Sanzione Privacy in Italia per l’Uso di Chat Private nei Procedimenti Disciplinari sul Lavoro

Il Garante per la Protezione dei Dati Personali ha sanzionato un’azienda per 420.000 euro per violazione delle norme sulla privacy in ambito lavorativo. La decisione riguarda l’utilizzo, da parte del datore di lavoro, di contenuti provenienti da Facebook, WhatsApp e Messenger – tratti da account personali di un dipendente – a fini disciplinari.

Questa pronuncia avrà conseguenze rilevanti per tutti i datori di lavoro operanti in Italia, soprattutto per quelli coinvolti in indagini interne che toccano l’ambito dei social media o delle piattaforme di messaggistica privata.

Il messaggio del Garante è chiaro: anche sul posto di lavoro, la privacy deve essere rispettata e violarla può comportare sanzioni pesanti.

Il Caso: Privato non è Pubblico – Nemmeno al Lavoro

Il caso ha avuto inizio con un reclamo presentato da una dipendente, che ha contestato la legittimità di due provvedimenti disciplinari nei suoi confronti. L’azienda aveva basato le contestazioni su:

• Post pubblicati sul suo profilo Facebook privato;
• Messaggi privati scambiati su Messenger con un terzo;
• Messaggi WhatsApp condivisi con colleghi.

Il contenuto non era stato attivamente monitorato o raccolto dall’azienda, ma era stato spontaneamente inoltrato alla direzione da colleghi o altri soggetti coinvolti. L’azienda sosteneva di non avere avuto alcun “ruolo attivo” nella raccolta dei dati, giustificandone l’uso sulla base del legittimo interesse ai sensi del GDPR.

Tuttavia, secondo il Garante, la ricezione passiva dei dati non esonera l’azienda dagli obblighi di conformità alla normativa privacy.

I Principali Riscontri del Garante

Il Garante ha assunto una posizione netta:

1. Usare contenuti ricevuti equivale a trattare dati personali. Una volta che l’azienda decide di utilizzare quei messaggi o post in un procedimento disciplinare, effettua un trattamento di dati a pieno titolo secondo il GDPR.
2. Un profilo Facebook privato implica un’aspettativa ragionevole di privacy. I contenuti condivisi solo con gli “amici” non possono essere considerati pubblici. L’azienda avrebbe dovuto valutare se l’uso di quei dati rispettasse i diritti della dipendente.
3. Messenger e WhatsApp sono comunicazioni protette. Anche se i contenuti vengono inoltrati da chi partecipa alla conversazione, ciò non autorizza il datore di lavoro a utilizzarli senza una valida base giuridica.

Perché è Fallito l’Argomento del Legittimo Interesse

L’azienda ha provato a basarsi sull’articolo 6, comma 1, lett. f) del GDPR – legittimo interesse – per giustificare il trattamento. Tuttavia, il Garante ha rilevato diverse criticità:

• Non è stato presentato alcun test di bilanciamento documentato;
• L’azienda non ha dimostrato che le finalità disciplinari non potessero essere raggiunte senza ledere la privacy;
• La dipendente non poteva ragionevolmente aspettarsi che le sue comunicazioni private potessero essere usate contro di lei sul lavoro.

Il Garante ha inoltre sottolineato che, in Italia, il trattamento di dati in ambito lavorativo è soggetto non solo al GDPR, ma anche all’articolo 113 del Codice Privacy italiano, che rafforza le tutele per i lavoratori. Tale articolo vieta espressamente l’uso di opinioni personali, convinzioni o informazioni non pertinenti all’idoneità professionale nei procedimenti interni.

L’Impatto Più Ampio per i Datori di Lavoro in Italia

Questa decisione invia un messaggio forte: la privacy sul lavoro non è facoltativa, nemmeno in caso di provvedimenti disciplinari.

I datori di lavoro devono ora:

• Riflettere attentamente prima di usare comunicazioni personali in procedimenti interni, anche se ottenute da terzi;
• Effettuare e documentare un test di bilanciamento dettagliato in caso di invocazione del legittimo interesse;
• Evitare di utilizzare dati da messaggistica privata o social media, a meno che non siano chiaramente rilevanti, proporzionati e legalmente giustificabili;
• Allineare le politiche interne (e.g. policy IT, social media) al GDPR e alla normativa nazionale;
• Rispettare il confine tra condotta lavorativa ed espressione privata, in particolare su piattaforme come WhatsApp o Facebook.

Un Avvertimento Chiaro: Multa da 420.000 € e Sanzione Pubblica

L’azienda è stata ritenuta responsabile di aver violato gli articoli 5, 6 e 88 del GDPR e l’articolo 113 del Codice Privacy. La sanzione di 420.000 euro riflette la gravità delle violazioni.

Inoltre, il Garante ha ordinato la pubblicazione della decisione sul proprio sito, amplificando l’impatto reputazionale del caso.

Questa doppia sanzione – economica e pubblica – deve essere considerata un campanello d’allarme per qualsiasi azienda che operi in Italia o che gestisca dipendenti le cui attività digitali private possano incrociarsi con la compliance aziendale.

Considerazioni Finali

Questo caso è un chiaro segnale: la privacy dei dipendenti sul luogo di lavoro è tutelata, anche quando messaggi e contenuti sociali circolano al di fuori del pubblico originario.

È importante considerare che:

• Un messaggio inoltrato non è una autorizzazione per indagare;
• I post personali – se non chiaramente pubblici – non sono “territorio libero”.
• L’Italia prende molto sul serio la privacy dei lavoratori – e le sanzioni saranno proporzionate.

Se non siete certi che i vostri procedimenti disciplinari interni siano conformi al GDPR e alla normativa nazionale, questo è il momento di rivedere le vostre policy. Perché, nel mondo del lavoro digitale di oggi, le violazioni della privacy non passano inosservate – e non restano impunite.

Su un argomento simile può essere di interesse l’articolo “Il Garante emette la prima sanzione ai sensi del GDPR per violazione della privacy sui metadati delle e-mail dei dipendenti in Italia“.