Avevamo chiuso il blog del 26 maggio 2025, titolato "Protezione dei dati personali e metadati e-mail: un anno dal Provvedimento del Garante Privacy" indicando che non erano noti provvedimenti del Garante in questo ambito e... ecco che viene pubblicato il Provvedimento del 29 aprile 2025 [10134221] nei confronti di Regione Lombardia.
Il Provvedimento nasce nell’ambito di accertamenti avviati d’ufficio dal Garante, relativamente alla modalità di gestione del lavoro agile e spazia su vari fronti, con speciale focus sui trattamenti effettuati sui log e sui metadati sia della navigazione in internet che della posta elettronica. In particolare, il Garante si è soffermato ad analizzare se le attività di trattamento svolte non siano riconducibili a controlli a distanza, rientrando quindi nell’ambito di applicazione dello Statuto dei lavoratori (art. 4).
Il contesto descritto nel Provvedimento, come dichiarato da Regione Lombardia, è il seguente:
- La navigazione Internet è libera salvo blacklist e i log sono conservati per 12 mesi a cura della in house regionale ARIA, nominata responsabile del trattamento. È possibile risalire alla navigazione effettuata da una particolare macchina tramite ricongiunzione delle informazioni (conservate separatamente) di utente e IP della macchina. La ricongiunzione delle informazioni viene effettuata su richiesta dell'autorità giudiziaria o nel caso in cui i sistemi rilevino particolari anomalie di traffico;
- La posta elettronica (Microsoft 365) è anch'essa gestita da ARIA, e i metadati sono conservati per 90 giorni per motivi di assistenza tecnica;
- Nessun accordo sindacale è stato stipulato, in quanto Regione Lombardia ha ritenuto che tali trattamenti non potessero costituire controllo a distanza dell'attività dei lavoratori.
In particolare, per quanto riguarda i log della navigazione in internet, Regione Lombardia ha dichiarato che il processo di gestione dei dati prevede:
1. il gestore del servizio proxy conserva i log di navigazione con la sola informazione relativa all’indirizzo IP della macchina;
2. il gestore della rete possiede l’informazione relativa all’associazione tra l’IP della macchina e il MAC ADDRESS della macchina stessa;
3. Il gestore delle PdL possiede l’informazione relativa all’associazione tra il MAC ADDRESS della macchina e il nome dell’utente;
La parcellizzazione delle informazioni è tale che singolarmente nessun gestore è in grado di risalire autonomamente all’informazione completa tra la navigazione effettuata e l’utente che l’ha eseguita.
Per quanto riguarda i metadati della posta elettronica, Regione Lombardia ha dichiarato che:
I metadati della posta elettronica sono gestiti in due fasi temporali:
- per i primi 7 giorni, vengono conservati direttamente sul server:
- per le email più vecchie di 7 giorni ed entro i 90 giorni, vengono conservati sotto forma di report i seguenti metadati:
Inoltre, per disapplicare le previsionI dell'art. 4 dello Statuto dei lavoratori, Regione Lombardia ha dichiarato che “il personal computer e la casella di posta elettronica sono necessari per lo svolgimento dell’attività lavorativa quotidiana e, pertanto, devono considerarsi come strumenti di lavoro essenziali. L’Amministrazione, proprio sulla base della distinzione tra strumenti di controllo e strumenti di lavoro, ha ritenuto che non fossero necessari gli adempimenti di natura sindacale.
Il principio ribadito dal Garante in questo Provvedimento, per il caso di specie, è che la posta elettronica può essere considerata dal datore di lavoro come strumento di lavoro essenziale, come stabilito dal comma 4 dell'art. 2, solamente nei casi in cui il trattamento dei metadati sia gestito per un periodo limitato a pochi giorni, comunque non superiore ai 21 giorni, salvo che il titolare, sempre nel perseguimento della predetta finalità riconducibile all’alveo del comma 2 dell’art. 4 dello Statuto dei lavoratori, comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l’estensione in ragione delle specificità della propria realtà tecnica e organizzativa.
Diversamente, la generalizzata raccolta e la conservazione dei metadati di posta elettronica, per un lasso di tempo più esteso dei 21 giorni, in presenza di esigenze comunque riconducibili alla sicurezza e alla tutela del patrimonio anche informativo del datore di lavoro, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei lavoratori.
Il secondo principio espresso nel Provvedimento, per il caso di specie, è che il trattamento dei metadati di posta elettronica e di navigazione in Internet non può essere effettuato in assenza di una preliminare valutazione d’impatto ai sensi dell’art. 35 del Regolamento, in quanto tali trattamenti possono comportare rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo.
In questo contesto è importante che ogni Titolare del Trattamento, insieme con il DPO e RTD, prenda coscienza dell'importanza dellE tematiche in oggetto e la affronti in modo coordinato. In particolare:
1) Definire in modo chiaro le finalità del trattamento e le basi giuridiche, nonché le tempistiche necessarie di conservazione dei dati;
2) Svolgere una valutazione d'impatto privacy per analizzare i processi e le attività di gestione e conservazione;
3) Stabilire la necessità di applicare o disapplicare quanto previsto dall'art. 4 dello Statuto dei lavoratori per i trattamenti in oggetto.
Tutto questo deve essere documentato, in accordo con il principio di accountability del GDPR.
