Garante sanziona Regione Lazio. No al controllo dei metadati della posta elettronica dei dipendenti, se non con adeguate tutele per la riservatezza. Questa è, nella sostanza, la motivazione che ha portato il Garante a comminare una sanzione di 100.000 euro alla Regione Lazio, rea di aver trasgredito anche le norme che limitano il controllo a distanza dei lavoratori.
I metadati
Al centro della sanzione del Garante alla Regione Lazio ci sono i metadati delle mail dei dipendenti, messi sotto stretto controllo dai responsabili della Regione, un controllo avvenuto, nero su bianco dalla pagina del Garante:
senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori.
Il Caso
L’indagine dell’autorità è partita a seguito della segnalazione di un sindacato che aveva evidenziato un monitoraggio sospetto, da parte dell’amministrazione della Regione, sulle mail di alcuni dipendenti, in particolare quelli in servizio presso gli uffici dell’avvocatura regionale.
L’istruttoria
Durante l’istruttoria, partita il 1° dicembre 2022, la Regione aveva dichiarato di aver avviato una verifica interna riguardo possibili rivelazioni a terzi di informazioni protette, in particolare di metadati riconducibili a orari, destinatari di e-mail, oggetto delle mail stesse, peso dei file allegati.
Verifiche interne
Il Garante, pur appurando l’effettivo monitoraggio interno all’ente, ha verificato comunque gli estremi per la sanzione, come si legge nel procedimento:
Il Garante ha accertato che la Regione aveva potuto effettuare il monitoraggio del personale dell’avvocatura, in particolare dei dipendenti che inviavano messaggi a uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni, in assenza di idonei presupposti giuridici violando così i principi di protezione dei dati e delle norme sul controllo a distanza.
Corrispondenza e Costituzione
Nel provvedimento il Garante ha sottolineato come la forma di controllo messa in atto dalla Regione non fosse “strumentale allo svolgimento della prestazione” dei dipendenti. L’autorità ha inoltre ribadito come ogni forma di corrispondenza (quindi anche quella via mail) sia tutelata dalla Costituzione:
La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria [cfr. art. 111.c.1] con le garanzie stabilite dalla legge” (art. 15).
Violazioni GDPR, Decreto Trasparenza, Statuto dei lavoratori
Posto che la gravità delle violazioni dell’Ente è avallata dall’incostituzionalità delle azioni compiute, GDPR alla mano, dal nostro punto di vista è ipotizzabile la violazione di molteplici articoli del Regolamento europeo, tra i quali gli artt.5, 6, 12, 14, 15, 29, 30, 32, 35 e 36. Inoltre, la questione chiama in causa inevitabilmente anche l’Articolo 4 legge n. 300 del 1970 (Statuto dei Lavoratori) e il D.lgs. 104 del 2022 (Decreto trasparenza). In quanto di fatto si configura un controllo a distanza del lavoratore:
Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale (art. 4 Statuto dei Lavoratori).
Si può fare, ma…
Come da citazione dell’art.15 della Costituzione, la libertà e la segretezza delle comunicazioni decadono soltanto per atto motivato dall’autorità giudiziaria e soltanto attraverso procedure di garanzia (es: accordi sindacali).
Oltre la sanzione
Oltre al pagamento alla sanzione di 100.000 euro, la Regione e dovrà adoperarsi nella cancellazione dei dati illecitamente raccolti. Inoltre, lapalissiano, l’Ente dovrà astenersi dal trattamento di metadati relativi all’utilizzo della posta elettronica anche in futuro.
La domanda sorge spontanea
Chiara la violazione, chiarissime le ragioni del Garante. Ma altrettanto chiara è la domanda che ci si deve porre. In tutto questo dove stava il DPO? Quando abbiamo iniziato a fare questo mestiere, uno dei primi temi affrontati in dettaglio è stata la videosorveglianza e le sue implicazioni. Possibile che il Dpo della Regione Lazio fosse all’oscuro delle implicazioni? Forse ignorava le implicazioni di un certo uso della tecnologia? Qui si pongono dei quesiti importanti sulla figura del Dpo e sulla sua preparazione.