Il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia per una serie di irregolarità nel trattamento dei dati dei propri dipendenti, in particolare relativi a

• all’uso della posta elettronica e 
• alla navigazione internet.

L’ispezione, avviata d’ufficio, mirava a verificare la conformità delle pratiche adottate nel contesto del lavoro agile.

Dall’istruttoria è emerso che la Regione conservava i metadati della posta elettronica (informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi) per 90 giorni, e i log di navigazione internet per ben 12 mesi, senza aver prima stipulato accordi sindacali come richiesto dalla normativa (art. 4, comma 1, Legge 20 maggio 1970, n. 300). 

Inoltre, tali trattamenti non erano stati preceduti da una valutazione d’impatto sulla protezione dei dati, violando l’art. 35 del Regolamento (UE) 2016/679 (GDPR).

Qui le indicazioni del garante sula privacy nel lavoro dipendente

Solo durante l’istruttoria, la Regione ha provveduto a regolarizzare la situazione, stipulando accordi con le organizzazioni sindacali e introducendo misure migliorative, ma ciò non è bastato ad evitare la sanzione.

Scarica qui il provvedimento del Provvedimento  243 del 29 aprile 2025 [doc web 10134221] reso noto nella Newsletter del 30.5.2025.

Le violazioni: dati conservati troppo a lungo e uso non proporzionato

Il Garante ha rilevato come la conservazione dei metadati e dei log fosse eccessiva e sproporzionata rispetto alle finalità dichiarate, che erano di natura tecnica o legate alla sicurezza informatica.

 In particolare, per i metadati email, il limite previsto per un uso tecnico e lecito secondo l’art. 4, comma 2, dello Statuto dei Lavoratori, è generalmente fissato a 21 giorni. Superare tale soglia, come nel caso della Regione, rientra invece nella casistica dell’art. 4, comma 1, che impone l’accordo sindacale.

Per i log di navigazione, la situazione è risultata ancora più delicata: la raccolta sistematica e la possibilità di ricondurre tali dati ai singoli dipendenti, seppure mediante l’incrocio di dati fra fornitori, configura un controllo indiretto dell’attività lavorativa.

 Il Garante ha quindi stabilito che tale pratica, in assenza di adeguate misure tecniche e di anonimizzazione, viola i principi di minimizzazione, proporzionalità e limitazione della conservazione previsti dagli artt. 5 e 25 del GDPR.

Anche la gestione dei ticket di assistenza tecnica tramite il vecchio sistema OTRS ha sollevato criticità: i dati erano conservati fino a 9 anni senza giustificazioni adeguate, e mancava un accordo specifico con i fornitori per disciplinare il trattamento, in violazione dell’art. 28 del GDPR.

La decisione del Garante e le misure richieste

A conclusione dell’istruttoria, il Garante ha dichiarato l’illiceità dei trattamenti e ha inflitto tre sanzioni amministrative distinte:

• 20.000 euro per la conservazione illecita dei metadati di posta elettronica;
• 25.000 euro per la conservazione eccessiva dei log internet;
• 5.000 euro per la gestione impropria dei dati di assistenza tecnica.

Oltre alla multa, la Regione Lombardia dovrà adottare misure correttive entro 90 giorni, tra cui:

• anonimizzare i log di navigazione più datati;
• ridurre a 90 giorni la conservazione dei dati internet, estendibile solo se anonimizzati;
• limitare l’accesso a tali dati a un numero ristretto di soggetti autorizzati;
• aggiornare gli accordi sindacali in coerenza con le nuove disposizioni.

Il provvedimento è stato pubblicato sul sito del Garante in base all’art. 166 del Codice in materia di protezione dei dati personali, per la sua rilevanza e funzione dissuasiva.

Come annunciato la scadenza del diritto di smart working  per i lavoratori  che rientrano nella definizione di " super-fragili" cioè coloro che sono affetti da gravi patologie croniche  fissata  al 30 settembre slitta al 31 dicembre 2023 .  Il decreto Proroghe n. 132 2023 che ha modificato il termine è stato  convertito in legge e pubblicato in Gazzetta ufficiale il 28 novembre 2023.  

Qui il testo coordinato del decreto e della legge di conversione n. 170/2023. 

Durante l'iter di conversione era stata proposta con un emendamento anche la ulteriore proroga al 2024 che pero' non è stata approvata .

Ricordiamo che la legge di conversione del Decreto Lavoro 48 2023, aveva  introdotto nuove scadenze ora confermate,  per il diritto  allo smart working  per alcune categorie di lavoratori  in condizioni di difficoltà:

1. 30 SETTEMBRE 2023 per i lavoratori dipendenti cd "superfragili "nel settore pubblico e privato ( le patologie sono elencate nel DM Salute del 4 febbraio 2022)  e 
2. 31 DICEMBRE  2023  per altri  lavoratori solo del settore privato, ovvero: 
   • – i lavoratori dipendenti del settore privato che abbiano almeno un figlio, minore di anni 14, a condizione che nel nucleo familiare non vi sia altro genitore beneficiario di strumenti di sostegno al reddito, in caso di sospensione o cessazione dell'attività lavorativa e che non vi sia genitore non lavoratore;
   • –  i lavoratori dipendenti che, sulla base delle valutazioni dei medici competenti sono più esposti a rischio di contagio dal virus SARS-CoV-2, in ragione dell'età o della condizione di rischio derivante da immunodepressione, da esiti di patologie oncologiche o dallo svolgimento di terapie salvavita o comunque da comorbilità che possano caratterizzare una situazione di maggiore rischio, accertata dal medico competente (TU Sicurezza 81 2001)

Come detto il  decreto Proroghe contiene  l'attesa proroga del termine per la prima categoria. Il testo  prevede  che fino al 31 dicembre 2023 questi lavoratori conservino il diritto al lavoro agile. 

 I datori di lavoro sono quindi tenuti ad assicurare la possibilità anche attraverso l'adibizione a mansioni diverse.  L'art. 8 della bozza  stanzia alcuni fondi  per la eventuale sostituzione di personale scolastico e per i docenti in particolare  è anche prevista l'adibizione a mansioni di supporto alla realizzazione dei Piani formativi .

Smart working per Lavoratori fragili e superfragili: le differenze

Va ricordato che la legge 85/2023, di conversione del Decreto lavoro,  ha mantenuto la distinzione  tra due categorie  di lavoratori con problemi di salute, distinzione   che è stata originata da una sovrapposizione normativa originatasi durante il periodo del COVID,  mai stata chiarita dai legislatori cioè 

1. i lavoratori ora definiti “super fragili”,  sono quelli  individuati  dettagliatamente dal decreto del ministro della Salute del 4 febbraio 2022 la cui  patologia    deve essere  certificata dal medico di base  del  lavoratore . Questi lavoratori hanno  diritto, nel caso svolgano mansioni non adatte al lavoro agile, a essere adibiti  a una mansione diversa, sempre con lo stesso inquadramento previsto dal ccnl applicato. Non sono  soggetti quindi ai regolamenti eventualmente emanati dall'azienda per il lavoro agile, ormai diffuso nelle aziende ben aldilà dei rischi di contagio da COVID,   per motivi invece economici e  organizzativi  e diretto a tutto il personale. I datori di lavoro in questi casi non possono rifiutare il lavoro agile 
2.  i  lavoratori dipendenti "fragili" che rispondono ai requisiti già individuati in precedenza  nel testo unico per la salute e sicurezza dei lavoratori , come esposti a  maggior  rischio di contagio da Covid per via dell’età o perché immunodepressi in quanto affetti da patologie oncologiche, sottoposti a terapie salvavita e, più in generale, coinvolti in una situazione di fragilità,  certificata dal medico competente dell'azienda. Ai fini dell'adibizione al lavoro agile  non godono dello stesso diritto di cambio di mansione che puo essere valutata dal datore di lavoro rispetto all'organizzazione aziendale

Smart working i moduli di comunicazione

Si ricorda che sono a disposizione dei datori di lavoro i moduli aggiornati per le comunicazioni  da parte dei datori di lavoro  sul sito   servizi.lavoro.gov.it, alla voce “Lavoro Agile”, previa autenticazione.

In arrivo una nuova proroga per le prestazioni lavorative in smart working fino al 30 giugno 2023 . Lo prevede una emendamento approvato in Commissione durante la conversione in legge del decreto Milleproroghe. Il ministero del lavoro con un comunicato di ieri  nel sito istituzionale dà per certa la modifica normativa   affermando  testualmente: 

" Il Ministero del Lavoro e delle Politiche Sociali e il Governo mantengono le promesse sulla proroga fino al 30 giugno per i lavoratori fragili, tanto del settore pubblico che di quello privato.

Il Ministro Marina Calderone, in tal senso, aveva già annunciato durante il question time al Senato del 26 gennaio scorso l'impegno a trovare le risorse per permettere la proroga dello smart working oltre il 31 marzo. Impegno concretizzatosi grazie alle coperture finanziarie (16 milioni di euro), oltre che del Ministero del Lavoro e delle Politiche Sociali, anche dei Ministeri dell'Economia e delle Finanze e dell'Istruzione e del Merito ad un emendamento al Decreto Milleproroghe approvato stamattina all'unanimità presso le Commissioni Bilancio e Affari costituzionali del Senato

Ricordiamo che  l'art. 26, commi 2 e 2-bis, del decreto-legge 17 marzo  2020,  n. 18, a causa dell'emergenza COVID aveva stabilito  che i  lavoratori  dipendenti  pubblici  e   privati   in   possesso   di certificazione  rilasciata  dai  competenti   organi   medico-legali, attestante una condizione di rischio derivante da immunodepressione o  da esiti da patologie oncologiche o  dallo  svolgimento  di  relative  terapie  salvavita,  ivi  inclusi  i  lavoratori  in   possesso   del riconoscimento di disabilita' con connotazione di gravita'  (Legge 104/1992) hanno diritto :

• a svolgere   di  norma  la  prestazione  lavorativa  in  modalita'  agile,   oppure
• ad essere  adibiti a diversa mansione ricompresa nella  medesima categoria o  area  di  inquadramento, previsti dal CCNL 
• o specifiche  attivita'  di formazione professionale anche da remoto;

La disposizione è stata  prorogata  piu volte, fino all'ultima proroga contenuta nella legge di bilancio 2023 (art. 1 comma 306) , con scadenza 31 marzo 2023.

Chi ha diritto al lavoro agile 

Per quanto riguarda i beneficiari della isura era stato pubblicato in G.U. n. 35 dell'11 febbraio 2022  il Decreto 4 febbraio 2022 del Ministero della salute  con l'individuazione delle patologie croniche con scarso compenso clinico e con particolare connotazione di gravita', in presenza delle quali  a prestazione lavorativa e' normalmente svolta in modalita' agile (cd. smart working).

Va sottolineato però  che  il testo della legge di bilancio  rinvia espressamente al decreto ministeriale sopracitato,  diversamente dalla precedente proroga del DL Aiuti bis ( Dl 115/2022) che invece  richiamava l’articolo 26, comma 2, del Dl 18/2020, il quale  prevede come beneficiari 

•  i lavoratori portatori di disabilità grave ai sensi dell’articolo 3, comma 3, della legge 104/1992 o 
• quelli che versano in una condizione di rischio derivante da immunodepressione o da esiti da patologie oncologiche o dallo svolgimento di relative terapie salvavita.

Nel messaggio INPS  3622 del  30  giugno 2022 si accordava il diritto al lavoro agile a tutte le categorie previste dai diversi provvedimenti  normativi,  mentre la tutela economica  in caso di assenza era riservata SOLO  ai soggetti portatori delle patologie elencate dal DM di febbraio 2022.

Ora la lettura formalistica della norma della legge di bilancio  porterebbe ad escludere dal lavoro agile  le categorie  previste dal DL 18-2020.

A questo punto sarebbe  auspicabile per fugare ogni dubbio un nuovo  chiarimento ministeriale o dell'Istituto previdenziale.

Patologie per diritto al lavoro agile – Decreto Ministero della salute 4.2.2022

Il ministero della salute aveva  individuato  in particolare le seguenti patologie e condizioni   per il  diritto allo smart working:

   A) indipendentemente dallo stato vaccinale: 

      a.1)  pazienti  con  marcata  compromissione   della   risposta immunitaria per:   trapianto di organo solido in terapia immunosoppressiva; trapianto di cellule staminali ematopoietiche (entro due annidal  trapianto  o  in  terapia  immunosoppressiva  per  malattia  deltrapianto contro l'ospite cronica); attesa di trapianto d'organo;         terapie a base di cellule T esprimenti un Recettore ChimericoAntigenico (cellule CAR-T);  patologia oncologica o onco-ematologica  in  trattamento  con farmaci immunosoppressivi, mielosoppressivi o  a  meno  di  sei  mesi dalla sospensione delle cure;  immunodeficienze  primitive  (es.   sindrome   di   DiGeorge, sindrome di Wiskott-Aldrich, immunodeficienza comune variabile etc.); immunodeficienze secondarie a trattamento farmacologico  (es:terapia  corticosteroidea  ad  alto  dosaggio  protratta  nel  tempo, farmaci immunosoppressori, farmaci biologici  con  rilevante  impatto sulla funzionalita' del sistema immunitario etc.);  dialisi e insufficienza renale cronica grave; pregressa splenectomia;   sindrome da immunodeficienza acquisita (AIDS) con  conta  dei  linfociti T CD4+ < 200cellule/µl o sulla base di giudizio clinico; 

      a.2)  pazienti  che  presentino  tre  o  piu'  delle   seguenti  condizioni patologiche: 

•         cardiopatia ischemica; 
•         fibrillazione atriale; 
•         scompenso cardiaco; 
•         ictus; 
•         diabete mellito; 
•         bronco-pneumopatia ostruttiva cronica; 
•         epatite cronica; 
•         obesita'; 

   B soggetti  esentati dalla  vaccinazione  anti COVID per  motivi sanitari e contemporaneamente almeno una delle seguenti condizioni: 

•       eta' >60 anni; 
•       condizioni  di  cui  all'allegato  2  della   circolare   della  Direzione generale della prevenzione sanitaria  del  Ministero  della  salute n. 45886 dell'8 ottobre 2021.

• DM 4.2.2022 ministero della Salute