Dagli elementi acquisiti nel corso dell’attività istruttoria è emerso che la Regione, al fine di verificare presunti comportamenti illeciti da parte di proprio personale in sevizio presso gli uffici dell’avvocatura regionale, in presenza del sospetto in merito alla possibile rivelazione a terzi di notizie d’ufficio, ha incaricato LazioCrea, in veste di proprio responsabile del trattamento, di effettuare un controllo sui metadati relativi all’utilizzo degli account di posta elettronica istituzionale da parte dei lavoratori in questione (giorno, ora, mittente, destinatario, oggetto e dimensione dell’email).
Tale operazione di analisi ed estrazione dei dati è stata possibile in quanto, come confermato nel corso del procedimento, i metadati, relativi all’utilizzo degli account di posta elettronica istituzionale assegnati ai dipendenti della Regione, vengono raccolti in modo preventivo e generalizzato, e successivamente conservati ordinariamente per 180 giorni.
Il Garante ha rilevato che, premesso che la c.d. teoria sui controlli difensivi, di pura creazione giurisprudenziale, è oggetto di applicazioni non univoche (cfr. provv. 15 aprile 2021, n. 137, doc. web n. 9670738) e si fonda su circostanze di fatto che in ogni caso non ricorrono nel caso di specie, occorre ribadire, per i profili di protezione dei dati, quanto segue. I trattamenti di dati personali connessi all’impiego di strumenti dai quali possa derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste dalla cornice legislativa di riferimento, che ne costituisce, come detto, la base giuridica (artt. 5, par. 1, lett. a), 6 , 88, par. 1, del Regolamento, nonché 114 del Codice, in riferimento all’art. 4 della l. n. 300/1970). Ciò, a maggior ragione, in quanto, a seguito delle modifiche apportate all’art. 4 della l. n. 300/1970 dal d.lgs. 14 settembre 2015, n. 151, anche le esigenze di tutela del patrimonio datoriale sono state espressamente incluse tra le sole finalità lecite perseguibili mediante sistemi che possono comportare il controllo indiretto sulla generalità dei dipendenti, subordinandone l’installazione e l’utilizzazione all’accordo sindacale o, in alternativa, all’autorizzazione pubblica (v. il precedente par. 3.4). Ne consegue che, qualora non vengano rispettate tali condizioni per il lecito impiego dei predetti sistemi, qualunque trattamento, anche ulteriore, di tali dati, inclusa la loro “estrazione, consultazione e uso” (art. 4, par. 1, n. 1), del Regolamento), debba considerarsi sprovvisto di idonea base giuridica e quindi illecito.