Controllo dei log di navigazione dei dipendenti e delle email. Questo l’argomento affrontato dal Garante della Privacy nella newsletter n.35 del 30 maggio 2025, descrivendo una sanzione comminata alla Regione Lombardia.
Al termine di un periodo ispettivo il Garante ha accertato violazioni in merito a:
- raccolta e conservazione dati di navigazione, anche su siti in black list, in mancanza di accordo collettivo sindacale e senza garanzie a tutela dei lavoratori, con conseguente accesso a comportamenti privati degli stessi;
- mancanza di accordo sul trattamento dei metadati di posta elettronica.
Comminata una sanzione di 50mila euro e l’obbligo di adottare alcune misure a tutela della privacy come:
- anomizzazione log accesso fallito a black-list;
- cifratura dei nomi dipendenti ai quali sono stati assegnati computer portatili per il lavoro agile;
- riduzione de termine per la conservazione dei dati citati.
“Ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi. Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante, oltre alla sanzione amministrativa, ha ingiunto una serie di misure correttive.”
