Profili social e chat private dei dipendenti. Quali sono i limiti di utilizzabilità dei dati raccolti nell’ambito di un provvedimento disciplinare? La posizione del Garante privacy

Con il Provvedimento n. 288 del 21 maggio 2025, l’Autorità Garante per la protezione dei dati personali ha comminato ad una società italiana una sanzione del valore di 420mila euro per trattamento illecito dei dati personali di una dipendente, poi utilizzati per giustificarne il licenziamento.

La vicenda

La lavoratrice presentava reclamo contro la società lamentando l’uso improprio di suoi dati personali, estratti dal suo profilo del social network ‘Facebook’, dall’app di messaggistica ‘Messenger’ e da alcune chat della piattaforma ‘WhatsApp’. Tali informazioni, portate alla conoscenza della società, erano state impiegate per motivare due diverse contestazioni disciplinari a suo carico.

Nella prima contestazione, datata 16 febbraio 2024, la società riportava il contenuto di alcuni commenti scritti dalla reclamante sul proprio profilo Facebook, mediante l’inserimento di stralci virgolettati dei commenti e la descrizione del contenuto di alcune foto. Nella seconda, datata 21 marzo 2024, riportava il contenuto di una conversazione avvenuta tramite account Messenger tra la reclamante e un terzo (che la inoltrava alla Società tramite WhatsApp), non dipendente della Società, trascrivendo stralci virgolettati della conversazione. Inoltre, nella medesima contestazione, venivano riportati stralci virgolettati di una comunicazione inviata dalla reclamante, in data 22 febbraio 2024, ad alcuni colleghi, tramite il proprio account WhatsApp.

Richiamando l’articolo 8 della L 300/1970 (Statuto dei Lavoratori), che vieta al datore di lavoro “di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”, la società sosteneva di non aver avuto un ruolo attivo nella raccolta dei dati ma che, essendo tali informazioni pervenutele tramite segnalazioni, potessero essere utilizzate a fini disciplinari perché il caso di specie non configurerebbe una indagine vietata dallo Statuto dei Lavoratori.

La posizione dell’Autorità Garante

L’Autorità Garante coglie l’occasione per ricordare che:

• “l’ordinamento giuridico tutela, infatti, la libertà e la riservatezza delle comunicazioni, annoverate tra i diritti fondamentali dell’individuo, stabilendo che ogni eventuale limitazione può avvenire, solo “per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge” (art. 15 Cost.)”. Questa presunzione di riservatezza, come chiarito dalla Corte Costituzionale, si estende ad ogni strumento che l’evoluzione tecnologica mette a disposizione a fini comunicativi. (Principio di liceità)
• la pubblicazione di dati su piattaforme accessibili al pubblico, come un social network, non implica automaticamente che il soggetto interessato abbia dato un consenso generale ad un libero utilizzo di quei dati per qualsiasi finalità ma è richiesta una specifica base giuridica a fondamento di un eventuale trattamento per finalità diverse da quelle originarie. (Principio di limitazione della finalità)
• la necessità del trattamento per la realizzazione del legittimo interesse perseguito – motivazione dichiarata dalla società in sede di istruttoria nelle proprie memorie difensive – deve essere valutato anche alla luce del principio di minimizzazione, posto che il titolare deve verificare che “il legittimo interesse al trattamento dei dati perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata […]”. E, nel caso di specie, la società non ha dimostrato di aver valutato l’impatto del trattamento sui diritti della lavoratrice né di aver considerato soluzioni meno intrusive, nonostante le contestazioni disciplinari potessero fondarsi anche su altri elementi. (Principio di minimizzazione)

L’Autorità, chiarendo di non essere investita del compito di valutare i fatti ritenuti disciplinarmente rilevanti ma che spetta invece al datore di lavoro – titolare del trattamento – effettuare una valutazione circa la liceità ma anche l’adeguatezza, la pertinenza e la proporzionalità dei trattamenti di dati che si intende effettuare, ha rilevato le numerose illiceità poste in essere dalla società che “una volta venuta a conoscenza che i dati trasmessi riguardavano comunicazioni private e commenti sul profilo Facebook chiuso, […]  avrebbe dovuto astenersi dall’utilizzarli”.

Altri insights correlati:

• La Cassazione conferma la legittimità del licenziamento per giusta causa a seguito delle condotte denigratorie su Facebook da parte della lavoratrice