"Dall’istruttoria del Garante è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet - consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list - senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.
Nessun accordo inoltre era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori . Ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi. Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante, oltre alla sanzione amministrativa, ha ingiunto una serie di misure correttive.
Tra queste, in particolare: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati."
[
https://www.federprivacy.org/informazione/garante-privacy/la-regione-lombardia-sanzionata-dal-garante-per-violazione-della-privacy-dei-dipendenti |
https://www.federprivacy.org/informazione/garante-privacy/la-regione-lombardia-sanzionata-dal-garante-per-violazione-della-privacy-dei-dipendenti ]
Il provvedimento:
[
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10134221 |
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10134221 ]
Dove, tra l'altro, si legge:
" Né, ancora, può assumere rilevanza, per i profili di protezione dei dati, la circostanza per cui, nel caso di specie, “i sindacati non hanno richiesto l’attivazione di tavoli di contrattazione” (v. verbale del XX), posto che, ai sensi della disciplina normativa in materia di controlli a distanza, l’obbligo di attivarsi per addivenire alla stipulazione dell’accordo collettivo spetta in ogni caso al datore di lavoro , in qualità di titolare del trattamento, non potendo l’inerzia delle rappresentanze sindacali al riguardo essere invocata per escludere la responsabilità che l’art. 4 della l. 20 maggio 1970, n. 300 pone in capo al datore di lavoro.
Deve quindi concludersi che il trattamento in questione è stato effettuato in assenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice, sino al XX per quanto concerne il personale non dirigenziale e sino al XX per quanto invece riguarda il personale dirigenziale, essendo la Regione in tali date addivenuta alla stipula dei citati accordi collettivi con le competenti parti sindacali."
