Nel contesto lavorativo, aggiungere un dipendente a un gruppo WhatsApp utilizzando il suo numero personale senza consenso rappresenta una grave violazione dei diritti a lui riconosciuti. Questa posizione è stata chiaramente evidenziata dall’Agenzia spagnola per la protezione dei dati (AEPD) nel provvedimento n. EXP202310848, che ha lasciato LVMH Iberia, S.L. colpita da una sanzione di 70.000 euro. La mancanza di dispositivi mobili aziendali non può giustificare l’assenza di una base giuridica per tale trattamento dei dati.
1. Il caso: tra gruppi WhatsApp e “uso eccezionale” dei dispositivi personali
La questione ha origine da una situazione che, sebbene possa apparire banale, sottolinea aspetti critici della gestione dei dati personali: una dipendente di LVMH ha affermato di essere stata costretta a utilizzare il proprio numero personale per esigenze lavorative, in attesa di un cellulare aziendale mai ricevuto. Durante un periodo di ferie, ha comunicato via email la volontà di interrompere l’utilizzo del numero privato per questioni lavorative, decidendo di uscire dal gruppo WhatsApp aziendale.
Il problema sorge successivamente quando il suo numero viene reinserito nel gruppo senza il suo consenso e senza un dispositivo aziendale. La difesa dell’azienda si fonda sulla necessità organizzativa di avere un accesso limitato ai dipendenti, dato l’assenza di dispositivi aziendali. Tuttavia, l’AEPD ha chiarito che si tratta di un trattamento di dati personali privo di una base giuridica valida, quindi illecito.
2. Il numero di cellulare personale è (ancora) un dato personale
L’AEPD chiarisce un principio fondamentale del GDPR: il numero di cellulare personale di un dipendente deve essere considerato un dato personale, ai sensi dell’art. 4, par. 1, GDPR. Ogni utilizzo da parte del datore di lavoro per fini organizzativi o comunicativi è da considerarsi trattamento secondo l’art. 4, par. 2.
Il precedente utilizzo del numero nel contesto lavorativo non autorizza un uso continuativo né tanto meno la reintegrazione non richiesta in canali di comunicazione aziendali, come i gruppi WhatsApp.
3. Il nodo giuridico: nessuna base tra quelle dell’art. 6 GDPR
La posizione dell’autorità spagnola è chiara: nessuna delle basi giuridiche previste dall’art. 6, par. 1 del GDPR si applica al caso in questione.
- Non vi era consenso (art. 6.1, lett. a): la dipendente aveva comunicato la volontà di non voler utilizzare più il numero personale.
- Non vi era necessità contrattuale (art. 6.1, lett. b): l’utilizzo del numero personale non era contemplato dal contratto di lavoro, né indispensabile per la sua esecuzione.
- Non vi erano interessi legittimi preponderanti (art. 6.1, lett. f): la gestione interna tramite WhatsApp non giustifica l’invasione dei diritti e delle libertà fondamentali della lavoratrice.
Inoltre, l’AEPD stabilisce che una policy interna non può risolvere la questione. Una policy BYOD non legittima il trattamento se contrasta con la normativa: la mera predisposizione di regole aziendali sull’uso dei dispositivi non esonera il titolare dal dovere di rispettare gli obblighi di liceità, necessità e minimizzazione.
Potrebbero interessarti anche:
4. Una sanzione “molto grave” – e il precedente che parla chiaro
L’Agenzia spagnola ha valutato l’infrazione come molto grave, proponendo inizialmente una sanzione di 70.000 euro. Tale somma è stata ridotta del 40% grazie al pagamento volontario e al riconoscimento di responsabilità da parte dell’azienda, ma rappresenta comunque un chiaro monito: anche azioni che sembrano innocue, come l’aggiunta di un numero a un gruppo, possono portare a trattamenti illeciti senza una base giuridica valida.
L’AEPD ha anche ordinato a LVMH Iberia di attuare misure correttive e di documentare l’adozione di processi conformi alla normativa per l’utilizzo dei dati di contatto dei dipendenti, stabilendo che l’uso di numeri privati debba essere subordinato a una base giuridica adeguata.
5. Riflessioni operative (e giuridiche): un altro caso da incorniciare
Il caso in questione evidenzia che la gestione dei dati personali dei dipendenti deve essere affrontata con rigore e non può essere sacrificata a favore della comodità organizzativa.
Gli elementi chiave per i professionisti della compliance nella gestione della privacy nelle risorse umane sono i seguenti:
- Mai dare per scontato il consenso, inviato informalmente o in un contesto di subordinazione;
- Mai sostituire la base giuridica con prassi aziendali;
- Mai utilizzare strumenti di messaggistica privati (es. WhatsApp) come canali aziendali senza una policy adeguata, formazione e base giuridica chiara.
Per i Data Protection Officer (DPO), questo caso rappresenta un’opportunità di rivedere le DPIA, le informative interne e le regolazioni sul BYOD, poiché ogni smartphone funziona come un potenziale deposito di dati e ogni gruppo WhatsApp rappresenta un possibile rischio di violazione dei dati.
6. In conclusione: la privacy non si gestisce “per consuetudine”
Si potrebbe sollevare la questione della proporzionalità dell’azione. “Si tratta solo di un numero di telefono, non di un dato sanitario!”. La risposta si trova nel GDPR: non esistono dati personali di serie A e B, ma solo trattamenti leciti e illeciti.
Nel contesto lavorativo, la protezione dei dati è più di un semplice requisito normativo. Essa è una lente attraverso cui analizzare le dinamiche di potere e le scelte organizzative. L’aggiunta di un membro a un gruppo WhatsApp non va visto come un gesto banale: è un trattamento. E come tale, necessita di una governance adeguata.
Indipendentemente dalle motivazioni, si applicano sempre gli stessi principi.
Formazione in materia per professionisti
Master in Compliance Management – Come realizzare un sistema di governance integrato
Il Master in Compliance Management offre un percorso di formazione della durata di 24 ore, progettato per fornire una visione chiara, aggiornata e completa delle aree di compliance aziendale. L’attenzione è rivolta agli strumenti, agli obblighi e alle responsabilità che imprese e professionisti devono conoscere per garantire conformità legislative e efficacia nei modelli organizzativi.
Grazie all’esperienza dei docenti e all’analisi di casi concreti, il Master si distingue per un approccio pratico che permetterà ai partecipanti di acquisire competenze utili per gestire la compliance in diversi contesti aziendali.
>>>Per informazioni e iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it per ricevere notifiche su tutte le pubblicazioni in materia. Iscriviti alla nostra Newsletter per ricevere aggiornamenti settimanali sulle novità normative e giurisprudenziali!
