Monitorata la posta elettronica dei dipendenti: sanzione per la Regione Lazio
Decisiva la segnalazione fatta da un sindacato. L’illegittimo trattamento di dati personali posto in essere ha, tra l’altro, consentito di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti
Multa di 100.000 euro per la Regione Lazio, colpevole, secondo quanto accertato dal Garante per la privacy, di avere monitorato la posta elettronica di alcuni dipendenti e di averlo fatto senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori. A far scoppiare il caso è stata la segnalazione di un sindacato che aveva lamentato un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale. Nel corso dell’istruttoria l’ente pubblico ha dichiarato di aver avviato una verifica interna sulla base del sospetto di una possibile rivelazione a terzi di informazioni protette dal segreto d’ufficio. Oggetto del monitoraggio sono stati i metadati relativi ad orari, destinatari, oggetto delle comunicazioni, peso degli allegati. Sulle modalità del controllo il Garante ha accertato che la Regione aveva potuto effettuare il monitoraggio del personale dell’avvocatura, in particolare dei dipendenti che inviavano messaggi a uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per centottanta giorni, in assenza, però, di idonei presupposti giuridici e violando così i principi di protezione dei dati e delle norme sul controllo a distanza. Per motivare la sanzione adottata nei confronti della Regione è stato chiarito che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che, in quanto forma di corrispondenza, è tutelata dalla Costituzione – non sono strumentali allo svolgimento della prestazione del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, infatti, il datore deve avviare le specifiche procedure di garanzia – ossia raggiungere un accordo sindacale od ottenere un’autorizzazione pubblica – previste dalla legge. Nel caso della Regione Lazio, invece, l’illegittimo trattamento di dati personali posto in essere ha, tra l’altro, consentito di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa. (Ordinanza dell’1 dicembre 2022 del Garante per la protezione dei dati personali)