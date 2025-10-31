Aggiungere una dipendente a un gruppo WhatsApp usando il suo numero privato senza consenso? Non è solo una leggerezza, è una violazione grave. Lo ha ricordato con chiarezza l’Agenzia spagnola per la protezione dei dati (AEPD) nel provvedimento n. EXP202310848, sanzionando LVMH Iberia, S.L. con una multa di 70.000 euro. E no, non basta dire “mancavano i cellulari aziendali”: la base giuridica non si improvvisa. In materia di cybersicurezza, abbiamo organizzato il corso Master in Compliance Management – Come realizzare un sistema di governance integrato. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Il caso: tra gruppi WhatsApp e “uso eccezionale” dei dispositivi personali
- 2. Il numero di cellulare personale è (ancora) un dato personale
- 3. Il nodo giuridico: nessuna base tra quelle dell’art. 6 GDPR
- 4. Una sanzione “molto grave” – e il precedente che parla chiaro
- 5. Riflessioni operative (e giuridiche): un altro caso da incorniciare
- 6. In conclusione: la privacy non si gestisce “per consuetudine”
1. Il caso: tra gruppi WhatsApp e “uso eccezionale” dei dispositivi personali
Tutto nasce da una vicenda apparentemente banale, ma rivelatrice: una dipendente del gruppo LVMH lamenta di essere stata obbligata a usare il proprio numero personale per lavorare, in attesa di un cellulare aziendale che però non è mai arrivato. Durante una vacanza, la lavoratrice comunica via email di voler interrompere l’uso del numero privato per questioni lavorative e lascia spontaneamente il gruppo WhatsApp aziendale.
Il punto di rottura? Pochi giorni dopo, il suo numero viene reinserito nel gruppo, senza alcun consenso e senza alcun terminale aziendale a disposizione. L’azienda si difende sostenendo che l’inserimento era limitato a dipendenti e motivato da esigenze organizzative, vista l’indisponibilità temporanea dei dispositivi aziendali.
2. Il numero di cellulare personale è (ancora) un dato personale
Può sembrare ovvio, ma non lo è per tutti. L’AEPD ribadisce con forza un principio fondamentale del GDPR: il numero di cellulare personale di un dipendente è un dato personale ai sensi dell’art. 4, par. 1, GDPR. Di conseguenza, ogni utilizzo da parte del datore di lavoro per fini organizzativi o comunicativi rientra nella nozione di “trattamento”, ai sensi dell’art. 4, par. 2.
Il fatto che il numero fosse già stato usato nel contesto lavorativo (perché fornito in precedenza, magari informalmente) non autorizza un uso continuativo, né tanto meno una reintegrazione non richiesta in canali di comunicazione aziendali, come i gruppi WhatsApp.
3. Il nodo giuridico: nessuna base tra quelle dell’art. 6 GDPR
Il cuore della decisione dell’autorità spagnola è chiaro e inappuntabile: nessuna delle basi giuridiche previste dall’art. 6, par. 1 del GDPR può essere validamente richiamata nel caso specifico.
- Non vi era consenso (art. 6.1, lett. a): la dipendente aveva espressamente comunicato la volontà di non usare più il numero personale.
- Non vi era necessità contrattuale (art. 6.1, lett. b): l’uso del numero personale non era previsto dal contratto, né strumentale all’esecuzione dello stesso.
- Non vi erano interessi legittimi preponderanti (art. 6.1, lett. f): la gestione interna tramite WhatsApp non supera, in bilanciamento, i diritti e le libertà fondamentali della lavoratrice.
E neppure una policy interna può salvare la situazione. Disporre di una policy BYOD non legittima di per sé il trattamento se questa è in contrasto con la normativa: lo ribadisce l’AEPD, sottolineando che la mera predisposizione di regole aziendali sull’uso dei dispositivi non esonera il titolare dal rispetto degli obblighi di liceità, necessità e minimizzazione.
4. Una sanzione “molto grave” – e il precedente che parla chiaro
L’Autorità spagnola ha classificato l’infrazione come molto grave, proponendo inizialmente una sanzione da 70.000 euro. La somma è stata ridotta del 40% in virtù del pagamento volontario e del riconoscimento di responsabilità da parte dell’azienda, ma resta un segnale forte e inequivocabile: anche una comunicazione apparentemente innocua – come aggiungere un numero a un gruppo – può diventare trattamento illecito se non è coperta da base giuridica.
La decisione non si ferma alla sanzione pecuniaria: l’AEPD ha infatti ordinato a LVMH Iberia di adottare misure correttive, documentando l’adozione di processi conformi alla normativa per l’utilizzo dei dati di contatto dei dipendenti. In particolare, l’uso dei numeri privati deve essere evitato o comunque subordinato alla presenza di una base giuridica adeguata.
5. Riflessioni operative (e giuridiche): un altro caso da incorniciare
Questo caso dimostra, una volta di più, che la gestione dei dati personali dei dipendenti non è terreno franco, né può essere sacrificata sull’altare della comodità organizzativa.
Per chi si occupa di compliance privacy in ambito HR, i takeaway sono netti:
- Mai dare per scontato il consenso, soprattutto se espresso informalmente e in un contesto di subordinazione;
- Mai sostituire la base giuridica con la prassi aziendale;
- Mai utilizzare strumenti di messaggistica privati (es. WhatsApp) come canali aziendali senza una policy strutturata, formazione e base giuridica chiara.
E per chi fa il DPO, come noi, è un’occasione utile per rispolverare DPIA, informative interne e regole sul bring your own device (BYOD), perché ogni smartphone è un piccolo hard disk ambulante, e ogni gruppo WhatsApp un potenziale data breach.
6. In conclusione: la privacy non si gestisce “per consuetudine”
Ci si potrebbe chiedere se tutto questo sia davvero proporzionato. “È solo un numero di telefono, mica un dato sanitario!”. Ma la risposta è già nel GDPR: non esistono dati personali di serie A e di serie B, esistono trattamenti leciti e illeciti.
Nel mondo del lavoro, la protezione dei dati è spesso vista come un ostacolo. In realtà, è una lente con cui rileggere i rapporti di potere, le dinamiche organizzative, e persino le scelte tecnologiche più banali. Perché aggiungere qualcuno a un gruppo WhatsApp non è solo un gesto di praticità: è un trattamento. E come tale, va governato.
Anche in azienda, anche se è solo “per comodità”, anche se “lo fanno tutti”.
E se proprio serve una regola d’oro, eccola: se non puoi spiegare il trattamento al Garante senza arrossire, forse è meglio non farlo.
