Uso improprio dei social e procedure disciplinari: multata Autostrade

L’Autorità Garante per la protezione dei dati personali ha comminato una multa di 420.000 euro ad Autostrade per l’Italia S.p.a. per aver impiegato impropriamente informazioni personali per avviare un procedimento disciplinare nei confronti di una lavoratrice (provvedimento 21.05.2025, n. 288, pubblicato nella newsletter 25.06.2025, n. 536). La vicenda mette in luce alcuni aspetti significativi riguardanti l’equilibrio tra controllo legittimo dell’attività lavorativa e protezione della privacy individuale, particolarmente rilevanti nell’era digitale dove le informazioni personali sono facilmente reperibili attraverso le piattaforme online.

L’Autorità ha individuato 2 aspetti distinti di violazione della disciplina in materia: in primo luogo, l’assenza di una base giuridica adeguata e la violazione del principio di finalità nel trattamento dei dati raccolti in ambiti privati o riservati; in secondo luogo, l’impiego improprio di informazioni extra-professionali, ossia dati non correlati all’attività lavorativa e pertanto non utilizzabili a fini disciplinari. La dipendente aveva infatti presentato reclamo all’Autorità, denunciando il trattamento illegittimo dei propri dati, includendo l’uso scorretto di informazioni estratte da conversazioni su piattaforme social e di messaggistica per finalità connesse al rapporto lavorativo. Nel delineare la disciplina applicabile, l’Autorità ha evidenziato che il datore di lavoro può processare i dati personali dei dipendenti, inclusi quelli relativi a “categorie particolari”, quando il trattamento risulti necessario per adempiere un obbligo legale o per l’esecuzione di un contratto di cui l’interessato è parte. Per i dati “ordinari”, il titolare del trattamento può effettuare operazioni di elaborazione quando ciò sia necessario per perseguire un legittimo interesse, purché non prevalgano gli interessi o i diritti fondamentali dell’interessato. Il responsabile del trattamento deve rispettare, in particolare, i principi di liceità, correttezza e trasparenza, di limitazione delle finalità e di minimizzazione dei dati previsti dal GDPR.

Nel caso di specie è emerso che la società aveva formulato 2 contestazioni disciplinari utilizzando, oltre ad altri elementi, il contenuto di comunicazioni effettuate dalla ricorrente attraverso Facebook, Messenger e WhatsApp. Nello specifico, l’azienda, dopo aver ricevuto tramite WhatsApp alcuni screenshot del profilo Facebook e degli account di messaggistica della dipendente da parte di alcuni partecipanti alle conversazioni, aveva deciso di impiegarli nel procedimento disciplinare, pur non avendo condotto ricerche dirette sui social network o sulle piattaforme di messaggistica. Secondo l’Autorità, l’assenza di un ruolo attivo della società nella ricerca delle informazioni non rileva ai fini dell’identificazione dell’attività consistente nel successivo utilizzo nel procedimento disciplinare come “trattamento”, rappresentandone soltanto una delle possibili manifestazioni.

I contenuti erano stati impiegati dal datore di lavoro senza una base giuridica valida (art. 6 GDPR). L’Autorità ha precisato che i dati personali pubblicati sui social network o disponibili online non possono essere utilizzati indiscriminatamente per qualsiasi scopo, semplicemente perché accessibili a un numero variabile di persone. Con la sua condotta, la società ha violato i principi di liceità, finalità e minimizzazione, considerando anche l’inutilizzabilità dei dati personali trattati in violazione della normativa in argomento. Nel giustificare la sanzione, proporzionata alla gravità della violazione e al volume d’affari aziendale, l’Autorità ha evidenziato che, una volta verificato il carattere privato delle conversazioni e dei commenti pubblicati in ambienti digitali ad accesso ristretto, l’azienda avrebbe dovuto rinunciare al loro utilizzo, considerata la manifesta violazione dei principi fondamentali del trattamento dati.

A sostegno di tali argomentazioni, l’Autorità si è basata sulle valutazioni espresse dalla Corte di Cassazione nella sentenza 7.10.2014, n. 21107, secondo cui l’acquisizione di informazioni sui dipendenti configura sempre un trattamento di dati soggetto a limiti specifici e la pubblicazione online di dati personali non implica il consenso al loro utilizzo per finalità diverse da quelle originarie.