qui il testo integrale

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10134221

Garante privacy – ingiunzione n. 243 del 29/4/2025 – Privacy e controlli sui dipendenti

Provvedimento del 29 aprile 2025

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 243 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

[…omissis…..]

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Nell’ambito di accertamenti avviati d’ufficio al fine di verificare l’osservanza delle norme in materia di protezione dei dati personali in relazione ai trattamenti posti in essere in ambito lavorativo, anche con riferimento alle modalità di svolgimento del cd. “lavoro agile”, l’Autorità ha condotto un’attività ispettiva, ai sensi dell’art. 58, par. 1, del Regolamento e degli artt. 157 e 158 del Codice, nei confronti della Regione Lombardia.

2. L’attività istruttoria.

[…omissis…..]

3. La normativa applicabile: la disciplina in materia di protezione dei dati personali in ambito lavorativo e lo svolgimento dell’attività lavorativa in modalità agile.

In base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. e), 2 e 3 del Regolamento; 2-ter del Codice).

In tale quadro, ai trattamenti di dati personali effettuati nell’ambito dell’esecuzione del contratto di lavoro subordinato in modalità agile – regolato da una disciplina volta a favorire l’adozione di nuove modalità di organizzazione del lavoro basate sulla flessibilità spazio-temporale, sulla valutazione per obiettivi e sulla conciliazione della vita lavorativa con quella privata (artt. da 18 a 23 della legge 22 maggio 2017, n. 81) – trovano applicazione le medesime basi giuridiche sopra richiamate che ricorrono tipicamente in ambito lavorativo.

Il datore di lavoro deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento). Sul punto il Codice, confermando l’impianto anteriore alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”). Per effetto di tale rinvio, e tenuto conto dell’art. 88, par. 2, del Regolamento, l’osservanza degli artt. 4 e 8 della l. 20 maggio 1970, n. 300 e dell’art. 10 del d.lgs. n. 297/2003 (nei casi in cui ne ricorrono i presupposti) costituisce una condizione di liceità del trattamento.

[…omissis…..]

4. L’esito dell’attività istruttoria.

4.1. Il trattamento dei metadati di posta elettronica.

Dagli elementi acquisiti nell’ambito della complessa attività istruttoria risulta accertato, in particolare, che, in virtù dell’adozione del decreto n. XX del XX(recante “Regole per l’utilizzo degli strumenti infotelematici della giunta regionale”), i metadati di posta elettronica venivano conservati dalla Regione, in assenza della previa stipulazione di un accordo collettivo con le rappresentanze sindacali (cfr. art. 4, comma 1, della l. 20 maggio 1970, n. 300), per un ampio periodo temporale, complessivamente pari a 90 giorni, per finalità di sicurezza informatica e assistenza tecnica nonché “allo scopo di offrire assistenza agli utenti nel momento in cui un messaggio non viene recapitato correttamente” (v. nota del XX; v. anche, in senso analogo, nota del XX).

Risulta, tuttavia, che, nel corso dell’istruttoria, la Regione, anche tenuto conto delle indicazioni del proprio Responsabile della protezione dei dati, ha dato atto di essere addivenuta alla stipula, in relazione ai trattamenti in questione, di un accordo collettivo con le competenti parti sindacali in data XX per quanto concerne il personale non dirigenziale e in data XX per quanto invece riguarda il personale dirigenziale.

Al riguardo, si rappresenta in via generale che, sin dal 2007, il Garante si è nel tempo occupato dei trattamenti posti in essere dal datore di lavoro e aventi ad oggetto i dati personali relativi all’utilizzo da parte dei dipendenti dei servizi di rete, con particolare riguardo al servizio di posta elettronica e alla navigazione in Internet, anche con provvedimenti a carattere generale (v. “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522, le quali, ancorché riferite al previgente quadro normativo, contengono principi e indicazioni ancora validi). Più di recente, anche sulla base di specifiche decisioni su singoli casi concreti (provv. 1° dicembre 2022, n. 409, doc. web n. 9833530, e provv. 13 luglio 2016, n. 303, doc. web n. 5408460, quest’ultimo confermato dal Tribunale di Chieti con sent. n. 672 del 24 ottobre 2019), il Garante ha affrontato il delicato tema della conservazione dei metadati di posta elettronica, fornendo, da ultimo, indicazioni e chiarimenti volti ad orientare le scelte organizzative e tecniche dei datori di lavori con il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato, a seguito di consultazione pubblica, con provv. del 6 giugno 2024, n. 364, doc. web n. 10026277.

In particolare, i metadati di posta elettronica, che corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client, comprendono generalmente gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I metadati di posta elettronica risultano assistiti da garanzie di segretezza, tutelate anche costituzionalmente (artt. 2 e 15 Cost.), intese ad assicurare protezione al nucleo essenziale della dignità della persona e al pieno sviluppo della sua personalità nelle formazioni sociali.

Ciò comporta che, anche nel contesto lavorativo, sussista una legittima aspettativa di riservatezza in relazione alla corrispondenza e, analogamente, agli elementi ricavabili dai dati esteriori della stessa, che ne definiscono i profili temporali (come la data e l’ora di invio/ricezione) nonché gli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo (v. punto 2 del predetto Documento di indirizzo; punto 5.2 lett. b), delle Linee guida citate; v. anche provv. 1° dicembre 2022, n. 409, doc. web n. 9833530 e provv. 13 luglio 2016, n. 303, doc. web n. 5408460).

La disciplina nazionale più specifica ai sensi dell’art. 88 del Regolamento individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica; cfr. art. 114 del Codice, che richiama l’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151).

Sebbene la Regione abbia dichiarato in un primo momento che la posta elettronica venga utilizzata dal personale dipendente per rendere la prestazione lavorativa, tuttavia, alla luce del quadro normativo nazionale di settore, nella nozione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (ai sensi e per gli effetti dell´art. 4, comma 2, della l. n. 300/1970) – che costituisce un’eccezione, rispetto al comma 1 e come tale deve essere oggetto di stretta interpretazione, stante altresì le responsabilità anche sul piano penale che ne conseguono – possono ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa.

Tali principi hanno trovato applicazione in numerosi provvedimenti del Garante, con riferimento ai contesti di lavoro pubblici e privati, nei quali è stato affrontato il tema del discrimine tra il comma 1 e il comma 2 dell’art. 4 della l. n. 300/1970 e del diverso regime giuridico che ne discende, valutando, di volta in volta, la specificità dei trattamenti e dei sistemi utilizzati in concreto dal datore di lavoro. Ciò, anche alla luce degli orientamenti della giurisprudenza, del Ministero del lavoro e dell’Ispettorato Nazionale del lavoro, che applicano tale disciplina nell’ambito delle proprie funzioni istituzionali di controllo, ritenendo non applicabile l’eccezione del comma 2 e trovando invece applicazione il comma 1, nei casi in cui, ad esempio, il sistema agisca con modalità non percepibili dal lavoratore e in modo del tutto indipendente rispetto alla normale attività dello stesso oppure in presenza di sistemi che non sono solo funzionali alla prestazione ma consentono anche ulteriori elaborazioni da parte del datore di lavoro per il perseguimento di proprie finalità e specie nei casi in cui tali funzionalità non possano essere disabilitate dal dipendente (cfr., tra i numerosi provvedimenti in ambito pubblico, in particolare, provv. 28 ottobre 2021, n. 384, doc. web n. 9722661 nonché INL, circolare n. 4 del 26 luglio 2017; provv. 13 maggio 2021, n. 190, doc. web n. 9669974; provv. 16 novembre 2017, n. 479, doc. web n. 7355533; provv. 13 luglio 2016, n. 303, doc. web 5408460; v. anche i numerosi provvedimenti citati, nel contesto pubblico e privato, nelle Relazioni annuali del Garante 2017-2023).

Tali caratteristiche ricorrono nel caso del trattamento dei metadati di posta elettronica, qualora gli stessi siano raccolti e conservati, in modo preventivo e generalizzato, per un esteso arco temporale dai programmi e servizi informatici per la gestione della posta elettronica. Ciò in quanto tali operazioni di trattamento sono effettuate, per esigenze proprie del datore di lavoro, automaticamente e indipendentemente dalla percezione e dalla volontà del lavoratore; inoltre, i predetti metadati rimangono nella disponibilità esclusiva del datore di lavoro e, per suo conto, del fornitore del servizio, documentando il traffico anche dopo l’eventuale cancellazione del messaggio da parte del lavoratore, il quale, invece, mantiene la disponibilità dei messaggi che, in qualità di mittente o destinatario, scambia all’interno della casella di posta assegnatagli dal datore di lavoro, con la conseguenza che in tali casi sussiste il rischio di un indiretto controllo a distanza dell’attività dei lavoratori. Per tali ragioni, in tali casi non può essere generalmente invocata l’eccezione di cui al comma 2 dell’art. 4, trovando invece di regola applicazione il comma 1 (v. anche Documento di indirizzo, par. 3, cit., e provv.ti ivi citati).

In tale quadro, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300, l’attività di raccolta e conservazione dei soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e il soddisfacimento delle più essenziali garanzie di sicurezza informatica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni, comunque non superiore ai 21 giorni, salvo che il titolare, sempre nel perseguimento della predetta finalità riconducibile all’alveo del comma 2 dell’art. 4 della l. 20 maggio 1970, n. 300, comprovi adeguatamente la ricorrenza in concreto di particolari condizioni che ne rendano necessaria l’estensione in ragione delle specificità della propria realtà tecnica e organizzativa.

Diversamente, la generalizzata raccolta e la conservazione dei metadati di posta elettronica, per un lasso di tempo più esteso, in presenza di esigenze comunque riconducibili alla sicurezza e alla tutela del patrimonio anche informativo del datore di lavoro, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. 20 maggio 1970, n. 300 (v. provv. 1° dicembre 2022, n. 409, doc. web n. 9833530 e provv. 13 luglio 2016, n. 303, doc. web n. 5408460; tali principi sono stati da ultimo ribaditi nel punto 3 del predetto Documento di indirizzo).

Preso atto, dunque, che, nel caso di specie, i predetti metadati di posta elettronica, relativi ai messaggi scambiati dai lavoratori tramite gli account individualmente assegnati, venivano – e vengono tuttora – conservati dalla Regione per 90 giorni, deve ritenersi, come peraltro confermato dalla stessa Regione, che entro i margini di tale ampio intervallo temporale, la finalità di trattamento in concreto perseguita non possa essere ricondotta soltanto all’ambito del mero funzionamento delle infrastrutture del sistema della posta elettronica e del suo regolare utilizzo, comprese le più essenziali garanzie di sicurezza del servizio (comma 2 dell’art. 4), configurandosi piuttosto, come un’attività funzionale alla tutela dell’integrità del patrimonio informativo e della sicurezza informatica, finalità riconducibile al comma 1 dell’art. 4 (cfr. accordi collettivi del XX e del XX4, ove si dà conto anche della finalità di “garantire la sicurezza degli strumenti assegnati al personale, e più in generale tutelare il patrimonio informativo dell’Ente”).

In tale contesto, con riguardo al periodo anteriore alla sottoscrizione dei predetti accordi, non può essere ritenuta sufficiente per escludere la responsabilità della Regione la circostanza che la stessa conservasse i metadati relativi alle e-mail più risalenti di 7 giorni “attraverso un report in formato CSV” (v. nota del XX) e che dunque, in tal caso, “l’operatore non accede[sse] direttamente ai metadati ma d[ovesse] necessariamente scaricare un report csv dal quale andare a ricostruire le indicazioni utili per l’assistenza richiesta” (v. nota del XX). Ciò in quanto, come dichiarato dalla Regione, “gli elementi che differenziano i metadati conservati per l’intervallo più breve rispetto a quelli conservati per l’intervallo più lungo, riguardano esclusivamente la velocità/facilità con cui poter recuperare le informazioni necessarie alla risoluzione della problematica di assistenza” e che, quindi, decorsi i primi 7 giorni dalla raccolta dei metadati, per i successivi 83 giorni gli stessi possono essere comunque acceduti da ciascun operatore preposto al servizio di assistenza tecnica, previo download del predetto report (v. nota del XX). Tale misura, che pure risulta apprezzabile sotto il profilo della minimizzazione dei dati, non risulta, infatti, idonea a colmare, anteriormente alla stipula dei predetti accordi collettivi nel rispetto delle procedure di garanzia di cui all’art. 4, comma 1, della l. 20 maggio 1970, n. 300, il difetto di base giuridica, diversamente da quanto sostenuto dalla Regione nell’ambito dell’istruttoria e, da ultimo, con le proprie memorie difensive del XX.

Né può essere invocato, ai fini della liceità del complessivo trattamento, che l’individuazione, da parte della Regione, del termine di 90 giorni per la conservazione dei metadati di posta elettronica sia avvenuta prima della pubblicazione del Documento di indirizzo sui metadati sopra citato o che “solo dopo la consultazione pubblica, precisamente nel mese di XX l’Autorità Garante, […] ha rivisto il tempo di conservazione dei metadati della posta elettronica, passando da 7 a 21 giorni”. Ciò in quanto, come affermato anche dalla stessa Regione, i chiarimenti forniti per il tramite del predetto Documento, anche all’esito della consultazione pubblica cui lo stesso è stato sottoposto, si pongono “in linea con la precedente interpretazione” sostenuta dall’Autorità, nel solco di un consolidato orientamento, sin dal 2016 (cfr. provv. 13 luglio 2016, n. 303, doc. web n. 5408460, confermato dal Tribunale di Chieti con sent. n. 672 del 24 ottobre 2019; v. anche, successivamente, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530). La stessa Regione, peraltro, nel periodo immediatamente successivo agli accertamenti ispettivi (XX) – e dunque ancor prima della pubblicazione delle indicazioni orientative contenute nella prima versione del Documento di indirizzo sui metadati, del dicembre 2023 – aveva già intrapreso al proprio interno le attività finalizzate a conformare i predetti trattamenti alla disciplina di protezione dei dati, anche avviando specifiche interlocuzioni con i tavoli sindacali in vista della sottoscrizione dei relativi accordi (cfr. nota del XX, “l’Amministrazione, considerato quanto emerso durante l’ispezione, sta valutando le modalità con cui affrontare la questione sui tavoli sindacali, rappresentando preliminarmente alle RSU gli aspetti vincolanti derivanti dalla licenza Microsoft”; v. anche nota del XX, “il tema dell’accordo collettivo sul corretto utilizzo degli strumenti infotelematici ed in modo particolare per quanto riguarda l’utilizzo della posta elettronica e dei possibili controlli a distanza dei lavoratori, sarà oggetto di discussione nei prossimi tavoli sindacali, d’intesa con il Responsabile della Protezione dei Dati”).

Né, ancora, può assumere rilevanza, per i profili di protezione dei dati, la circostanza per cui, nel caso di specie, “i sindacati non hanno richiesto l’attivazione di tavoli di contrattazione” (v. verbale del XX), posto che, ai sensi della disciplina normativa in materia di controlli a distanza, l’obbligo di attivarsi per addivenire alla stipulazione dell’accordo collettivo spetta in ogni caso al datore di lavoro, in qualità di titolare del trattamento, non potendo l’inerzia delle rappresentanze sindacali al riguardo essere invocata per escludere la responsabilità che l’art. 4 della l. 20 maggio 1970, n. 300 pone in capo al datore di lavoro.

Deve quindi concludersi che il trattamento in questione è stato effettuato in assenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice, sino al XX per quanto concerne il personale non dirigenziale e sino al XX per quanto invece riguarda il personale dirigenziale, essendo la Regione in tali date addivenuta alla stipula dei citati accordi collettivi con le competenti parti sindacali.

[…omissis…..]

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si conferma l’illiceità del trattamento di dati personali effettuato dalla Regione Lombardia sul presupposto che, nei termini esplicitati in motivazione:

il trattamento dei metadati di posta elettronica è stato effettuato in violazione degli artt. 5, par. 1, lett. a), 6, 35 e 88 del Regolamento, nonché 114 del Codice;

il trattamento dei log di navigazione in Internet è stato effettuato in violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 25, 35 e 88 del Regolamento, nonché 113 e 114 del Codice;

il trattamento dei dati personali contenuti nel sistema OTRS è stato effettuato in violazione degli artt. 5, par. 1, lett. e), 25 e 28 del Regolamento.

La violazione delle predette disposizioni comporta, ai sensi dell’art. 2-decies del Codice e “salvo quanto previsto dall’articolo 160-bis”, l’inutilizzabilità dei dati personali trattati. La violazione delle predette disposizioni rende inoltre applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

Con riferimento ai profili di illiceità del trattamento dei log di navigazione web associati ai dipendenti, tuttora persistenti (v., in particolare, par. 4.2 del presente provvedimento), ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, si ritiene necessario ingiungere alla Regione Lombardia l’adozione – entro novanta giorni dalla notifica del presente provvedimento – di ulteriori misure tecniche e organizzative idonee ad assicurare che l’effettiva possibilità di risalire all’identità del singolo dipendente che ha effettuato la navigazione web risulti in concreto estremamente improbabile.

In particolare, in aggiunta alle misure già adottate dalla Regione e consistenti, nel dettaglio:

–  nella separazione dei dati in questione, posto che, dei tre fornitori – responsabili del trattamento – di cui la Regione si avvale in tale ambito, l’uno dispone del solo indirizzo IP della macchina utilizzata dai dipendenti, l’altro della sola informazione relativa all’associazione tra l’IP della macchina e il rispettivo MAC address e l’altro ancora del dato concernente la mera associazione tra il MAC address della macchina e il nome del dipendente che ne è assegnatario;

– nella puntuale individuazione dei presupposti al ricorrere dei quali la Regione procede all’elaborazione che le permette di risalire all’identità dei singoli dipendenti che hanno effettuato la navigazione web (particolari, motivate e predeterminate anomalie di sicurezza e specifiche richieste da parte dell’autorità giudiziaria);

si ritiene necessario che – anche tenuto conto dell’esperienza applicativa riscontrata dal Garante in diverse istruttorie che hanno coinvolto altre pubbliche amministrazioni aventi caratteristiche analoghe a quelle della Regione in termini di estensione territoriale, ambiti di competenza e numerosità del personale dipendente impiegato – la Regione assicuri l’adozione, nello specifico contesto di riferimento, delle seguenti misure supplementari:

– l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella apposita black list, ivi compresi quelli allo stato presenti nei sistemi;

– la riduzione a 90 giorni del termine di conservazione dei log di navigazione in Internet, con possibilità di conservazione per un periodo ulteriore previa anonimizzazione degli stessi, in modo da non consentire l’identificabilità del dipendente (cfr. art. 5, par. 1, lett. e), del Regolamento), e ferma restando la cancellazione dei dati personali presenti nei log di navigazione web registrati nei sistemi da oltre 90 giorni;

– che, in presenza di una delle predette anomalie di sicurezza, le attività di verifica vengano di regola svolte dalla Regione, in un’ottica di gradualità e progressività, a livello di singole strutture organizzative e non invece a livello individuale, limitando la possibilità di interventi granulari e puntuali sulla singola postazione di lavoro ai soli casi di previo e infruttuoso esperimento di verifiche a livello aggregato (cfr. artt. 5, par. 1, lett. c), e 25 del Regolamento);

– la cifratura del dato concernente i nomi dei dipendenti assegnatari della macchina (cfr. art. 32, par. 1, lett. a), del Regolamento), fornendo a tal riguardo specifiche istruzioni documentate al fornitore che, in qualità di responsabile del trattamento, tratta tali dati per conto e nell’interesse della Regione medesima (art. 28 del Regolamento);

– che il trattamento dei dati in questione venga in ogni caso effettuato da un numero strettamente limitato di persone fisiche autorizzate e a tal fine appositamente selezionate, che dovranno essere destinatarie di designazione espressa e istruzioni specifiche in relazione ai rischi connessi al trattamento in questione (cfr. artt. 2-quaterdecies del Codice e 28, 29 e 32, par. 4, del Regolamento), secondo quanto potrà essere previsto dalle procedure interne della Regione e dalle istruzioni documentate che la stessa Regione deve impartire ai fornitori ai sensi dell’art. 28 del Regolamento, che a tal fine dovranno quindi essere opportunamente aggiornate nonché periodicamente rivalutate al fine di verificarne l’adeguatezza e l’efficacia (artt. 5, par. 2, 24 e 32 del Regolamento);

– l’aggiornamento degli accordi già stipulati ai sensi dell’art. 4 della l. 20 maggio 1970, n. 300, con le rappresentanze sindacali alla luce delle misure sopra indicate.

Ai sensi dell’art. 157 del Codice, la Regione dovrà, inoltre, provvedere a comunicare a questa Autorità le iniziative che intende intraprendere per assicurare che i trattamenti siano conformi alla disciplina di protezione dei dati, entro trenta giorni dalla notifica del presente provvedimento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

[…omissis…..]

TUTTO CIÒ PREMESSO IL GARANTE

1. a) dichiara, ai sensi dell’art. 57, par. 1, lett. a) e h), del Regolamento, l’illiceità del trattamento effettuato dalla Regione Lombardia per violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 25, 28, 35 e 88 del Regolamento, nonché 113 e114 del Codice, nei termini di cui in motivazione;
2. b) prescrive alla predetta Regione, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformarsi, entro 90 giorni dalla data della notifica del presente provvedimento, alle prescrizioni formulate al paragrafo 6 del presente provvedimento;
3. c) prescrive alla predetta Regione, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, e dell’art. 157 del Codice, di comunicare, fornendo un riscontro adeguatamente documentato, entro 30 giorni dalla notifica del presente provvedimento, le iniziative che intende intraprendere in relazione a quanto indicato alla precedente lettera b); il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice;

ORDINA

alla Regione Lombardia, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Città Di Lombardia, 1 – 20124 Milano (MI), C.F. 80050050154, di pagare la somma di euro 50.000,00 (cinquantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Regione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 50.000,00 (cinquantamila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

[…omissis…..]

qui il testo integrale

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10134221