NEWS

La Regione Lombardia sanzionata dal Garante per violazione della privacy dei dipendenti

Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia.

Il provvedimento giunge al termine di un ciclo ispettivo dell’Autorità per verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del lavoro agile. Numerose le violazioni riscontrate.

Dall’istruttoria del Garante è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet - consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list - senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.

Nessun accordo inoltre era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori. Ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi. Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante, oltre alla sanzione amministrativa, ha ingiunto una serie di misure correttive.

Tra queste, in particolare: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati.

Fonte: Garante Privacy

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Data breach: il Garante della Privacy sanziona l’Ordine degli psicologi della Lombardia
Next La Conferenza di primavera dei Garanti per la protezione dei dati europei rafforza la collaborazione tra le autorità

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy