Il 29 aprile 2025, il Garante per la protezione dei dati personali ha adottato un provvedimento di particolare rilievo nei confronti della Regione Lombardia, a seguito di un’indagine condotta sull’infrastruttura informatica utilizzata per la gestione del lavoro subordinato pubblico.
Indice degli argomenti
L’indagine del garante e il contesto normativo
Il caso ha riguardato il trattamento sistematico di metadati relativi alla posta elettronica e alla navigazione Internet dei dipendenti regionali, in assenza delle garanzie procedurali previste dallo Statuto dei lavoratori e dal Regolamento generale sulla protezione dei dati.
Il provvedimento adottato dal Garante il 29 aprile 2025 nei confronti della Regione Lombardia, a cui è stata comminata una sanzione di 50 mila euro, consente di articolare una riflessione sull’ossatura del controllo informatico nel contesto del lavoro subordinato pubblico.
L’interlocuzione tra disciplina giuslavoristica e protezione dei dati personali attraversa, in tale caso, una soglia qualitativa che obbliga a ripensare la grammatica giuridica del rapporto di lavoro, nei suoi profili digitali, sotto la regola combinata dell’art. 4 dello Statuto dei lavoratori e dell’art. 88 del Regolamento generale sulla protezione dei dati.
La digitalizzazione del lavoro pubblico e la tutela dei dati
L’infrastruttura logica del trattamento esaminato riflette l’interconnessione sistemica tra sicurezza, controllo, tracciamento e architettura contrattuale dei servizi.
La digitalizzazione del lavoro pubblico non produce soltanto un mutamento tecnico, ma dispone un regime giuridico in cui l’interesse pubblico alla tutela dell’integrità informatica convive con l’obbligo di massima tutela della persona nel luogo di lavoro. Tale obbligo scaturisce direttamente dagli artt. 2, 3 e 15 della Costituzione, nella loro declinazione operativa sul terreno del trattamento dei dati personali riferibili al lavoratore. Il dato non corrisponde mai a una mera componente tecnica.
Ogni metadato trattenuto da un’infrastruttura pubblica incorpora una scelta di bilanciamento tra interessi antagonisti, che assume rilevanza giuridica solo se costruita secondo le precondizioni procedimentali previste dalla disciplina nazionale.
Dal controllo tecnico al presidio procedurale
In questo senso, il controllo digitale non si riduce a una questione di perimetrazione tecnica dei sistemi, ma include una valutazione normativa di coerenza tra finalità dichiarate, strumenti utilizzati e procedure attivate.
Il quadro tracciato dal Garante conferma il passaggio da un modello permissivo, basato sull’equilibrio tecnico, a un modello strutturato su presidi procedurali inderogabili.
L’architettura del provvedimento n. 243/2025 si articola attorno a una pluralità di violazioni, ciascuna dotata di autonoma rilevanza normativa, ma riconducibile a un nucleo unificante: l’insufficienza strutturale della base giuridica che avrebbe dovuto presidiare i trattamenti di dati personali in ambiente lavorativo pubblico.
Tale nucleo riceve consistenza giuridica attraverso l’applicazione congiunta degli artt. 5, 6, 25 e 88 del Regolamento (UE) 2016/679 o Gdpr, degli artt. 113 e 114 del Codice Privacy, nonché degli artt. 4 e 8 dello Statuto dei lavoratori.
Criticità nel trattamento dei metadati e dei log di navigazione
Il primo segmento istruttorio ha accertato una conservazione estensiva e sistematica dei metadati di posta elettronica, per un arco temporale pari a novanta giorni.
Tale durata, indicata come necessaria ai fini della sicurezza informatica e dell’assistenza tecnica, è risultata priva del presupposto negoziale previsto dall’art. 4, comma 1, della l. 300/1970, in quanto non preceduta da accordo collettivo con le rappresentanze sindacali.
L’assenza dell’accordo ha determinato l’inidoneità della finalità dichiarata a giustificare il trattamento. Nessuna finalità può assumere rilievo giuridico se non ancorata a una base legale perfezionata nella forma richiesta dall’ordinamento.
Il secondo segmento ha qualificato come eccedente rispetto ai parametri del principio di minimizzazione la conservazione per 12 mesi dei log relativi alla navigazione Internet. L’estensione temporale, unita alla possibilità tecnica di ricostruzione dell’identità del lavoratore mediante correlazione tra dati detenuti da soggetti diversi, ha determinato un superamento della soglia di proporzionalità del trattamento.
Il Garante ha ritenuto che la complessità dell’infrastruttura organizzativa non producesse una segmentazione del dato rilevante sul piano giuridico. L’aggregabilità ex post ha conferito piena qualificazione personale al dato, vincolandolo al rispetto dell’art. 5, par. 1, lett. c) ed e), del Regolamento.
Nomine, responsabilizzazione e valutazione d’impatto
Un terzo profilo ha riguardato la carenza dei requisiti formali delle nomine a responsabile del trattamento ex art. 28 del GDPR. La mancata indicazione puntuale dello strumento tecnologico utilizzato (sistema OTRS) e delle date di riferimento ha privato l’incarico di elementi essenziali ai fini della sua validità. La lacuna ha inciso sulla capacità del titolare di dimostrare la conformità del trattamento, in violazione del principio di responsabilizzazione di cui all’art. 5, par. 2, e all’art. 24 del GDPR.
Il formalismo contrattuale in materia di protezione dati costituisce condizione sostanziale di validità, non mero requisito documentale. Ulteriori violazioni sono derivate dalla mancata realizzazione di una valutazione di impatto sulla protezione dei dati (DPIA) relativa ai metadati di posta elettronica e ai log di navigazione.
Il Garante ha ritenuto integrato il criterio del rischio elevato per effetto dell’articolazione sistematica, su larga scala, di trattamenti incidenti sull’ambito relazionale del lavoratore, dotato di aspettativa legittima di riservatezza. La Regione ha tentato di restringere l’ambito della DPIA al solo criterio dei soggetti vulnerabili, escludendo il monitoraggio sistematico.
Tale delimitazione si è posta in contraddizione con l’oggettiva capacità del trattamento di generare effetti diretti sull’organizzazione e sulle dinamiche disciplinari, anche in assenza di utilizzo diretto delle informazioni.
Profilazione e dati non pertinenti alla prestazione lavorativa
Infine, un profilo critico ha investito la raccolta di dati non pertinenti all’attività lavorativa, con riferimento alla navigazione Internet. I log relativi a tentativi di accesso a siti in black list, pur inibiti, sono stati conservati per finalità di sicurezza. Tale conservazione ha incluso informazioni potenzialmente idonee a rivelare opinioni personali o comportamenti estranei all’attività lavorativa, in violazione dell’art. 8 della legge 300/1970 e dell’art. 113 del Codice.
L’interferenza informativa ha raggiunto anche la sfera ideologica, religiosa o sindacale del lavoratore, in assenza di qualunque meccanismo filtrante.
Strumenti di lavoro o sorveglianza digitale?
Dal punto di vista sostanziale il provvedimento del Garante ha affrontato la distinzione tra strumenti funzionali alla prestazione e sistemi idonei alla sorveglianza digitale attraverso una ricostruzione puntuale dell’architettura tecnica adottata dalla Regione Lombardia. L’intero impianto informatico ha generato metadati relativi alla posta elettronica, alla navigazione Internet e all’uso della rete aziendale.
Ogni flusso informativo ha mantenuto una riferibilità individuale, misurabile attraverso l’interazione tra tre operatori contrattuali: ARIA S.p.A., Fastweb e Engineering. La Regione ha classificato i sistemi utilizzati come “strumenti di lavoro”. Su questo, il Garante ha ricondotto l’intera filiera del trattamento all’art. 4, comma 1, dello Statuto dei lavoratori, fondando la propria ricostruzione su due elementi oggettivi: la capacità dei dati trattati di documentare l’attività del lavoratore e l’assenza di un filtro tecnico in grado di neutralizzare il potenziale monitoraggio.
Ogni sistema ha acquisito una funzionalità di sorveglianza per effetto dell’attivazione automatica, della conservazione per lunghi periodi e dell’accessibilità dei dati da parte del datore o di soggetti esterni incaricati. La nozione di “strumento di lavoro” richiede però una destinazione esclusiva alla prestazione, una generazione di dati irrilevanti sotto il profilo disciplinare e una completa trasparenza nei confronti del lavoratore.
L’analisi condotta ha smentito la possibilità di ricondurre i sistemi adottati a questa definizione.
Accessibilità, conservazione e violazioni sistemiche
Ogni processo ha prodotto un tracciato digitale conservato per finalità di sicurezza, assistenza e controllo, con una durata pari a novanta giorni per la posta e trecentosessantacinque per la navigazione.
Il lavoratore ha utilizzato dispositivi configurati in modo da registrare ogni interazione, con accesso abilitato per soggetti terzi contrattualizzati dalla Regione. Il provvedimento ha auindi attribuito rilievo all’effetto prodotto e non alla finalità dichiarata. L’intero impianto ha acquisito una vocazione documentale, con capacità di attribuzione soggettiva ex post.
L’assenza di un’interruzione tecnica tra i tre soggetti coinvolti ha rafforzato l’unità del trattamento. La Regione ha detenuto il potere di aggregare e consultare le informazioni. I metadati hanno descritto l’intensità delle comunicazioni, la loro periodicità, l’ampiezza della rete relazionale, la dimensione dei file allegati. Tali parametri hanno generato una rappresentazione della prestazione lavorativa, suscettibile di utilizzo anche al di fuori delle finalità iniziali poiché ogni sistema ha operato in assenza di un accordo sindacale ex art. 4, comma 1. Il successivo accordo, stipulato in fase istruttoria. Ciò ha inciso sul futuro ma non sul pregresso. Il Garante ha attribuito all’assenza originaria del presidio negoziale una valenza determinante, in quanto indice di un trattamento privo delle garanzie procedurali previste per i sistemi di controllo a distanza.
Rilievo giuridico e implicazioni sanzionatorie
L’intera durata della conservazione antecedente all’accordo ha assunto rilevanza ai fini sanzionatori e correttivi. La qualificazione dei sistemi come impianti di controllo ha fondato l’obbligo di procedere a una valutazione d’impatto. Se da un lato la Regione ha ritenuto sufficiente il riferimento alla sicurezza informatica, dall’altro il Garante ha valorizzato l’effetto cumulativo della tracciabilità, della centralizzazione dei dati, della riferibilità soggettiva e della conservazione automatica.
