Garante per la protezione dei dati personali, 1° dicembre 2022

Ordinanza ingiunzione nei confronti di Regione Lazio.

Il Garante per la protezione dei dati personali ha ritenuto illegittimo il controllo dei metadati della posta elettronica dei dipendenti senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori. Questo il principio affermato dall’Autorità nell’ordinanza-ingiunzione con cui ha comminato una sanzione di 100.000 euro nei confronti della Regione Lazio.
Il caso nasce dalla segnalazione di un sindacato che aveva lamentato un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale. Oggetto del monitoraggio, i metadati relativi ad orari, destinatari, contenuto delle comunicazioni, peso degli allegati.
Nel provvedimento, il Garante ha chiarito che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che in quanto forma di corrispondenza è tutelata dalla Costituzione – non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, infatti, il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge. Il trattamento di dati personali posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.