Email e Internet sotto controllo? Il Garante sanziona la Regione Lombardia per violazione della privacy dei dipendenti

Di /

50.000 motivi per rispettare la privacy sul lavoro

Il 30 maggio 2025 il Garante per la protezione dei dati personali ha tirato le orecchie — e presentato il conto — alla Regione Lombardia per gravi violazioni in tema di trattamento dei dati dei propri dipendenti.

La Regione è stata sanzionata per 50.000 euro per aver raccolto e conservato log di navigazione internet e metadati delle email dei lavoratori senza le garanzie previste dalla normativa, né il necessario accordo sindacale.

E no, non basta dire “è per motivi di sicurezza” per farla franca.

I fatti: troppa curiosità sui click dei dipendenti

L’ispezione del Garante ha rivelato che la Regione Lombardia:

  • monitorava i siti web visitati dai dipendenti, inclusi quelli bloccati o vietati (black-list);
  • conservava i tentativi di accesso falliti ai siti web;
  • non aveva stipulato alcun accordo con i sindacati;
  • non aveva previsto garanzie sufficienti a tutela della sfera privata.

Insomma: con la scusa della cybersicurezza, si spiava anche dove non si doveva.

E le email? Altro che “solo metadati”

Altro punto critico riguarda il monitoraggio delle email: la Regione trattava metadati delle comunicazioni elettroniche (mittente, destinatario, orario, dimensioni del messaggio) senza aver prima stipulato un accordo sindacale, né fornito adeguata informativa ai dipendenti.

Anche se — a onor del vero — durante l’istruttoria la Regione ha avviato un percorso di adeguamento, per il Garante il danno era fatto.

Le misure imposte dal Garante

Il Garante non si è limitato alla multa. Ha anche ordinato una serie di misure correttive immediate, tra cui:

  • anonimizzazione dei log relativi ai tentativi di accesso ai siti vietati;
  • cifratura dei dati personali, in particolare i nomi dei dipendenti assegnatari dei dispositivi;
  • riduzione dei tempi di conservazione dei dati raccolti.

Una bella lista di “cose da non fare mai più”.

E adesso? Occhi aperti anche nella pubblica amministrazione

Per chi lavora nella pubblica amministrazione — e per noi della Polizia Locale — questa notizia è un campanello d’allarme.

Il controllo tecnologico sui lavoratori può esistere solo se regolato e legittimo.
E no, non è un dettaglio: la privacy è un diritto costituzionale, e non può essere aggirata da tecnicismi informatici.

Serve un accordo sindacale. Serve trasparenza. E serve rispetto.

Sindacati, RLS e lavoratori: ecco cosa possiamo (e dobbiamo) fare

🔐 Come sindacalisti e RLS, dobbiamo vigilare su ogni forma di controllo digitale:

  • Verificare se i sistemi aziendali tracciano la navigazione o i dispositivi assegnati;
  • Pretendere informativa chiara e accessibile;
  • Coinvolgere i sindacati ogni volta che un sistema di monitoraggio viene introdotto;
  • Denunciare al Garante ogni abuso.

👥 Per i lavoratori, è importante sapere che il datore di lavoro non può leggere, tracciare o conservare i vostri dati personali senza precise tutele.

Conclusioni: la tecnologia non può superare i diritti

Quello che è accaduto in Lombardia non è un incidente isolato, ma un esempio concreto di come lavoro agile e strumenti digitali possono diventare trappole per la privacy, se non regolati in modo chiaro.

Il messaggio del Garante è forte e chiaro: non tutto ciò che è tecnicamente possibile è anche legalmente lecito.

E noi, come sindacato, non ci stancheremo mai di dirlo.

wpChatIcon
wpChatIcon
A note to our visitors

This website has updated its privacy policy in compliance with changes to European Union data protection law, for all members globally. We’ve also updated our Privacy Policy to give you more information about your rights and responsibilities with respect to your privacy and personal information. Please read this to review the updates about which cookies we use and what information we collect on our site. By continuing to use this site, you are agreeing to our updated privacy policy.

Torna in alto