Uso illecito di dati personali in ambito disciplinare: monito del Garante privacy

Pubblicato il 07 luglio 2025

Con il provvedimento n. 288 del 21 maggio 2025, di cui è stata data notizia con la newsletter del 25 giugno 2025, il Garante per la protezione dei dati personali ha sanzionato Autostrade per l’Italia S.p.A. con una multa di 420.000 euro, per aver trattato in modo illecito i dati personali di una dipendente.

L’intervento dell’Autorità è scaturito da un reclamo della lavoratrice, che ha denunciato l'utilizzo, a fini disciplinari, di contenuti tratti dal proprio profilo Facebook e da conversazioni private su Messenger e WhatsApp.

Origine e natura dei dati trattati

Secondo quanto accertato, la società ha ricevuto screenshot di post e chat da colleghi e da un soggetto terzo, tutti presenti nella cerchia ristretta di “amici” della dipendente. Questi contenuti comprendevano:

• commenti pubblicati sulla pagina Facebook personale della lavoratrice, visibili solo agli “amici”;
• conversazioni su Messenger con un esponente del WWF, contenenti opinioni sull’operato della società in merito ad abbattimenti di alberi;
• comunicazioni scambiate con colleghi via WhatsApp, che esprimevano critiche e opinioni personali.

La Società ha rappresentato di aver trattato i dati personali della dipendente sulla base dell’art. 6, par. 1, lett. f) del GDPR, invocando il legittimo interesse del datore di lavoro “[…] a trattare i dati personali per le sole finalità di tutela dei propri diritti ed esercizio delle prerogative connesse alla gestione del contratto di lavoro”.

Tale legittimo interesse è stato ulteriormente motivato dalla pendenza di un contenzioso giudiziario, in cui la dipendente aveva impugnato il proprio licenziamento davanti al Tribunale civile di Trani - Sezione lavoro. La Società ha quindi sostenuto di aver agito a fini difensivi, nell’ambito del più ampio esercizio del proprio diritto alla prova nel giudizio instaurato dalla dipendente licenziata.

A supporto della correttezza del proprio operato, la Società ha allegato copia:

• della “Social media policy” aziendale, e

• della “Procedura gestionale per la gestione delle dotazioni aziendali”,

dichiarando di averne debitamente informato i dipendenti alla data di entrata in vigore.

L’Autorità, avendo appreso dell’esistenza di un contenzioso davanti al competente giudice ordinario, avente ad oggetto l’impugnazione del licenziamento della reclamante irrogato a seguito delle contestazioni disciplinari, ha provveduto a chiedere, alla reclamante e alla Società, copia del ricorso presentato.

All’esito dell’esame della documentazione prodotta in atti, l’Autorità ha ritenuto che non fosse configurabile la fattispecie di litispendenza, prevista dal richiamato art. 140-bis del Codice, in quanto. nel caso di specie. tra il reclamo al Garante e il ricorso al giudice ordinario non era ravvisabile l’identità di petitum, confermando pertanto la propria competenza ad accertare le eventuali violazioni della normativa privacy.

Violazioni rilevate dal Garante privacy

Il Garante, con il provvedimento n. 288 del 2025, ha ritenuto illecito il trattamento effettuato, ravvisando violazioni multiple della normativa in materia di protezione dei dati personali:

1. Violazione dei principi di liceità, finalità e minimizzazione (art. 5, par. 1, lett. a), b), c) e art. 6 GDPR)

La Società datrice di lavoro ha trattato dati personali:

• senza una base giuridica adeguata;
• senza effettuare un corretto bilanciamento tra il proprio interesse legittimo e i diritti fondamentali della dipendente;
• utilizzando dati che, per natura e contesto (chat private e profili chiusi), non potevano essere legittimamente considerati utili alla valutazione dell’idoneità professionale.

Il Garante privacy ha osservato che, anche se i contenuti non sono stati cercati attivamente dalla società, l’uso successivo in ambito disciplinare costituisce comunque “trattamento” ai sensi dell’art. 4 del GDPR.

2. Violazione dell’art. 88 GDPR e dell’art. 113 del Codice Privacy

Il contenuto delle conversazioni e dei commenti era del tutto estraneo alla sfera lavorativa e non rilevante ai fini della valutazione professionale, come evidenziato anche dal ruolo ricoperto dalla dipendente (esattore in una stazione autostradale).

L’art. 113 del Codice Privacy, che richiama l’art. 8 dello Statuto dei lavoratori, vieta espressamente trattamenti su fatti non attinenti all’attitudine professionale, a tutela della riservatezza e della dignità del lavoratore, a fronte della circolazione di informazioni personali.

3. Violazione del diritto alla segretezza della corrispondenza (art. 15 Cost. e giurisprudenza nazionale ed europea)

Il Garante ha affermato che: “Le comunicazioni private, anche se inoltrate da terzi, sono tutelate dalla Costituzione e dalla CEDU. Il datore di lavoro non può legittimamente utilizzarle senza una base giuridica e un bilanciamento proporzionato dei diritti in gioco.”

Anche la Corte Costituzionale (sent. n. 170/2023) e la Corte di Cassazione (sent. n. 5354/2025) hanno riconosciuto che i messaggi scambiati via chat o email sono da considerare corrispondenza privata, inviolabile senza autorizzazione giudiziaria.

Considerazioni aggravanti e determinazione della sanzione

Nel determinare l’importo sanzionatorio di 420.000 euro, il Garante ha considerato:

• la gravità della violazione, trattandosi di dati personali sensibili trattati senza basi adeguate;
• il carattere colposo del comportamento, con violazioni reiterate dei principi fondamentali del GDPR;
• la recidiva, in quanto Autostrade era già stata destinataria del provvedimento n. 529/2023 per inadempienze simili;
• la cooperazione fornita dalla società, considerata come attenuante.

Il provvedimento è stato pubblicato sul sito del Garante, in quanto considerato di interesse pubblico, per il tipo di violazione e per il coinvolgimento di comunicazioni private.