Garante Privacy: sanzionato l’illegittimo trattamento dei metadati delle e-mail e dei log di internet

Con newsletter n. 535 del 30 maggio 2025 il Garante della Privacy ha reso noto di aver sanzionato la Regione Lombardia per aver violato la normativa a tutela della privacy dei propri dipendenti.

Il Garante della Privacy rende noto che dall'istruttoria è emerso:

• quanto ai log di navigazione in internet, che la Regione raccoglieva e conservava informazioni inerenti i siti web visitati dai dipendenti, nonché le informazioni relative ai tentativi di accesso a siti inseriti in apposita black list, senza aver stipulato un preventivo accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Il trattamento consentiva, infatti, alla Regione Lombardia di entrare in possesso di informazioni e dati non attinenti all'attività lavorativa e relativi alla sfera personale dei dipendenti;
• quanto ai metadati delle e-mail, la Regione non aveva stipulato alcun accordo per il trattamento dei metadati di posta elettronica dei lavoratori.

La Regione Lombardia aveva, comunque, già attivato un processo di adeguamento alle indicazioni fornite dal Garante per il trattamento dei metadati. Pertanto, oltre alla sanzione amministrativa, sono state imposte mis...