Whatsapp e privacy sul lavoro: il numero personale diventa una violazione

Aggiungere una dipendente a un gruppo WhatsApp usando il suo numero privato senza consenso? Non è solo una leggerezza, è una violazione grave. Lo ha ricordato con chiarezza l’Agenzia spagnola per la protezione dei dati (AEPD) nel provvedimento n. EXP202310848, sanzionando LVMH Iberia, S.L. con una multa di 70.000 euro. E no, non basta dire “mancavano i cellulari aziendali”: la base giuridica non si improvvisa. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon

1. Il caso: tra gruppi WhatsApp e “uso eccezionale” dei dispositivi personali

Tutto nasce da una vicenda apparentemente banale, ma rivelatrice: una dipendente del gruppo LVMH lamenta di essere stata obbligata a usare il proprio numero personale per lavorare, in attesa di un cellulare aziendale che però non è mai arrivato. Durante una vacanza, la lavoratrice comunica via email di voler interrompere l’uso del numero privato per questioni lavorative e lascia spontaneamente il gruppo WhatsApp aziendale.
Il punto di rottura? Pochi giorni dopo, il suo numero viene reinserito nel gruppo, senza alcun consenso e senza alcun terminale aziendale a disposizione. L’azienda si difende sostenendo che l’inserimento era limitato a dipendenti e motivato da esigenze organizzative, vista l’indisponibilità temporanea dei dispositivi aziendali.
L’AEPD, tuttavia, non ha esitazioni: si tratta di un trattamento di dati personali privo di qualsiasi base giuridica, e quindi illecito. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon

2. Il numero di cellulare personale è (ancora) un dato personale

Può sembrare ovvio, ma non lo è per tutti. L’AEPD ribadisce con forza un principio fondamentale del GDPR: il numero di cellulare personale di un dipendente è un dato personale ai sensi dell’art. 4, par. 1, GDPR. Di conseguenza, ogni utilizzo da parte del datore di lavoro per fini organizzativi o comunicativi rientra nella nozione di “trattamento”, ai sensi dell’art. 4, par. 2.
Il fatto che il numero fosse già stato usato nel contesto lavorativo (perché fornito in precedenza, magari informalmente) non autorizza un uso continuativo, né tanto meno una reintegrazione non richiesta in canali di comunicazione aziendali, come i gruppi WhatsApp.

3. Il nodo giuridico: nessuna base tra quelle dell’art. 6 GDPR

Il cuore della decisione dell’autorità spagnola è chiaro e inappuntabile: nessuna delle basi giuridiche previste dall’art. 6, par. 1 del GDPR può essere validamente richiamata nel caso specifico.

• Non vi era consenso (art. 6.1, lett. a): la dipendente aveva espressamente comunicato la volontà di non usare più il numero personale.
• Non vi era necessità contrattuale (art. 6.1, lett. b): l’uso del numero personale non era previsto dal contratto, né strumentale all’esecuzione dello stesso.
• Non vi erano interessi legittimi preponderanti (art. 6.1, lett. f): la gestione interna tramite WhatsApp non supera, in bilanciamento, i diritti e le libertà fondamentali della lavoratrice.

E neppure una policy interna può salvare la situazione. Disporre di una policy BYOD non legittima di per sé il trattamento se questa è in contrasto con la normativa: lo ribadisce l’AEPD, sottolineando che la mera predisposizione di regole aziendali sull’uso dei dispositivi non esonera il titolare dal rispetto degli obblighi di liceità, necessità e minimizzazione.

Potrebbero interessarti anche:

• Chat control: sicurezza o sorveglianza? Anatomia critica di un regolamento europeo
• Pseudonimizzazione dei dati e obblighi informativi del titolare
• Bannare Whatsapp dai dispositivi governativi: quando la cybersecurity diventa geopolitica

4. Una sanzione “molto grave” – e il precedente che parla chiaro

L’Autorità spagnola ha classificato l’infrazione come molto grave, proponendo inizialmente una sanzione da 70.000 euro. La somma è stata ridotta del 40% in virtù del pagamento volontario e del riconoscimento di responsabilità da parte dell’azienda, ma resta un segnale forte e inequivocabile: anche una comunicazione apparentemente innocua – come aggiungere un numero a un gruppo – può diventare trattamento illecito se non è coperta da base giuridica.
La decisione non si ferma alla sanzione pecuniaria: l’AEPD ha infatti ordinato a LVMH Iberia di adottare misure correttive, documentando l’adozione di processi conformi alla normativa per l’utilizzo dei dati di contatto dei dipendenti. In particolare, l’uso dei numeri privati deve essere evitato o comunque subordinato alla presenza di una base giuridica adeguata.

5. Riflessioni operative (e giuridiche): un altro caso da incorniciare

Questo caso dimostra, una volta di più, che la gestione dei dati personali dei dipendenti non è terreno franco, né può essere sacrificata sull’altare della comodità organizzativa.
Per chi si occupa di compliance privacy in ambito HR, i takeaway sono netti:

• Mai dare per scontato il consenso, soprattutto se espresso informalmente e in un contesto di subordinazione;
• Mai sostituire la base giuridica con la prassi aziendale;
• Mai utilizzare strumenti di messaggistica privati (es. WhatsApp) come canali aziendali senza una policy strutturata, formazione e base giuridica chiara.

E per chi fa il DPO, come noi, è un’occasione utile per rispolverare DPIA, informative interne e regole sul bring your own device (BYOD), perché ogni smartphone è un piccolo hard disk ambulante, e ogni gruppo WhatsApp un potenziale data breach.

6. In conclusione: la privacy non si gestisce “per consuetudine”

Ci si potrebbe chiedere se tutto questo sia davvero proporzionato. “È solo un numero di telefono, mica un dato sanitario!”. Ma la risposta è già nel GDPR: non esistono dati personali di serie A e di serie B, esistono trattamenti leciti e illeciti.
Nel mondo del lavoro, la protezione dei dati è spesso vista come un ostacolo. In realtà, è una lente con cui rileggere i rapporti di potere, le dinamiche organizzative, e persino le scelte tecnologiche più banali. Perché aggiungere qualcuno a un gruppo WhatsApp non è solo un gesto di praticità: è un trattamento. E come tale, va governato.
Anche in azienda, anche se è solo “per comodità”, anche se “lo fanno tutti”.
E se proprio serve una regola d’oro, eccola: se non puoi spiegare il trattamento al Garante senza arrossire, forse è meglio non farlo.

Formazione in materia per professionisti

Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!