Il Garante per la Protezione dei Dati Personali ha sanzionato la Regione Lazio per illecito controllo dei metadati relativi alle e-mail dei dipendenti. Nel caso in esame, la Regione aveva avviato un’indagine interna per una sospetta divulgazione a terzi di informazioni riservate. Per effettuare le verifiche sono stati utilizzati metadati (in particolare orari, destinatari, oggetto delle comunicazioni, peso degli allegati) utilizzando dati conservati per 180 giorni per generiche finalità di “sicurezza informatica”. Secondo l’autorità Garante, in questo modo sono stati violati i principi che legittimano il trattamento dei dati e le norme sul controllo a distanza dei lavoratori, poiché la raccolta di dati non strumentali allo “svolgimento della prestazione” del lavoratore (in questo caso i metadati) deve essere legittimata da specifiche garanzie previste dalla legge (accordo sindacale o autorizzazione pubblica).
