Sanzione a Regione Lazio per monitoraggio illecito dei dipendenti

Il Garante, con comunicato del 19 dicembre 2022, ha confermato di aver irrogato una sanzione da 100.000 euro alla Regione Lazio, con ordinanza del 1° dicembre 2022. Dall’istruttoria svolta dall’Autorità, infatti, è emerso come l’Amministrazione ha illegittimamente effettuato un controllo dei metadati della posta elettronica dei propri dipendenti, così violando la riservatezza degli stessi, e così violando le norme che limitano il controllo dei lavoratori dipendenti

La fattispecie ha origine dalla segnalazione di un’organizzazione sindacale autonoma, la quale lamentava il monitoraggio della posta elettronica degli Avvocati dell’Amministrazione regionale. Nello specifico la sigla sindacale riteneva che l’Amministrazione avesse analizzato informazioni quali mittente, oggetto e destinatario delle e-mail inviate, oltre che ricognizione e pesatura di eventuali allegati alle comunicazioni stesse, ovvero i cosiddetti metadati. L’Amministrazione giustificava tale comportamento stante la necessità di accertare comportamenti illeciti dei propri dipendenti, con particolare riguardo alla presunta comunicazione di informazioni riservate da parte degli stessi.

All’esito dell’attività istruttoria, l’Autorità Garante contestava una serie di addebiti piuttosto gravi. In primis, il mancato rispetto del principio di liceità, correttezza e trasparenza secondo cui il Titolare ha l’obbligo di adottare misure adeguate al fine di fornire agli interessati tutte le informazioni di cui agli artt. 13 e 14  del Regolamento Europeo (UE) 2016/679. L’Amministrazione non ha dato dato prova di aver fornito ai dipendenti una specifica informativa e, solo in fase di istruttoria ha rappresentato l’intenzione di adottare uno specifico disciplinare interno al fine di rendere edotti i lavoratori rispetto alle modalità di controllo degli strumenti informatici.

Successivamente, l’Autorità contestava il mancato rispetto della disciplina prevista in ambito di controllo a distanza dei lavoratori. L’Amministrazione, infatti, pur giustificando il trattamento per finalità di sicurezza informatica, attraverso la conservazione dei metadati aveva effettuato un indiretto controllo a distanza dei propri dipendenti. Ciò in palese contrasto con la normativa di settore, la quale permette tale circostanza al ricorrere di esigenze organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale ed esclusivamente in presenza delle più opportune garanzie ex art.4, comma 1, L. 20 maggio 1970 n.300. Nella fattispecie oggetto di causa, il Garante ha eccepito come la generalizzata raccolta di dati attuata e la conservazione così estesa degli stessi, che l’Amministrazione arrivava a detenere per centottanta giorni, configurassero un controllo dei dipendenti e non un mero trattamento strumentale allo svolgimento della prestazione così come rappresentato dall’Amministrazione stessa.

Ma vi è di più…

Il Garante ha mosso una serie di ulteriori violazioni all’Amministrazione: le verifiche svolte sugli account di posta dei dipendenti hanno portato all’acquisizione di informazioni inerenti la vita privata dei dipendenti; i trattamenti dei metadati sono stati effettuati in violazione del principio di limitazione della conservazione poiché conservati per centottanta giorni; la mancata effettuazione di una preventiva valutazione d’impatto sul predetto trattamento.

Stante quanto predetto, quindi, in considerazione della gravità delle violazioni riscontrate, oltre all’irrogazione della sanzione pecuniaria, il Garante ha aggiunto il divieto per l’Amministrazione di svolgere qualunque ulteriore trattamento dei dati relativi al monitoraggio della posta dei propri dipendenti conservati per un periodo eccedente i sette giorni dalla raccolta, ha disposto la cancellazione dei dati raccolti e conservati oltre tale termine ed ha, infine, imposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.