In tema di intrusione nella vita privata del dipendente e sanzioni disciplinari irrogate sulla base di informazioni acquisite dai suoi social network o messaggistica privata

Il Garante per la protezione dei dati personali, con Provvedimento 21 maggio 2025, n. 288, ha accertato l’illiceità del trattamento effettuato da Autostrade per l’Italia nei confronti di una dipendente, consistente nell’acquisizione e nell’utilizzo – nel procedimento disciplinare sfociato nel licenziamento – di contenuti tratti dal suo profilo Facebook e da conversazioni private su WhatsApp e Messenger.

Nel caso oggetto di giudizio, è emerso nel corso dell’istruttoria che alla dipendente erano state elevate due contestazioni disciplinari: la prima, del febbraio 2024, fondata su contenuti tratti dal suo profilo Facebook e sull’asserito utilizzo della e-mail aziendale per fini personali; la seconda, del marzo 2024, basata su screenshot di conversazioni WhatsApp e Messenger nelle quali la lavoratrice esprimeva valutazioni sul bilancio di sostenibilità della società.

La società ha dichiarato che tali contenuti erano stati acquisiti tramite segnalazioni interne e inoltri informali ricevuti via WhatsApp. In particolare, gli screenshot dei post Facebook erano stati trasmessi da un collega che, in quanto “amico” sul social, poteva accedervi; le conversazioni Messenger erano state inoltrate dal soggetto terzo partecipante allo scambio; infine, anche i messaggi WhatsApp intrattenuti con alcuni colleghi erano stati comunicati agli uffici aziendali da uno dei partecipanti alla chat.

L’Autorità Garante ha rilevato la violazione dei principi di liceità, pertinenza e minimizzazione di cui agli artt. 5, par. 1, lett. a), 6 e 88 GDPR, nonché dell’art. 113 Codice Privacy, osservando che:

– la mera accessibilità online dei dati non ne legittima l’utilizzo per finalità ulteriori e, in particolare, disciplinari;

– il datore di lavoro non può acquisire né trattare dati attinenti alla vita privata, alle opinioni personali od a contenuti estranei alla valutazione dell’attitudine professionale, a prescindere dalla provenienza dei dati (anche se trasmessi spontaneamente da terzi);

– conversazioni e messaggi privati sono equiparati a corrispondenza tutelata ex art. 15 Cost. e art. 8 CEDU e non possono essere oggetto di trattamento da parte del datore.

Il Garante ha, inoltre, chiarito che l’invocazione del legittimo interesse (art. 6 par. 1 lett. f) GDPR) richiede un effettivo test di bilanciamento, non assolto dalla Società, e che tale base giuridica non può, comunque, prevalere su diritti fondamentali quali la protezione dei dati personali e la segretezza delle comunicazioni.

È stato, altresì, ritenuto irrilevante il riferimento alla social media policy aziendale, che non può derogare ai limiti imposti dalla normativa sovraordinata, né risulta violata dalla dipendente.

Accertata l’assenza di una valida base giuridica del trattamento, l’utilizzo dei dati nel procedimento disciplinare è stato ritenuto illecito ai sensi dell’art. 2-decies Codice Privacy. L’Autorità ha quindi accolto il reclamo, riconoscendo la lesione dei principi di correttezza, trasparenza, limitazione della finalità e minimizzazione, nonché della dignità e della riservatezza della lavoratrice, irrogando alla Società una sanzione amministrativa di € 420.000.