1. Introduzione
Il provvedimento del Garante per la protezione dei dati personali del 21 maggio 2025, n. 288, affronta un tema di confine tra diritto del lavoro e diritto alla protezione dei dati personali, ponendo l’accento sull’utilizzo, da parte del datore di lavoro, di dati tratti da profili social e da app di messaggistica per l’irrogazione di sanzioni disciplinari.
Il caso in esame ha visto protagonista Autostrade per l’Italia S.p.A., che ha utilizzato contenuti provenienti dal profilo Facebook, da Messenger e da WhatsApp di una propria dipendente, ottenuti per il tramite di altri dipendenti o soggetti terzi, per fondare due contestazioni disciplinari. L’analisi giuridica svolta dal Garante mette in discussione la legittimità del trattamento effettuato, in relazione ai principi di liceità, minimizzazione e finalità, nonché alle disposizioni di settore previste dal diritto interno.
2. I fatti e la posizione delle parti
La società aveva ricevuto, da dipendenti o da terzi, screenshot di post pubblicati dalla dipendente sul proprio profilo Facebook (chiuso, accessibile solo agli “amici”) e di conversazioni intrattenute tramite Messenger e WhatsApp. I contenuti riguardavano critiche ambientali, divergenze d’opinione con soggetti esterni (WWF) e commenti privati inviati a colleghi. La società ha ritenuto legittimo acquisire e utilizzare tali contenuti a fini disciplinari, sostenendo che il trattamento fosse giustificato dal proprio interesse legittimo, ex art. 6, par. 1, lett. f), GDPR.
3. Il quadro normativo applicabile: tra GDPR, Codice Privacy e Statuto dei lavoratori
Il Garante ha ricostruito con rigore il perimetro normativo entro cui si deve valutare la liceità del trattamento dei dati personali in ambito lavorativo. In particolare, ha richiamato:
- art. 5, par. 1, lett. a), b), c) del GDPR: i principi di liceità, limitazione della finalità e minimizzazione;
- art. 6, par. 1, lett. f) GDPR: trattamento basato sul legittimo interesse, subordinato a un bilanciamento con i diritti dell’interessato;
- art. 88 GDPR: trattamento dei dati personali nel contesto lavorativo e rinvio a norme più specifiche nazionali;
- art. 113 del Codice Privacy (D.lgs. 196/2003), che rinvia all’art. 8 della legge 300/1970 (Statuto dei lavoratori) e all’art. 10 del D.lgs. 276/2003;
- art. 4, n. 2 GDPR: definizione di trattamento, che include anche la semplice ricezione e successivo utilizzo dei dati.
4. Il principio di liceità e il test di bilanciamento dell’interesse legittimo: presupposti e limiti
L’art. 6, par. 1, lett. f), del Regolamento (UE) 2016/679 (GDPR) stabilisce che il trattamento di dati personali è lecito se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”. Questo presuppone l’effettuazione di un bilanciamento tra le due posizioni giuridiche contrapposte, fondato su elementi concreti e valutazioni documentate, da compiersi prima dell’inizio del trattamento.
L’art. 5, par. 2, rafforza tale obbligo mediante il principio di accountability, imponendo al titolare non solo di conformarsi alle norme del GDPR, ma anche di essere in grado di dimostrare la propria conformità (“il titolare del trattamento è competente per il rispetto del presente regolamento e in grado di comprovarlo”). In tal senso, l’EDPB nelle “Linee guida 1/2024” sull’art. 6, par. 1, lett. f), ha chiarito che il legittimo interesse non è una “clausola di salvaguardia residuale” né una giustificazione generica, ma una base giuridica che impone uno scrutinio metodico e trasparente.
Nel caso in esame, Autostrade per l’Italia ha invocato il proprio legittimo interesse alla tutela delle prerogative contrattuali e disciplinari in ambito lavorativo. Tuttavia, non ha fornito al Garante alcuna documentazione sul test di bilanciamento, né ha specificato le modalità con cui avrebbe ponderato i propri interessi rispetto a quelli della dipendente. Tale omissione contrasta apertamente con il principio di responsabilizzazione, poiché non basta dichiarare di aver effettuato un’analisi: occorre darne prova.
Inoltre, il Garante ha rilevato che la dipendente aveva pubblicato i contenuti sul proprio profilo Facebook con impostazioni di visibilità riservate, e che le conversazioni su Messenger e WhatsApp si erano svolte in ambienti privati. Ciò configura un’aspettativa legittima di riservatezza dell’interessata, tutelata dall’art. 15 della Costituzione, che sancisce il principio della libertà e segretezza delle comunicazioni, e che, come ha stabilito la Corte Costituzionale (sent. n. 170/2023), si applica anche alle comunicazioni elettroniche come email, SMS, WhatsApp e social network.
La Corte di Cassazione ha affermato che anche la mera acquisizione di contenuti provenienti da ambienti digitali chiusi – sebbene “ricevuti” da altri – integra un trattamento soggetto alla normativa sulla protezione dei dati personali e, in particolare, ai limiti imposti dal principio di proporzionalità (Cass. civ., sez. I, 7 ottobre 2014, n. 21107). La successiva sentenza Cass. 28 febbraio 2025, n. 5354 ha riaffermato che l’acquisizione da parte del datore di lavoro dei messaggi WhatsApp inoltrati da un collega configura comunque violazione della corrispondenza, anche in assenza di un comportamento attivo del datore.
Il Garante ha altresì richiamato la sentenza della CGUE, C-252/21, Meta Platforms, secondo cui la valutazione di “necessità” di un trattamento ai fini del legittimo interesse impone di dimostrare che non esistano altri mezzi meno invasivi e che il titolare valuti attentamente l’impatto del trattamento sui diritti fondamentali dell’interessato (artt. 7 e 8 della Carta di Nizza).
In sintesi, la società:
- non ha documentato un test di bilanciamento effettivo;
- non ha verificato la disponibilità di mezzi alternativi meno lesivi;
- ha utilizzato dati protetti da una legittima aspettativa di riservatezza, senza base giuridica idonea;
- ha agito in contrasto con i principi di liceità, finalità determinata e minimizzazione (art. 5, par. 1, lett. a, b e c, GDPR).
5. La disciplina di settore e l’inutilizzabilità dei dati trattati in violazione della normativa
A rafforzare il giudizio di illiceità del trattamento vi è il mancato rispetto delle disposizioni nazionali più specifiche in ambito lavorativo, richiamate espressamente dall’art. 88 GDPR e recepite nell’art. 113 del Codice Privacy (D.lgs. 196/2003). Quest’ultima disposizione impone l’osservanza dell’art. 8 dello Statuto dei lavoratori e dell’art. 10 del D.lgs. 276/2003, anche da parte del datore di lavoro privato.
L’art. 8 L. 300/1970 vieta ogni indagine, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, e su fatti non rilevanti ai fini della valutazione dell’attitudine professionale. È rilevante che il divieto si riferisca non solo alla raccolta diretta, ma anche all’utilizzo di informazioni trasmesse da terzi, se queste sono finalizzate a valutazioni disciplinari. Lo stesso vale per l’art. 10 del D.lgs. 276/2003, che rafforza la tutela della dignità dei lavoratori nel mercato del lavoro aperto.
Nel caso concreto, i commenti ambientali della dipendente pubblicati su Facebook, le sue divergenze con un rappresentante del WWF espresse via Messenger, e le considerazioni inviate su WhatsApp a colleghi, pur se critiche verso l’azienda, non erano legate allo svolgimento delle mansioni, né incidevano sull’attitudine professionale. L’art. 113 del Codice Privacy vieta espressamente il trattamento di dati non pertinenti, anche se ottenuti senza un’attività investigativa attiva.
Il Garante ha inoltre richiamato l’art. 2-decies del Codice Privacy, che introduce il principio di inutilizzabilità del dato trattato in violazione della disciplina. Tale norma, ispirata a criteri sostanziali, impedisce l’uso dei dati illecitamente trattati, a prescindere dalla loro veridicità o utilità per il datore. L’utilizzo, in sede disciplinare, di comunicazioni riservate o contenuti estranei al rapporto di lavoro, acquisiti al di fuori di procedure trasparenti, viola tale principio e priva il trattamento di efficacia giuridica.
Infine, il Garante ha chiarito che la social media policy aziendale, richiamata da ASPI per giustificare l’uso dei contenuti social, non è idonea a legittimare il trattamento in assenza dei presupposti richiesti dal Regolamento. La reclamante non ha violato alcuna regola interna espressa, né ha divulgato contenuti aziendali protetti. Inoltre, l’adozione di policy interne non può mai derogare alle norme imperative poste a tutela dei diritti fondamentali, tra cui la protezione della vita privata (art. 8 CEDU; art. 7 della Carta dei diritti fondamentali dell’UE).
6. Le conseguenze sanzionatorie: l’ordinanza-ingiunzione e i criteri ex art. 83 GDPR
L’Autorità ha irrogato una sanzione pecuniaria ai sensi dell’art. 83, par. 5, lett. a) e d) GDPR, adottando un’ordinanza-ingiunzione (art. 166 Codice Privacy). Ha applicato i criteri dell’art. 83, par. 2 GDPR, valorizzando:
- la gravità della violazione e il tipo di dati trattati;
- il comportamento colposo della Società;
- la recidiva (provvedimento n. 529/2023);
- la cooperazione dimostrata nel procedimento come fattore attenuante.
La sanzione è stata definita nel rispetto dei principi di effettività, proporzionalità e dissuasività (art. 83, par. 1 GDPR), tenendo conto anche della situazione economica della Società (art. 83, par. 2, lett. k)).
7. Conclusioni: il bilanciamento tra potere disciplinare e tutela dei dati personali
Il provvedimento n. 288/2025 segna un’importante riaffermazione del primato del diritto alla riservatezza nel contesto del rapporto di lavoro. Anche quando i contenuti personali sono spontaneamente trasmessi da terzi, il datore di lavoro non può prescinderne dal rispetto della normativa sul trattamento dei dati personali. Ogni uso disciplinare di informazioni personali deve essere preceduto da un rigoroso test di liceità e proporzionalità, documentato e giustificato. Il principio di inutilizzabilità ex art. 2-decies Codice Privacy costituisce, infine, il necessario corollario di un sistema che pone al centro la tutela della dignità del lavoratore nel mondo digitale.
Avv. Adamo Brunetti
