La questione della privacy dei lavoratori durante le procedure di licenziamento non dovrebbe essere considerata un argomento esclusivo di specialisti e giuristi. Il provvedimento del Garante per la protezione dei dati personali, datato 16 novembre 2023 (doc. web n. 9960854), con sanzione di 420.000 euro a carico di Autostrade per l’Italia, sottolinea l’importanza della protezione dei dati come principio fondamentale della giustizia e della legalità nel rapporto di lavoro subordinato. In tal modo, l’utilizzo di messaggi privati e interazioni sui social network da parte del datore di lavoro nel contesto di un procedimento disciplinare si configura come una violazione delle normative sulla protezione dei dati personali
1. I fatti: quando il social entra nel fascicolo disciplinare per il licenziamento
Nel 2021, Autostrade per l’Italia ha avviato un procedimento disciplinare nei confronti di una dipendente, fondandolo su:
- post pubblicati su un profilo Facebook personale e non pubblico;
- messaggi privati scambiati su Messenger e WhatsApp;
- conversazioni tra colleghi, presumibilmente trasmesse all’azienda tramite canali interni.
Questi contenuti sono stati raccolti e utilizzati come prova per giustificare il licenziamento. La lavoratrice ha quindi presentato reclamo al Garante, denunciando l’assenza di un’informazione preventiva sulla raccolta dei dati.
2. Il quadro normativo: i principi violati
Il Garante ha rilevato la violazione di diverse norme del GDPR:
- art. 5, par. 1: liceità, correttezza e trasparenza del trattamento;
- art. 6: assenza di una base giuridica valida;
- art. 13: mancanza di un’adeguata informativa;
- art. 88 del GDPR, in combinato disposto con l’art. 113 del Codice Privacy.
3. Comunicazioni private: tutela costituzionale e giurisprudenza europea
La questione centrale riguarda la natura privata delle comunicazioni digitali. La Corte Costituzionale (sent. n. 170/2023) ha affermato che i messaggi su WhatsApp, Messenger, SMS o e-mail godono della stessa tutela dell’art. 15 della Costituzione, come qualsiasi corrispondenza cartacea. La CEDU, attraverso case giuridiche come Copland v. UK e Bărbulescu v. Romania, ha chiarito che le comunicazioni elettroniche nel contesto lavorativo sono protette dall’art. 8 della CEDU, affermando che il loro carattere digitale non ne riduce la riservatezza.
4. L’illusione dell’accesso passivo: il trattamento è comunque illecito
La difesa di Autostrade ha basato le proprie argomentazioni sull’idea che l’azienda non avesse effettuato indagini, ma avesse semplicemente ricevuto informazioni dai colleghi. Tuttavia, il Garante ha chiarito che è sufficiente l’atto di acquisire, conservare e utilizzare dati per qualificare come trattamento i dati stessi (art. 4, par. 1, n. 2 GDPR). La Cassazione ha ripetutamente affermato che il datore di lavoro viola la riservatezza anche quando accede a messaggi privati trasmessi da un partecipante alla conversazione. È la natura privata della comunicazione ad avere rilevanza, non chi la inoltra.
5. Il legittimo interesse non è un asso pigliatutto
L’azienda ha tentato di legittimare il trattamento dei dati in base all’art. 6, par. 1, lett. f) GDPR, sostenendo un proprio interesse a mantenere l’integrità organizzativa. Tuttavia, tale interesse deve essere sempre bilanciato con i diritti e le libertà fondamentali dell’interessato, e tale analisi deve avvenire preventivamente. In assenza di un test di bilanciamento documentato e una valutazione d’impatto, il trattamento risulta sproporzionato e invasivo. La Cassazione (sent. n. 21107/2014) ha stabilito che la presenza online di dati personali non implica un consenso implicito per il loro riutilizzo.
6. Dati pubblici? Non è detto. E comunque non basta
Anche se i dati fossero stati accessibili a terzi, la loro diffusione su social media o chat non li rende utilizzabili per scopi disciplinari. Come indicato dal Gruppo Art. 29 e confermato dal Garante, la “pubblicità” non è sinonimo di liceità. Nel caso in esame, i post riguardavano opinioni personali, in contesti privati, senza connessione funzionale con il lavoro o minimizzazione dei dati.
7. Il principio di responsabilizzazione tradito
Il GDPR richiede al titolare di dimostrare la conformità del trattamento (art. 5, par. 2). Autostrade non ha presentato alcun documento a conferma:
- l’esistenza di un test di bilanciamento;
- la valutazione di necessità e proporzionalità;
- l’adozione di misure per limitare l’invasività.
Autostrade ha semplicemente utilizzato i dati senza aver prima effettuato queste valutazioni, ignorando l’ordine corretto: prima la valutazione, poi il trattamento.
8. Conclusione: una cultura aziendale da ripensare
Questo caso è emblematico. Dimostra che:
- le comunicazioni digitali sono tutelate al pari di quelle cartacee;
- la riservatezza non decade con la trasmissione da parte di un collega;
- la protezione dei dati non costituisce un ostacolo al potere disciplinare, ma ne garantisce la legittimità;
- l’accountability deve essere sistematica.
Le aziende interessate a esercitare controllo sui lavoratori devono prima verificare il proprio livello di conformità normativa. In caso contrario, le conseguenze possono essere significative, come dimostra l’intervento del Garante.
