C’è ancora chi pensa che la privacy dei lavoratori nella procedura di licenziamento sia un tema da relegare ai tecnici, ai giuristi e ai DPO con troppo tempo libero e pochi problemi giuridici veramente significativi da affrontare. Ma il provvedimento del Garante per la protezione dei dati personali del 16 novembre 2023 (doc. web n. 9960854), con cui è stata inflitta ad Autostrade per l’Italia una sanzione di 420.000 euro, è un promemoria per tutti: la protezione dei dati non è una questione burocratica, è giustizia sostanziale. E nel rapporto di lavoro subordinato è garanzia di legalità.
Quando un datore di lavoro si serve di messaggi privati, commenti su Facebook visibili solo ad amici selezionati, conversazioni via Messenger o WhatsApp per avviare un procedimento disciplinare e licenziare una dipendente, non siamo nel campo del controllo legittimo. Siamo nel territorio dell’illecito trattamento dei dati personali, con tutte le conseguenze del caso. Come strumento operativo per il professionista, potrebbe interessarti il volume Il nuovo processo del lavoro dopo la Riforma Cartabia – Questioni organizzative e applicazioni pratiche. Per approfondimenti sul nuovo diritto del lavoro, abbiamo organizzato il corso di formazione Corso avanzato di diritto del lavoro -Il lavoro che cambia: gestire conflitti, contratti e trasformazioni.
Indice
- 1. I fatti: quando il social entra nel fascicolo disciplinare per il licenziamento
- 2. Il quadro normativo: i principi violati
- 3. Comunicazioni private: tutela costituzionale e giurisprudenza europea
- 4. L’illusione dell’accesso passivo: il trattamento è comunque illecito
- 5. Il legittimo interesse non è un asso pigliatutto
- 6. Dati pubblici? Non è detto. E comunque non basta
- 7. Il principio di responsabilizzazione tradito
- 8. Conclusione: una cultura aziendale da ripensare
- Formazione per professionisti
- Ti interessano questi contenuti?
1. I fatti: quando il social entra nel fascicolo disciplinare per il licenziamento
Nel 2021, Autostrade per l’Italia ha avviato un procedimento disciplinare nei confronti di una dipendente, fondandolo su:
- post pubblicati su un profilo Facebook personale e non pubblico;
- messaggi privati scambiati su Messenger e WhatsApp;
- conversazioni tra colleghi, presumibilmente trasmesse all’azienda tramite canali interni.
Tali contenuti sono stati raccolti, analizzati e utilizzati come prova per giustificare il licenziamento. La lavoratrice ha quindi presentato reclamo al Garante, denunciando l’assenza di un’informazione preventiva e la totale opacità delle modalità di raccolta.
2. Il quadro normativo: i principi violati
Il Garante ha riscontrato la violazione di diverse disposizioni del GDPR:
- art. 5, par. 1, lett. a): liceità, correttezza e trasparenza del trattamento;
- art. 6: assenza di una base giuridica valida;
- art. 13: mancanza di un’adeguata informativa;
- art. 88 del GDPR, in combinato disposto con l’art. 113 del Codice Privacy.
3. Comunicazioni private: tutela costituzionale e giurisprudenza europea
Il cuore della questione è la natura privata delle comunicazioni digitali. La Corte costituzionale (sent. n. 170/2023) ha ribadito che messaggi su WhatsApp, Messenger, SMS o e-mail rientrano pienamente nella tutela dell’art. 15 Cost., al pari della corrispondenza cartacea.
Anche la CEDU, con sentenze come Copland v. UK e Bărbulescu v. Romania, ha confermato che le comunicazioni elettroniche nel contesto lavorativo sono protette dall’art. 8 CEDU. Il fatto che siano avvenute in ambiente digitale non ne annulla la riservatezza.
Potrebbero interessarti anche:
4. L’illusione dell’accesso passivo: il trattamento è comunque illecito
La difesa di Autostrade si è basata sull’assunto che l’azienda non avesse svolto un’indagine, ma semplicemente ricevuto contenuti da colleghi. Il Garante ha chiarito che è sufficiente acquisire, conservare e utilizzare dati per configurare un trattamento (art. 4, par. 1, n. 2 GDPR).
Lo ha ribadito anche la Cassazione in più occasioni: il datore viola la riservatezza anche quando legge messaggi privati trasmessi da uno dei partecipanti alla conversazione. Ciò che rileva è la natura privata della comunicazione, non chi la inoltra.
5. Il legittimo interesse non è un asso pigliatutto
Autostrade ha tentato di legittimare il trattamento ai sensi dell’art. 6, par. 1, lett. f) GDPR, richiamando un proprio interesse a tutelare l’integrità organizzativa. Ma tale interesse va sempre bilanciato con i diritti e le libertà fondamentali dell’interessato e il test di bilanciamento va fatto prima e non a posteriori.
In mancanza di un test di bilanciamento documentato e di una valutazione d’impatto, il trattamento si rivela sproporzionato e invasivo. La Cassazione (sent. n. 21107/2014) ha chiarito che la presenza online di dati personali non equivale a consenso implicito al loro riutilizzo per fini differenti.
6. Dati pubblici? Non è detto. E comunque non basta
Anche qualora i dati fossero stati accessibili ad altri utenti, la loro pubblicazione su social o chat non li rende automaticamente utilizzabili per finalità disciplinari. Come affermato dal Gruppo Art. 29 e ribadito dal Garante, la “pubblicità” non equivale a liceità.
Nel caso concreto, i post vertevano su opinioni personali e riflessioni ambientali, in ambienti non pubblici. Nessun nesso funzionale con le mansioni. Nessuna pertinenza. Nessuna minimizzazione.
7. Il principio di responsabilizzazione tradito
Il GDPR impone al titolare di dimostrare la conformità del trattamento (art. 5, par. 2). Autostrade non ha fornito alcun documento attestante:
- l’esistenza di un test di bilanciamento;
- la valutazione di necessità e proporzionalità;
- l’adozione di misure per limitare l’invasività.
Semplicemente: ha ricevuto i dati e li ha usati. Ma la sequenza corretta è opposta: prima si valuta, poi si tratta.
8. Conclusione: una cultura aziendale da ripensare
Questo caso è emblematico. Dimostra che:
- le comunicazioni digitali sono tutelate al pari di quelle cartacee;
- la riservatezza non decade con la trasmissione da parte di un collega;
- la protezione dei dati non è un ostacolo al potere disciplinare, ma il suo argine legittimo;
- l’accountability non si improvvisa.
Chi oggi vuole esercitare controllo sui lavoratori, deve prima esercitare controllo sulla propria conformità normativa e sul proprio livello di accountability.
Altrimenti, come ha dimostrato questo caso, sarà il Garante a presentare il conto. E sarà salato.
Formazione per professionisti
Corso avanzato di diritto del lavoro -Il lavoro che cambia: gestire conflitti, contratti e trasformazioni
Il corso intende esaminare, con taglio operativo, le principali novità e criticità nella gestione del rapporto di lavoro privato. Norme, tecnologie e organizzazione del lavoro stanno cambiando: questo percorso aiuta a orientarsi tra i principali temi critici, offrendo strumenti concreti per affrontare le scelte contrattuali, organizzative e gestionali in ambito giuslavoristico.
Un ciclo di quattro incontri con casi pratici, prassi applicative e risposte operative:
● Licenziamenti individuali e collettivi: obblighi procedurali, contenzioso, accordi di uscita
● Lavoro autonomo e parasubordinato: confronto tra i diversi regimi contrattuali, tutele previdenziali e assicurative
● Mobilità internazionale: distacco, permessi di soggiorno, aspetti fiscali e gestione contrattuale
● Lavoro digitale e smart working: diritto alla disconnessione, privacy, controlli a distanza e controlli tecnologici
Il corso è pensato per offrire un supporto ai professionisti che si occupano di diritto del lavoro, con attenzione alle ricadute pratiche delle scelte contrattuali e gestionali, con un approccio concreto e orientato alla pratica professionale quotidiana.
Crediti formativi per avvocati
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento