Con il Provvedimento n. 288 del 21 maggio 2025, il Garante per la protezione dei dati personali ha sanzionato una nota società italiana per aver utilizzato, in modo illecito, contenuti estratti da social network e app di messaggistica privata come prova in due procedimenti disciplinari culminati nel licenziamento di una dipendente.
INDICE
La posizione del datore di lavoro
Violazione dei principi di liceità, finalità e minimizzazione
Trattamento non pertinente all’attitudine professionale
Il caso
La vicenda nasce da un reclamo presentato da una lavoratrice, che lamentava il trattamento non autorizzato di suoi dati personali, utilizzati dall’unità locale del datore di lavoro per elevarle due contestazioni disciplinari.
La prima contestazione conteneva il riferimento a contenuti tratti dal suo profilo del social network Facebook; la seconda, conteneva stralci di conversazioni intrattenute con un soggetto terzo tramite l’app di messaggistica Messenger, nonché il riferimento a contenuti che la lavoratrice aveva veicolato ad alcuni colleghi tramite WhatsApp.
La posizione del datore di lavoro
L’Autorità ha avviato l’istruttoria preliminare con la quale sono state richieste al datore di lavoro informazioni utili alla valutazione del caso (art. 157 del Codice).
Il datore di lavoro ha difeso la propria condotta sostenendo:
- di non aver avuto un ruolo attivo nella raccolta dei dati;
- di aver agito nell’ambito di un legittimo interesse a tutela dei propri diritti;
- di aver effettuato una valutazione preventiva (test di bilanciamento) con l’assistenza di legali;
- che i contenuti ricevuti fossero rilevanti per la gestione del rapporto di lavoro.
Il quadro normativo
Il datore di lavoro privato può trattare i dati personali dei lavoratori (art. 4, n. 1, del Regolamento), anche relativi a “categorie particolari”, di regola, se il trattamento è necessario:
- “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”;
- “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (artt. 6, par. 1, lett. b) e c), e 2 e 3, e art. 9, parr. 2, lett. b) e 4; 88 del Regolamento).
In caso di trattamento di dati “comuni”, il datore di lavoro può effettuare operazioni di trattamento qualora ciò sia necessario per il perseguimento di un legittimo interesse “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali” (art. 6, par. 1, lett. f) del Regolamento).
Il titolare del trattamento è, altresì, tenuto ad osservare i principi generali di “liceità, correttezza e trasparenza”, di “limitazione delle finalità” e di “minimizzazione dei dati”.
La decisione del garante
All’esito dell’istruttoria, il garante ha accertato che, con la prima contestazione disciplinare, il datore di lavoro aveva riportato il contenuto di alcuni commenti scritti dalla lavoratrice sul proprio profilo Facebook mediante l’inserimento di stralci virgolettati dei commenti e la descrizione del contenuto di alcune foto, mentre, con la seconda contestazione, aveva riportato il contenuto di una conversazione avvenuta tramite account Messenger tra la lavoratrice e un terzo (che l’aveva inoltrata al datore tramite WhatsApp), non dipendente del datore, trascrivendo, anche in questo caso, stralci virgolettati della conversazione e stralci virgolettati di una comunicazione inviata dalla lavoratrice ad alcuni colleghi, tramite il proprio account WhatsApp.
Violazione dei principi di liceità, finalità e minimizzazione
Gli screenshot dei commenti postati sul profilo Facebook erano stati comunicati all’azienda da un dipendente che aveva un rapporto di “amicizia” con la lavoratrice; pertanto, la visibilità dei contenuti veicolati sul profilo era riservata ai soggetti in rapporto di “amicizia” con la lavoratrice medesima, che aveva, quindi, inteso escludere volontariamente ed espressamente la generalizzata condivisione dei commenti, al di fuori di tale cerchia di soggetti.
L’utilizzo di comunicazioni private e post pubblicati in contesti riservati da parte del datore aveva, dunque, violato il diritto alla riservatezza dell’interessata; la semplice ricezione dei contenuti non ne legittima automaticamente, infatti, l’uso.
Inoltre, i contenuti presenti sui social network (pure nella sezione del profilo accessibile a chiunque) sono messi a disposizione dagli interessati per finalità di comunicazione interpersonale o di manifestazione del pensiero (v. art. 21 Cost. e art. 1, l. n. 300 del 1970, che ne costituisce l’applicazione in ambito lavorativo); dette finalità sono distinte, dunque, da quelle perseguite dal titolare/datore di lavoro allo scopo di valutare la corretta esecuzione del rapporto lavorativo, nel cui ambito rientrano i trattamenti necessari per l’esecuzione del contratto (art. 6, par. 1, lett. b) del Regolamento).
Pertanto, il titolare può utilizzare, per ulteriori trattamenti, i soli dati personali lecitamente raccolti, in forza di un’idonea base giuridica, dopo aver “soddisfatto tutti i requisiti per la liceità del trattamento originario”, tenendo altresì conto del contesto in cui i dati sono stati raccolti (cfr. cons. 50 del Regolamento), avuto riguardo alla finalità originaria e nel rispetto dei principi generali di protezione dei dati.
I dati personali pubblicati sui social network o, più in generale, disponibili in rete, non possono essere, pertanto, utilizzati indiscriminatamente e a ogni fine, solo perché accessibili a un numero più o meno esteso di persone.
Ancora, l’ordinamento giuridico tutela la libertà e la riservatezza delle comunicazioni, annoverate tra i diritti fondamentali dell’individuo, stabilendo che ogni eventuale limitazione può avvenire, solo “per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge” (art. 15 Cost.) e la nozione di corrispondenza ed ogni altra forma di comunicazione è riferita a “ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate, attuata in modo diverso dalla conversazione in presenza”, e pertanto ricomprende, allo stato delle tecnologie disponibili, anche lo scambio di messaggi elettronici quali e-mail, WhatsApp, SMS “e simili”.
Con riguardo al trattamento di dati contenuti in una chat privata tra colleghi di lavoro creata sulla piattaforma WhatsApp, effettuato dal datore di lavoro che ne aveva appreso il contenuto, su iniziativa di uno dei partecipanti alla conversazione, la Corte di Cassazione ha ritenuto che l’apprensione del contenuto della predetta comunicazione realizza una condotta in violazione del diritto alla segretezza e riservatezza della corrispondenza, posto che “la garanzia della libertà e segretezza della corrispondenza privata e il diritto alla riservatezza nel rapporto di lavoro [costituiscono] presidi della dignità del lavoratore”. Pertanto, considerata “la portata e le implicazioni del diritto fondamentale alla segretezza della corrispondenza”, non può costituire elemento dirimente il fatto che il messaggio in chat non fosse stato appreso dal datore di lavoro “di propria iniziativa” (v. Corte Cass 28/2/2025, n. 5354).
Alla luce, dunque, dello statuto protettivo accordato dall’ordinamento alle comunicazioni, il Garante ha concluso che il trattamento di dati personali riferiti alla lavoratrice e, in particolare, dei messaggi da questa scambiati con un soggetto estraneo alla compagine aziendale e con colleghi di lavoro, era avvenuto in assenza di una idonea base giuridica (art. 5, par. 1, lett. a) e 6 del Regolamento).
Ancora, nel corso del procedimento è emerso che il datore di lavoro non aveva preso in considerazione, all’esito di una valutazione obiettiva, l’impatto che il trattamento avrebbe potuto avere sui diritti, sulle libertà e sugli interessi dell’interessata.
In pratica, il datore di lavoro non aveva esaminato la possibilità di esercitare le proprie “prerogative connesse alla gestione del contratto di lavoro” attraverso “altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati”, considerato che le contestazioni disciplinari facevano riferimento a fatti ulteriori, rispetto agli elementi oggetto del reclamo.
Il titolare del trattamento è tenuto ad effettuare una previa valutazione (comprovandola all’Autorità in sede di controllo), in base al principio di responsabilizzazione (art. 5, par. 2 ), circa la liceità, ma anche l’adeguatezza, la pertinenza e la proporzionalità dei trattamenti di dati che intende effettuare, in applicazione del principio generale di minimizzazione e proporzionalità dei trattamenti.
In conclusione, la condotta tenuta dal datore di lavoro ha violato i principi di liceità, finalità e minimizzazione di cui all’art. 5, par. 1, lett. a), b) e c) e 6 del Regolamento, vista anche l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali: una volta venuto a conoscenza che i dati trasmessi riguardavano comunicazioni private e commenti sul profilo Facebook chiuso, il datore di lavoro avrebbe dovuto astenersi dall’utilizzarli.
Trattamento non pertinente all’attitudine professionale
Ulteriore profilo di illiceità dei trattamenti di dati è stato rinvenuto nella circostanza che il contenuto delle informazioni raccolte consisteva in opinioni espresse e comunicazioni intervenute in ambiti esterni al rapporto di lavoro e, quindi, al di fuori del perimetro relativo alla valutazione dell’attitudine professionale della lavoratrice.
La lavoratrice, tramite Messenger, aveva manifestato una diversità di opinioni con il suo interlocutore (benché riferite alla valutazione dell’operato del datore di lavoro in un caso specifico); inoltre, il commento da lei inviato tramite WhatsApp ad alcuni colleghi non era attinente alla sua attitudine professionale e i commenti postati sul profilo Facebook esprimevano opinioni della lavoratrice su temi ambientali e, dunque, anche in questo caso non attinenti allo svolgimento dell’attività lavorativa o all’attitudine professionale, anche alla luce della mansione svolta da quest’ultima ( “esattore” presso una stazione autostradale).
Il datore di lavoro, quindi, non poteva acquisire e trattare informazioni sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
Il Garante aveva già ritenuto che “le informazioni relative alle attività e ai comportamenti assunti dal dipendente, al di fuori dello svolgimento dei propri compiti e mansioni, e non interferenti, neanche in via indiretta, con l’esecuzione della prestazione lavorativa, afferiscono alla vita privata del lavoratore, la cui tutela è garantita dal quadro normativo a livello sovranazionale, nonché dalle disposizioni nazionali ed europee …” (caso relativo all’utilizzo all’interno del procedimento disciplinare, di dati, relativi a “categorie particolari”, tratti da un sito web d’incontri, acquisiti dal datore di lavoro a seguito di una segnalazione da parte di alcuni dipendenti).
Dunque, le norme a tutela della riservatezza e della dignità dell’interessato-lavoratore vietano al datore di lavoro, pubblico e privato, di raccogliere e, comunque, di “trattare” dati non pertinenti rispetto alla mansione svolta o informazioni “su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” a meno che “non si tratti di caratteristiche che incidono sulle modalità di svolgimento dell’attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento” della stessa.
La sanzione
Conseguentemente, il Garante ha ritenuto l’utilizzo delle comunicazioni della lavoratrice effettuate sulle piattaforme Messenger e WhatsApp e commenti e opinioni inseriti nella pagina chiusa Facebook per effettuare le due contestazioni disciplinari illecito in relazione agli artt. 5, par. 1, lett. a), b) e c), 6 e 88 del Regolamento e art. 113 del Codice.
In base alla gravità della violazione, alla natura dei dati trattati (comunicazioni personali), al numero di soggetti coinvolti (una sola persona) e alle circostanze aggravanti (un precedente provvedimento del Garante del 2023), ha conseguentemente comminato al datore di lavoro una sanzione amministrativa pecuniaria di euro 420.000.
La lezione
I contenuti dei social network o delle chat private non possono essere usati indiscriminatamente dal datore di lavoro, anche se “trasmessi” da colleghi.
Il datore ha l’obbligo di valutare attentamente la liceità e la proporzionalità del trattamento dei dati personali.
La riservatezza delle comunicazioni è un diritto fondamentale tutelato anche in ambito lavorativo.
Il Garante ribadisce che il trattamento dei dati personali in ambito lavorativo deve sempre rispettare i principi del GDPR e della normativa nazionale, anche quando si tratta di contenuti “passati” da altri.
Un messaggio forte per tutte le aziende che intendono ricorrere a contenuti digitali come prove nei procedimenti disciplinari.
