Il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia per una serie di irregolarità nel trattamento dei dati dei propri dipendenti, in particolare relativi a

• all’uso della posta elettronica e 
• alla navigazione internet.

L’ispezione, avviata d’ufficio, mirava a verificare la conformità delle pratiche adottate nel contesto del lavoro agile.

Dall’istruttoria è emerso che la Regione conservava i metadati della posta elettronica (informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi) per 90 giorni, e i log di navigazione internet per ben 12 mesi, senza aver prima stipulato accordi sindacali come richiesto dalla normativa (art. 4, comma 1, Legge 20 maggio 1970, n. 300). 

Inoltre, tali trattamenti non erano stati preceduti da una valutazione d’impatto sulla protezione dei dati, violando l’art. 35 del Regolamento (UE) 2016/679 (GDPR).

Qui le indicazioni del garante sula privacy nel lavoro dipendente

Solo durante l’istruttoria, la Regione ha provveduto a regolarizzare la situazione, stipulando accordi con le organizzazioni sindacali e introducendo misure migliorative, ma ciò non è bastato ad evitare la sanzione.

Scarica qui il provvedimento del Provvedimento  243 del 29 aprile 2025 [doc web 10134221] reso noto nella Newsletter del 30.5.2025.

Le violazioni: dati conservati troppo a lungo e uso non proporzionato

Il Garante ha rilevato come la conservazione dei metadati e dei log fosse eccessiva e sproporzionata rispetto alle finalità dichiarate, che erano di natura tecnica o legate alla sicurezza informatica.

 In particolare, per i metadati email, il limite previsto per un uso tecnico e lecito secondo l’art. 4, comma 2, dello Statuto dei Lavoratori, è generalmente fissato a 21 giorni. Superare tale soglia, come nel caso della Regione, rientra invece nella casistica dell’art. 4, comma 1, che impone l’accordo sindacale.

Per i log di navigazione, la situazione è risultata ancora più delicata: la raccolta sistematica e la possibilità di ricondurre tali dati ai singoli dipendenti, seppure mediante l’incrocio di dati fra fornitori, configura un controllo indiretto dell’attività lavorativa.

 Il Garante ha quindi stabilito che tale pratica, in assenza di adeguate misure tecniche e di anonimizzazione, viola i principi di minimizzazione, proporzionalità e limitazione della conservazione previsti dagli artt. 5 e 25 del GDPR.

Anche la gestione dei ticket di assistenza tecnica tramite il vecchio sistema OTRS ha sollevato criticità: i dati erano conservati fino a 9 anni senza giustificazioni adeguate, e mancava un accordo specifico con i fornitori per disciplinare il trattamento, in violazione dell’art. 28 del GDPR.

La decisione del Garante e le misure richieste

A conclusione dell’istruttoria, il Garante ha dichiarato l’illiceità dei trattamenti e ha inflitto tre sanzioni amministrative distinte:

• 20.000 euro per la conservazione illecita dei metadati di posta elettronica;
• 25.000 euro per la conservazione eccessiva dei log internet;
• 5.000 euro per la gestione impropria dei dati di assistenza tecnica.

Oltre alla multa, la Regione Lombardia dovrà adottare misure correttive entro 90 giorni, tra cui:

• anonimizzare i log di navigazione più datati;
• ridurre a 90 giorni la conservazione dei dati internet, estendibile solo se anonimizzati;
• limitare l’accesso a tali dati a un numero ristretto di soggetti autorizzati;
• aggiornare gli accordi sindacali in coerenza con le nuove disposizioni.

Il provvedimento è stato pubblicato sul sito del Garante in base all’art. 166 del Codice in materia di protezione dei dati personali, per la sua rilevanza e funzione dissuasiva.

In arrivo una nuova proroga per le prestazioni lavorative in smart working fino al 30 giugno 2023 . Lo prevede una emendamento approvato in Commissione durante la conversione in legge del decreto Milleproroghe. Il ministero del lavoro con un comunicato di ieri  nel sito istituzionale dà per certa la modifica normativa   affermando  testualmente: 

" Il Ministero del Lavoro e delle Politiche Sociali e il Governo mantengono le promesse sulla proroga fino al 30 giugno per i lavoratori fragili, tanto del settore pubblico che di quello privato.

Il Ministro Marina Calderone, in tal senso, aveva già annunciato durante il question time al Senato del 26 gennaio scorso l'impegno a trovare le risorse per permettere la proroga dello smart working oltre il 31 marzo. Impegno concretizzatosi grazie alle coperture finanziarie (16 milioni di euro), oltre che del Ministero del Lavoro e delle Politiche Sociali, anche dei Ministeri dell'Economia e delle Finanze e dell'Istruzione e del Merito ad un emendamento al Decreto Milleproroghe approvato stamattina all'unanimità presso le Commissioni Bilancio e Affari costituzionali del Senato

Ricordiamo che  l'art. 26, commi 2 e 2-bis, del decreto-legge 17 marzo  2020,  n. 18, a causa dell'emergenza COVID aveva stabilito  che i  lavoratori  dipendenti  pubblici  e   privati   in   possesso   di certificazione  rilasciata  dai  competenti   organi   medico-legali, attestante una condizione di rischio derivante da immunodepressione o  da esiti da patologie oncologiche o  dallo  svolgimento  di  relative  terapie  salvavita,  ivi  inclusi  i  lavoratori  in   possesso   del riconoscimento di disabilita' con connotazione di gravita'  (Legge 104/1992) hanno diritto :

• a svolgere   di  norma  la  prestazione  lavorativa  in  modalita'  agile,   oppure
• ad essere  adibiti a diversa mansione ricompresa nella  medesima categoria o  area  di  inquadramento, previsti dal CCNL 
• o specifiche  attivita'  di formazione professionale anche da remoto;

La disposizione è stata  prorogata  piu volte, fino all'ultima proroga contenuta nella legge di bilancio 2023 (art. 1 comma 306) , con scadenza 31 marzo 2023.

Chi ha diritto al lavoro agile 

Per quanto riguarda i beneficiari della isura era stato pubblicato in G.U. n. 35 dell'11 febbraio 2022  il Decreto 4 febbraio 2022 del Ministero della salute  con l'individuazione delle patologie croniche con scarso compenso clinico e con particolare connotazione di gravita', in presenza delle quali  a prestazione lavorativa e' normalmente svolta in modalita' agile (cd. smart working).

Va sottolineato però  che  il testo della legge di bilancio  rinvia espressamente al decreto ministeriale sopracitato,  diversamente dalla precedente proroga del DL Aiuti bis ( Dl 115/2022) che invece  richiamava l’articolo 26, comma 2, del Dl 18/2020, il quale  prevede come beneficiari 

•  i lavoratori portatori di disabilità grave ai sensi dell’articolo 3, comma 3, della legge 104/1992 o 
• quelli che versano in una condizione di rischio derivante da immunodepressione o da esiti da patologie oncologiche o dallo svolgimento di relative terapie salvavita.

Nel messaggio INPS  3622 del  30  giugno 2022 si accordava il diritto al lavoro agile a tutte le categorie previste dai diversi provvedimenti  normativi,  mentre la tutela economica  in caso di assenza era riservata SOLO  ai soggetti portatori delle patologie elencate dal DM di febbraio 2022.

Ora la lettura formalistica della norma della legge di bilancio  porterebbe ad escludere dal lavoro agile  le categorie  previste dal DL 18-2020.

A questo punto sarebbe  auspicabile per fugare ogni dubbio un nuovo  chiarimento ministeriale o dell'Istituto previdenziale.

Patologie per diritto al lavoro agile – Decreto Ministero della salute 4.2.2022

Il ministero della salute aveva  individuato  in particolare le seguenti patologie e condizioni   per il  diritto allo smart working:

   A) indipendentemente dallo stato vaccinale: 

      a.1)  pazienti  con  marcata  compromissione   della   risposta immunitaria per:   trapianto di organo solido in terapia immunosoppressiva; trapianto di cellule staminali ematopoietiche (entro due annidal  trapianto  o  in  terapia  immunosoppressiva  per  malattia  deltrapianto contro l'ospite cronica); attesa di trapianto d'organo;         terapie a base di cellule T esprimenti un Recettore ChimericoAntigenico (cellule CAR-T);  patologia oncologica o onco-ematologica  in  trattamento  con farmaci immunosoppressivi, mielosoppressivi o  a  meno  di  sei  mesi dalla sospensione delle cure;  immunodeficienze  primitive  (es.   sindrome   di   DiGeorge, sindrome di Wiskott-Aldrich, immunodeficienza comune variabile etc.); immunodeficienze secondarie a trattamento farmacologico  (es:terapia  corticosteroidea  ad  alto  dosaggio  protratta  nel  tempo, farmaci immunosoppressori, farmaci biologici  con  rilevante  impatto sulla funzionalita' del sistema immunitario etc.);  dialisi e insufficienza renale cronica grave; pregressa splenectomia;   sindrome da immunodeficienza acquisita (AIDS) con  conta  dei  linfociti T CD4+ < 200cellule/µl o sulla base di giudizio clinico; 

      a.2)  pazienti  che  presentino  tre  o  piu'  delle   seguenti  condizioni patologiche: 

•         cardiopatia ischemica; 
•         fibrillazione atriale; 
•         scompenso cardiaco; 
•         ictus; 
•         diabete mellito; 
•         bronco-pneumopatia ostruttiva cronica; 
•         epatite cronica; 
•         obesita'; 

   B soggetti  esentati dalla  vaccinazione  anti COVID per  motivi sanitari e contemporaneamente almeno una delle seguenti condizioni: 

•       eta' >60 anni; 
•       condizioni  di  cui  all'allegato  2  della   circolare   della  Direzione generale della prevenzione sanitaria  del  Ministero  della  salute n. 45886 dell'8 ottobre 2021.

• DM 4.2.2022 ministero della Salute

Le comunicazioni dei nuovi rapporti di lavoro in modalità agile  come  definite dal  Decreto del Ministero del Lavoro  del Lavoro n. 149 del 22 agosto 2022. devono possono essere inviate da oggi 15 dicembre ed  entro il 1 gennaio 2023, come previsto dal decreto del ministro Calderone del 30.11.2022 che ha posticipato la scadenza prevista  per i rapporti di lavoro già attivi. 

 il ministero ha reso disponibili anche nuovi template in excel  per gli invii massivi,  nella sezione modulistica ( QUI sotto i link)

Attenzione al fatto che le disposizioni si applicano agli accordi individuali stipulati o modificati a decorrere dalla data del 1° settembre 2022. 

Si ricorda inoltre che il   decreto Aiuti bis 115 2022  convertito in legge,  ha  previsto  una proroga della modalità semplificata fino al 31 dicembre 2022 per cui è ancora possibile  definire rapporti di lavoro agile in maniera unilaterale,  SENZA accordo individuale con il lavoratore.

Rivediamo le due modalità attualmente in vigore  piu in dettaglio.

Lavoro agile: doppia modalità  fino al 31.12

1 – NUOVA COMUNICAZIONE TELEMATICA

A seguito del decreto Semplificazioni, il DM 149 del 22.9. 2022 ha istituito la  nuova modalità di comunicazione  telematica degli accordi al Ministero tramite la piattaforma telematica servizi.lavoro.gov.it  (vedi sotto i dettagli)

  La comunicazione non necessita di allegare copia dell’accordo, come previsto dalla norma istitutiva del dlgs 81 2017.

Un comunicato sul sito ministeriale  pubblicato il 26 agosto aveva precisato inoltre che:

1. L'adempimento è previsto  solo nel caso di nuovi accordi di lavoro agile o qualora si intenda procedere a modifiche (ivi comprese proroghe) di precedenti accordi. Restano valide le comunicazioni già effettuate secondo la disciplina previgente;
2. a regime, la comunicazione andrà effettuata entro il termine di cinque giorni, dalla stipula dell'accordo
3. in fase di prima applicazione delle nuove modalità, l'obbligo della comunicazione puo essere assolto entro il 1° gennaio 2023.

2 -COMUNICAZIONE SEMPLIFICATA EMERGENZIALE

L'art  25 bis del Decreto Aiuti bis ha previsto però che:

1.  fino al 31 dicembre  è ancora possibile utilizzare la  procedura "emergenziale" semplificata di comunicazione telematica QUI IL MODELLO  dello smart working per i lavoratori del settore privato, senza  la necessità di sottoscrizione dell'accordo individuale;
2. con  tale procedura  potranno essere inviate esclusivamente le comunicazioni  per  periodi di lavoro agile che terminano il 31 dicembre 2022. Qualora si estendano temporalmente oltre il 31 dicembre e laddove siano stati sottoscritti accordi individuali, i datori di lavoro utilizzeranno la (nuova) procedura ordinaria di cui al D.M. n. 149 del 22 agosto 2022.IN ogni caso NON è richiesto l'invio dell'accordo individuale.

 ATTENZIONE La mancata comunicazione prevede l’applicazione, di una sanzione amministrativa CHE VA da 100 a 500 euro, per ogni lavoratore interessato.

Comunicazione telematica  nuovi accordi smart working

Il modello  compilato con tutte  le informazioni relative all’accordo di lavoro agile  per le prestazioni che proseguono oltre il 31.12.2022  va trasmesso  con le nuove modalità telematiche attraverso il portale dei servizi on-line del ministero del Lavoro,  accessibile tramite autenticazione con 

•  SPID  oppure  
• CIE

Agli utenti è consentito l’accesso alle funzionalità di trasmissione scegliendo uno tra i seguenti profili:

• Referente aziendale: che può inviare comunicazioni solo per un’azienda, indicata successivamente all’autenticazione 

• Soggetto Abilitato: nella medesima sessione di lavoro può inviare comunicazioni per diverse aziende, indicate durate la fase di compilazione.

Il decreto precisa che restano valide le comunicazioni già effettuate secondo le modalità della disciplina previgente.  Il nuovo modello va utilizzato quindi per le modifiche di accordi già presenti o per la nuova istaurazione della modalità agile del rapporto di lavoro decorrenti dal 1 settembre.

Come previsto dalla legge 81 2017  il datore di lavoro  deve conservare copia dell’accordo individuale per un periodo di cinque anni dalla sottoscrizione.

Il sito consente di trasmettere e consultare tre distinte tipologie di comunicazione:

1. • Inizio: per comunicare l’avvio del periodo di lavoro agile;
2. • Modifica: per apportare delle rettifiche e degli aggiornamenti sui periodi di lavoro agile in corso già comunicat
3. • Annullamento sottoscrizione: per eliminare un periodo di lavoro agile precedentemente comunicato, non deve essere confusa con una cessazione o un recesso anticipato né dal periodo di lavoro agile 
4. • Recesso: per i casi di chiusura anticipata dei periodi di lavoro agile. 

Invio massivo: Sistema Rest  e nuovi modelli Excel

In alternativa alla trasmissione tramite  il nuovo  applicativo web   il decreto 149 del 22.8.2022  aveva  confermato la modalità Massiva con il sistema  REST, utile per l’invio di un elevato numero di periodi di lavoro agile da comunicare.

L’attivazione della modalità massiva REST richiede che l’Azienda o il Soggetto Abilitato debbano inviare una richiesta di contatto tramite un form online disponibile nell’URP Online del Ministero del Lavoro e delle Politiche Sociali.Nella richiesta deve essere indicato almeno un referente tecnico al quale potersi rivolgere per concludere la procedura di abilitazione.

Come preannunciato  in occasione della proroga della scadenza,  il Ministero ha reso disponibili  in data 9 dicembre 2022 i modelli di file excel utilizzabili per gli invii massivi. 

Scarica qui  i TEMPLATE EXCEL.

Il comunicato non specifica se la modalità Rest resterà ancora utilizzabile. 

Si attendono comunicazioni ufficiali  ulteriori rispetto al comunicato sul sito istituzionale.

• DM comunicazione lavoro agile 2022

Sul sio istituzionale del Ministero del lavoro è apparsa venerdi un comunicaato che specifica le modalità di compilazione dei campi relativi  a PAT e VOCE DI TARIFFA INAIL nelle nuove comunicazione di lavoro agile  come modificate dal decreto legge 73 2022 da parte di 

1.  Amministrazioni statali (per le quali l'assicurazione contro gli infortuni sul lavoro e le malattie professionali è gestita con la forma della Gestione per conto dello Stato) e
2. altri soggetti tenuti all'assicurazione obbligatoria, ma con forme speciali non gestite direttamente da Inail o altri Enti.

Il ministero precisa che :

"Le regole della procedura prevedono che per i soggetti sopra indicati, nella sezione "Rapporto di lavoro", nella quale vengono comunicati i dati relativi alla tipologia e alla durata del contratto di lavoro, il campo "Pat Inail" possa essere valorizzato con i seguenti codici:

• 99992000 Ministeri
• 99990000 Ditta Estera
• 99990001 Studi Professionali/Altro.

Nel solo caso di ditta di nuova costituzione, alla quale quindi l'Inail non ha ancora attribuito un numero di Pat può essere inserito eccezionalmente il codice "00000000" indicante "in attesa di codice Pat". Allo stesso modo, in merito al campo "Voce di tariffa", ai medesimi soggetti è già consentito l'inserimento in procedura del codice "0000".

I datori di lavoro che assolvono all'obbligo assicurativo contro gli infortuni sul lavoro e le malattie professionali per i lavoratori, con un soggetto diverso da Inail, come Inpgi o Enpaia, nella comunicazione di smart working devono essere inseriti i valori "000000000" nel campo "Pat Inail" e "0000" nel "Voce di tariffa Inail"."