Il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia per una serie di irregolarità nel trattamento dei dati dei propri dipendenti, in particolare relativi a

• all’uso della posta elettronica e 
• alla navigazione internet.

L’ispezione, avviata d’ufficio, mirava a verificare la conformità delle pratiche adottate nel contesto del lavoro agile.

Dall’istruttoria è emerso che la Regione conservava i metadati della posta elettronica (informazioni su mittente, destinatario, oggetto, orari e dimensioni dei messaggi) per 90 giorni, e i log di navigazione internet per ben 12 mesi, senza aver prima stipulato accordi sindacali come richiesto dalla normativa (art. 4, comma 1, Legge 20 maggio 1970, n. 300). 

Inoltre, tali trattamenti non erano stati preceduti da una valutazione d’impatto sulla protezione dei dati, violando l’art. 35 del Regolamento (UE) 2016/679 (GDPR).

Qui le indicazioni del garante sula privacy nel lavoro dipendente

Solo durante l’istruttoria, la Regione ha provveduto a regolarizzare la situazione, stipulando accordi con le organizzazioni sindacali e introducendo misure migliorative, ma ciò non è bastato ad evitare la sanzione.

Scarica qui il provvedimento del Provvedimento  243 del 29 aprile 2025 [doc web 10134221] reso noto nella Newsletter del 30.5.2025.

Le violazioni: dati conservati troppo a lungo e uso non proporzionato

Il Garante ha rilevato come la conservazione dei metadati e dei log fosse eccessiva e sproporzionata rispetto alle finalità dichiarate, che erano di natura tecnica o legate alla sicurezza informatica.

 In particolare, per i metadati email, il limite previsto per un uso tecnico e lecito secondo l’art. 4, comma 2, dello Statuto dei Lavoratori, è generalmente fissato a 21 giorni. Superare tale soglia, come nel caso della Regione, rientra invece nella casistica dell’art. 4, comma 1, che impone l’accordo sindacale.

Per i log di navigazione, la situazione è risultata ancora più delicata: la raccolta sistematica e la possibilità di ricondurre tali dati ai singoli dipendenti, seppure mediante l’incrocio di dati fra fornitori, configura un controllo indiretto dell’attività lavorativa.

 Il Garante ha quindi stabilito che tale pratica, in assenza di adeguate misure tecniche e di anonimizzazione, viola i principi di minimizzazione, proporzionalità e limitazione della conservazione previsti dagli artt. 5 e 25 del GDPR.

Anche la gestione dei ticket di assistenza tecnica tramite il vecchio sistema OTRS ha sollevato criticità: i dati erano conservati fino a 9 anni senza giustificazioni adeguate, e mancava un accordo specifico con i fornitori per disciplinare il trattamento, in violazione dell’art. 28 del GDPR.

La decisione del Garante e le misure richieste

A conclusione dell’istruttoria, il Garante ha dichiarato l’illiceità dei trattamenti e ha inflitto tre sanzioni amministrative distinte:

• 20.000 euro per la conservazione illecita dei metadati di posta elettronica;
• 25.000 euro per la conservazione eccessiva dei log internet;
• 5.000 euro per la gestione impropria dei dati di assistenza tecnica.

Oltre alla multa, la Regione Lombardia dovrà adottare misure correttive entro 90 giorni, tra cui:

• anonimizzare i log di navigazione più datati;
• ridurre a 90 giorni la conservazione dei dati internet, estendibile solo se anonimizzati;
• limitare l’accesso a tali dati a un numero ristretto di soggetti autorizzati;
• aggiornare gli accordi sindacali in coerenza con le nuove disposizioni.

Il provvedimento è stato pubblicato sul sito del Garante in base all’art. 166 del Codice in materia di protezione dei dati personali, per la sua rilevanza e funzione dissuasiva.

Come annunciato la scadenza del diritto di smart working  per i lavoratori  che rientrano nella definizione di " super-fragili" cioè coloro che sono affetti da gravi patologie croniche  fissata  al 30 settembre slitta al 31 dicembre 2023 .  Il decreto Proroghe n. 132 2023 che ha modificato il termine è stato  convertito in legge e pubblicato in Gazzetta ufficiale il 28 novembre 2023.  

Qui il testo coordinato del decreto e della legge di conversione n. 170/2023. 

Durante l'iter di conversione era stata proposta con un emendamento anche la ulteriore proroga al 2024 che pero' non è stata approvata .

Ricordiamo che la legge di conversione del Decreto Lavoro 48 2023, aveva  introdotto nuove scadenze ora confermate,  per il diritto  allo smart working  per alcune categorie di lavoratori  in condizioni di difficoltà:

1. 30 SETTEMBRE 2023 per i lavoratori dipendenti cd "superfragili "nel settore pubblico e privato ( le patologie sono elencate nel DM Salute del 4 febbraio 2022)  e 
2. 31 DICEMBRE  2023  per altri  lavoratori solo del settore privato, ovvero: 
   • – i lavoratori dipendenti del settore privato che abbiano almeno un figlio, minore di anni 14, a condizione che nel nucleo familiare non vi sia altro genitore beneficiario di strumenti di sostegno al reddito, in caso di sospensione o cessazione dell'attività lavorativa e che non vi sia genitore non lavoratore;
   • –  i lavoratori dipendenti che, sulla base delle valutazioni dei medici competenti sono più esposti a rischio di contagio dal virus SARS-CoV-2, in ragione dell'età o della condizione di rischio derivante da immunodepressione, da esiti di patologie oncologiche o dallo svolgimento di terapie salvavita o comunque da comorbilità che possano caratterizzare una situazione di maggiore rischio, accertata dal medico competente (TU Sicurezza 81 2001)

Come detto il  decreto Proroghe contiene  l'attesa proroga del termine per la prima categoria. Il testo  prevede  che fino al 31 dicembre 2023 questi lavoratori conservino il diritto al lavoro agile. 

 I datori di lavoro sono quindi tenuti ad assicurare la possibilità anche attraverso l'adibizione a mansioni diverse.  L'art. 8 della bozza  stanzia alcuni fondi  per la eventuale sostituzione di personale scolastico e per i docenti in particolare  è anche prevista l'adibizione a mansioni di supporto alla realizzazione dei Piani formativi .

Smart working per Lavoratori fragili e superfragili: le differenze

Va ricordato che la legge 85/2023, di conversione del Decreto lavoro,  ha mantenuto la distinzione  tra due categorie  di lavoratori con problemi di salute, distinzione   che è stata originata da una sovrapposizione normativa originatasi durante il periodo del COVID,  mai stata chiarita dai legislatori cioè 

1. i lavoratori ora definiti “super fragili”,  sono quelli  individuati  dettagliatamente dal decreto del ministro della Salute del 4 febbraio 2022 la cui  patologia    deve essere  certificata dal medico di base  del  lavoratore . Questi lavoratori hanno  diritto, nel caso svolgano mansioni non adatte al lavoro agile, a essere adibiti  a una mansione diversa, sempre con lo stesso inquadramento previsto dal ccnl applicato. Non sono  soggetti quindi ai regolamenti eventualmente emanati dall'azienda per il lavoro agile, ormai diffuso nelle aziende ben aldilà dei rischi di contagio da COVID,   per motivi invece economici e  organizzativi  e diretto a tutto il personale. I datori di lavoro in questi casi non possono rifiutare il lavoro agile 
2.  i  lavoratori dipendenti "fragili" che rispondono ai requisiti già individuati in precedenza  nel testo unico per la salute e sicurezza dei lavoratori , come esposti a  maggior  rischio di contagio da Covid per via dell’età o perché immunodepressi in quanto affetti da patologie oncologiche, sottoposti a terapie salvavita e, più in generale, coinvolti in una situazione di fragilità,  certificata dal medico competente dell'azienda. Ai fini dell'adibizione al lavoro agile  non godono dello stesso diritto di cambio di mansione che puo essere valutata dal datore di lavoro rispetto all'organizzazione aziendale

Smart working i moduli di comunicazione

Si ricorda che sono a disposizione dei datori di lavoro i moduli aggiornati per le comunicazioni  da parte dei datori di lavoro  sul sito   servizi.lavoro.gov.it, alla voce “Lavoro Agile”, previa autenticazione.