Online per oltre un anno i dati di 732 dipendenti: multa alla Lombardia per violazione della privacy

Svelati redditi, procedimenti legali e condizioni di salute dei lavoratori: l’errore della Regione dopo le operazioni Serravalle e Pedemontana. La falla scoperta tramite un motore di ricerca

La centrale operativa della società Milano Serravalle-Milano Tangenziali spa
La centrale operativa della società Milano Serravalle-Milano Tangenziali spa

Milano – L’elenco dei dipendenti, nome per nome. I loro redditi, con dettaglio di ogni singola voce. I procedimenti giudiziari in corso con l’azienda. E in un caso persino le condizioni di salute di un’impiegata, inserite in una causa per mobbing. I

dati di 732 lavoratori di Milano Serravalle e Pedemontana sono stati accessibili per più di un anno ai colleghi di scrivania così come a qualunque altro utente della Rete: bastava digitarne le generalità sul web per risalire al file con dominio " servizirl.it ". La discovery incontrollata risale al periodo compreso tra il 2020 e il 2021, quando la Regione ha perfezionato una doppia operazione: da un lato, la cessione a Ferrovie Nord Milano (Fnm) delle sue quote (l’82,4%) nella società che gestisce l’autostrada Milano-Genova e le tangenziali milanesi; dall’altro, l’acquisizione da Milano Serravalle delle quote di Autostrada Pedemontana Lombarda con un aumento di capitale da 350 milioni di euro.

Per quell’errore, ora il Garante della privacy ha condannato Palazzo Lombardia a pagare una multa di 20mila euro per violazione delle normative che tutelano la riservatezza dei dati personali. A rivolgersi all’Authority è stata l’organizzazione sindacale Filt Cgil, a sua volta allertata da alcuni lavoratori: "Digitando il proprio nome e cognome su qualsiasi motore di ricerca – si legge nelle motivazioni del provvedimento – appariva un collegamento ipertestuale alla bozza di contratto tra Regione Lombardia e Fnm spa tra i cui allegati erano riportati gli elenchi dei dipendenti delle società coinvolte nell’operazione, comprensivi dei dati relativi al rapporto di lavoro, ai redditi percepiti (suddivisi per voce reddituale) e un elenco di tutti i procedimenti giudiziali pendenti con i lavoratori", nonché "alcuni riferimenti alle condizioni di salute" di una dipendente. Ciò è avvenuto perché – "nell’ambito delle trattative di stipula del contratto di compravendita e di due dligence" – le società Milano Serravalle, Serravalle Engineering e Pedemontana hanno comunicato alla Regione e a Fnm le mansioni di ciascun dipendente, "la retribuzione mensile, la retribuzione annua lorda, le indennità in godimento e l’importo del premio di risultato percepito".

Peccato che tutte quelle cifre siano finite su internet. Dal canto loro, i legali di Palazzo Lombardia hanno spiegato che "la diffusione on line della delibera e del relativo contratto di compravendita delle partecipazioni è avvenuta per adempiere a un obbligo legale stabilito dal diritto dell’Unione europea". Di più: "La pubblicazione della delibera è avvenuta in un periodo in cui Regione Lombardia, più di quanto stesse accadendo in altre parti d’Italia, era in piena emergenza Covid"; un periodo, la difesa, "in cui la Regione ha dovuto fronteggiare con immediatezza e in una situazione di difficoltà le numerose richieste derivanti dalle esigenze sanitarie, sociali ed economiche, con quasi tutto il personale in servizio da remoto con conseguenti difficoltà comunicative e operative".

Giustificazioni che non sono bastate a evitare la sanzione del Garante, che nella quantificazione della sanzione (piuttosto contenuta rispetto alla "falla" emersa) ha comunque tenuto conto degli aspetti legati al coronavirus, della rapidità con cui i tecnici di Palazzo Lombardia si sono mossi per rimuovere il file "incriminato" e dell’impegno a creare un gruppo di lavoro per migliorare la gestione delle informazioni. Detto questo, la violazione resta. Per l’Authority, non esiste alcuna norma che imponga la pubblicazione dei dati relativi ai redditi dei lavoratori, tantomeno dei procedimenti giudiziali e (in un caso) delle condizioni di salute. Prima di pubblicare delibera e allegati, la conclusione del Garante, "la Regione avrebbe dovuto avvedersi della presenza di dati personali relativi a numerosi lavoratori e, di conseguenza, avrebbe dovuto verificare l’esistenza di una norma di legge o di un regolamento che legittimasse tale pubblicazione, nel rispetto del principio di liceità".