Il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia (€ 50.000) per gravi carenze nella gestione dei dati personali dei dipendenti, con particolare riferimento alla conservazione dei metadati della posta elettronica e dei log di navigazione web, utilizzati anche nel contesto del lavoro agile. Il provvedimento (n. 243/2025, doc. web n. 10134221) rappresenta un importante precedente operativo e normativo.
Ma cosa si intende per metadati e log? I metadati relativi alle e-mail lavorative sono tutte le informazioni “esterne” al messaggio, come data e ora di invio, oggetto, mittente e destinatario, presenza e nome di allegati etc. Queste informazioni, pur non rientrando nei contenuti dei messaggi (la cui riservatezza, nel caso di caselle e-mail individuali, è tutelata come corrispondenza privata), possono dar luogo ad un monitoraggio indiretto dei lavoratori.
Ciò può avvenire quando vengono raccolti sistematicamente e indiscriminatamente e conservati per un periodo più lungo di quello necessario a garantire le funzionalità essenziali e la sicurezza imprescindibile dei sistemi (da valutare caso per caso, ma indicativamente definito dal Garante in un massimo di 21 giorni).
I log sono, invece, registrazioni delle attività degli utenti che i sistemi generano (spesso automaticamente) per ragioni di funzionalità dei sistemi e sicurezza (tracciabilità). I sistemi informatici, in altre parole, tengono un “registro” in cui, ad esempio, è tracciato che l’utente x ha cercato di accedere al sito y in data xxx alle ore yyyy. La conservazione dei log è una ottima prassi di sicurezza e, in alcuni casi (Amministratori di Sistema, utilizzo di sistemi di IA ad alto richio) è perfino un requisito di compliance.
Tuttavia, se raccolti indiscriminatamente e conservati per tempi eccessivi, anche questi possono dar luogo ad un monitoraggio regolare e sistematico dei lavoratori.
Tutto quanto fin qui riassunto, può essere consultato in versione estesa nel “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato, a seguito di consultazione pubblica, con provv. del 6 giugno 2024, n. 364, doc. web n. 10026277“
Ma, compreso ciò, cosa è accaduto alla Regone Lombardia?
⚠️ Le violazioni accertate
Tra le criticità rilevate, emergono aspetti comuni a molte organizzazioni:
📧 Conservazione e-mail e monitoraggio della navigazione Internet
I metadati delle comunicazioni e-mail venivano conservati per 90 giorni. I log relativi alla navigazione venivano conservati fino a 365 giorni, con possibilità di elaborazioni anche aggregate ma potenzialmente riconducibili all’utente. Come visto in precedenza, tale conservazione risulta eccessiva a meno di specifiche circostanze documentate che ne giustifichino l’applicazione.
📉 Assenza di presupposti legittimanti: DPIA e Accordo sindacale (o autorizzazione DTL)
Non è stata condotta alcuna valutazione d’impatto ex art. 35 GDPR, pur trattandosi di attività ad alto rischio per i diritti e le libertà dei dipendenti (ex art. 35, par. 3, lett. a, ed ‘Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto ) e, inoltre, il trattamento risulta svolto senza un valido accordo sindacale iniziale ex art. 4, comma 1, L. 300/1970.
📄 Carente trasparenza e documentazione
Il Garante ha contestato la mancanza di informative chiare e di un sistema documentale aggiornato e coerente con le finalità e i mezzi del trattamento.
🛡️ Cosa possono fare le aziende per tutelarsi
Il caso dimostra che, in assenza di una strategia di compliance preventiva, anche organizzazioni strutturate possono incorrere in:
-
❌ Sanzioni amministrative significative
-
❌ Esclusione da gare e qualificazioni come fornitori
-
❌ Contenziosi con dipendenti e stakeholder
-
❌ Danni reputazionali e perdita di fiducia
✅ Come Studio DFG può supportarti
Studio DFG Srl, con una solida esperienza nella consulenza in materia di protezione dei dati e sicurezza delle informazioni, affianca aziende e pubbliche amministrazioni nella prevenzione di scenari simili, offrendo:
🔎 Checkup completi della GDPR compliance, della videosorveglianza, dei sistemi di monitoraggio e degli asset digitali (es. e-mail, browser, dispositivi remoti).
📱 Assessment o DPIA di App e Piattaforme IA: indispensabile per strumenti basati su sistemi automatizzati che possono generare decisioni significative (GDPR art. 22, AI Act).
📋 Gestione di questionari e checklist: supporto nella lettura, nella compilazione tecnica e nella redazione di documentazione a prova di audit, sia da parte di committenti privati che di enti di controllo.
📘 Formazione e policy personalizzate: per garantire che ogni trattamento sia coerente con i principi di liceità, proporzionalità e trasparenza.
📌 Conclusioni
La compliance non può essere improvvisata. Solo attraverso attività di audit interne, DPIA mirate e un’adeguata governance dei dati si può affrontare con serenità un controllo ispettivo o una verifica da parte di clienti o autorità.
👉 Se desideri un checkup strategico dei tuoi trattamenti o vuoi prepararti alla ricezione di una checklist da parte di un committente, contattaci: lo Studio DFG Srl è il partner giusto per garantire solidità normativa e sostenibilità operativa.
🔗 Per approfondire, leggi il provvedimento completo sul sito del Garante: Garante Privacy – Doc. Web n. 10134221
