendenti.
Eppure, il Garante ha individuato tre ambiti principali di non conformità. In primo luogo, la conservazione per 90 giorni dei metadati delle e-mail è stata considerata eccessiva. Specie perché non supportata da un accordo sindacale o da un’autorizzazione dell’Ispettorato nazionale del lavoro. Il fatto che il parametro sia preimpostato da Microsoft non è stato ritenuto una giustificazione sufficiente. Il secondo rilievo ha riguardato la gestione dei log di navigazione. Anche se suddivisi tra diversi fornitori per rendere difficile l’identificazione dell’utente, la loro conservazione per 12 mesi è stata ritenuta sproporzionata e assimilabile a un controllo a distanza. Con conseguente violazione dello Statuto. Il terzo punto ha, infine, riguardato la conservazione ultra-decennale dei dati nel vecchio sistema OTRS, per la quale il Garante non ha ravvisato motivazioni valide secondo quanto stabilito dal GDPR.
