Il Garante per la Protezione dei Dati Personali ha ritenuto illecito il controllo effettuato dalla Regione Lazio dei metadati della posta elettronica dei dipendenti senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori. Il Garante, all’esito della decisione ha comminato una sanzione di € 100.000 e vietato i trattamenti in corso.
Il caso nasce dalla segnalazione di un sindacato che aveva lamentato un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale nell’ambito di verifiche interne dirette ad appurare sospetti di possibile rivelazione a terzi di segreti d’ufficio. Il monitoraggio aveva, in particolare, riguardato i metadati relativi ad orari, destinatari, oggetto delle email e il peso degli allegati.
Nella propria ordinanza ingiunzione n. 409 del 1° dicembre 2022 il Garante ha rilevato, tra l’altro, che la generalizzata raccolta e conservazione, per un periodo esteso, dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono essere ricondotte all’ambito di applicazione del comma 2 dell’art. 4 della l. n. 300/1970, ma rientra tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare del trattamento di cui al comma 1 del medesimo art. 4. Pertanto, anche tali trattamenti rientrano tra i controlli a distanza che richiedono il preventivo accordo sindacale o l’autorizzazione amministrativa.
Pertanto, non avendo la Regione posto in essere le procedure di garanzia di cui all’art. 4, comma 1, della l. n. 300/1970, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale, il trattamento in questione risulta essere in contrasto con la normativa in materia di protezione dei dati personali e con la disciplina di settore in materia di controlli a distanza, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).
Sotto diverso aspetto, il Garante ha escluso che nella fattispecie si verta in tema di controlli difensivi con riferimento al trattamento specifico effettuato in relazione a determinati singoli lavoratori. Riconoscendo applicazioni giurisprudenziali non univoche della teoria sui controlli difensivi, l’autorità ha ritenuto che tale teoria coinvolga circostanze di fatto che non ricorrono nel caso di specie. A tal proposito, il Garante ribadisce, per i profili di protezione dei dati, che i trattamenti di dati personali connessi all’impiego di strumenti dai quali possa derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste dalla cornice legislativa di riferimento, che ne costituisce la base giuridica (artt. 5, par. 1, lett. a), 6 , 88, par. 1, del Regolamento, nonché 114 del Codice, in riferimento all’art. 4 della l. n. 300/1970). Dal momento che le esigenze di tutela del patrimonio datoriale sono state espressamente incluse tra le sole finalità lecite perseguibili mediante sistemi che possono comportare il controllo indiretto sulla generalità dei dipendenti, subordinandone l’installazione e l’utilizzazione all’accordo sindacale o, in alternativa, all’autorizzazione pubblica, qualora non vengano rispettate tali condizioni per il lecito impiego dei predetti sistemi, qualunque trattamento, anche ulteriore, di tali dati, inclusa la loro “estrazione, consultazione e uso” (art. 4, par. 1, n. 1), del Regolamento), deve considerarsi sprovvisto di idonea base giuridica e quindi illecito.
Secondo il Garante, il trattamento dei dati personali, consistente nella consultazione dei metadati raccolti e nell’estrazione di alcune casistiche relative a singoli lavoratori è dunque stato effettuato in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).