“Violati i dati personali dei dipendenti”: Regione Lombardia sanzionata per 50mila euro dal Garante della Privacy

Il Garante della Privacy ha sanzionato per 50mila euro la Regione Lombardia per aver compiuto diverse violazioni relative al trattamento dei dati personali dei dipendenti. Le violazioni hanno riguardato principalmente il trattamento dei metadati delle e-mail, il trattamento dei log di navigazione in Internet e la mancata Valutazione d'Impatto sulla Protezione dei Dati (DPIA).

Nello specifico, secondo il Garante la Regione Lombardia avrebbe conservato i metadati delle e-mail (come mittente, destinatario, ora di invio, oggetto) per un periodo di 90 giorni senza un accordo sindacale preventivo, come invece richiesto dalla legge italiana. Contestualmente, la Regione avrebbe raccolto e conservato per 365 giorni i log di navigazione internet dei dipendenti (incluse le visite a siti e i tentativi falliti di accesso a siti in "black list"), anche in questo caso, senza un accordo sindacale e, dunque, la conservazione "sistematica e prolungata" è stata giudicata "sproporzionata e non conforme ai principi di minimizzazione e limitazione della conservazione". Infine, la Regione non avrebbe condotto una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per il trattamento dei metadati di posta elettronica e dei log di navigazione internet, nonostante questi trattamenti presentassero un rischio elevato per i diritti e le libertà degli interessati nel contesto lavorativo.

Per questo, "nell’ambito di accertamenti avviati d’ufficio al fine di verificare l’osservanza delle norme in materia di protezione dei dati personali in relazione ai trattamenti posti in essere in ambito lavorativo, anche con riferimento alle modalità di svolgimento del cd. “lavoro agile”, l’Autorità ha condotto un’attività ispettiva nei confronti della Regione Lombardia", si legge sul provvedimento emesso dal Garante della Privacy lo scorso 29 aprile. Tale attività ispettiva ha portato alla sanzione di 50mila euro per la Regione alla quale è stato anche ingiunto di adottare ulteriori misure correttive entro 90 giorni per garantire la conformità al GDPR (General Data Protection Regulation).

La risposta della Regione Lombardia

Alla sanzione del Garante della Privacy, la Regione Lombardia ha replicato definendo "anomalo" il provvedimento irrogato perché ciò che viene imputato – secondo la Regione – sarebbe servito esclusivamente a "contrastare attacchi hacker o non creare disservizi ai cittadini lombardi". Dunque, la Lombardia parla di una "beffa", per "l'essere puniti per il troppo senso di responsabilità mirato a garantire i sistemi informatici della Regione Lombardia".

Dunque, anche se la multa verrà pagata, in una nota la Regione ha ribadito che utilizzerà "questo anomalo provvedimento per aprire un dibattito mirato a far prevalere il senso di responsabilità rispetto ai lacci e lacciuoli di una vecchia burocrazia troppo lontana dall’evoluzione tecnologica".