Attenzione a quali dati si usano per licenziare un lavoratore o una lavoratrice, perché si rischia una sorta di effetto boomerang. Lo ha spiegato il Garante Privacy che recentemente ha sanzionato Autostrade Spa per la cifra di 420mila euro. Quest’ultima è stata infatti ritenuta responsabile di aver trattato illecitamente i dati personali di una sua lavoratrice, per giustificarne il licenziamento disciplinare.
Vediamo insieme il caso concreto e la decisione dell’Authority, perché al di là della punizione inflitta alla società datrice, offre una serie di spunti utili a orientare le attività aziendali e i procedimenti disciplinari. Ma soprattutto invita a prestare la dovuta cautela in tema di utilizzo di dati personali, in modo da evitare conseguenze impreviste.
Indice
Licenziata per i messaggi su Facebook e le chat di WhatsApp
L’intervento dell’Authority segue il reclamo di una dipendente che ricopriva la mansione di esattore presso una stazione autostradale, e che scelse di tutelare la propria riservatezza segnalando l’individuazione, la raccolta e l’utilizzo, da parte della società datrice, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp, per motivare contestazione ed espulsione dall’ufficio.
La donna lamentava la violazione delle regole sul trattamento dei dati personali, di cui al Codice Privacy e al Gdpr.
In particolare, sul sito web del Garante si indica che, dagli accertamenti svolti a seguito della segnalazione della dipendente:
Tra i contenuti utilizzati figuravano anche stralci virgolettati di commenti e descrizioni di foto ed è emerso che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli amici della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e WhatsApp.
Dopo l’esame delle dichiarazioni rese all’Autorità nel procedimento, come pure della documentazione acquisita, è risultato che la società datrice, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, non rispettose della disciplina sulla protezione dei dati personali.
In sostanza, le comunicazioni digitali riguardavano opinioni e scambi avuti in contesti estranei all’attività d’ufficio. Quindi non avrebbero dovuto essere utilizzati ai fini della valutazione dell’idoneità professionale e di una successiva sanzione disciplinare come il licenziamento.
La violazione dei principi della normativa privacy
Nel punire la condotta di Autostrade Spa, il Garante ha anche evidenziato che la società datrice, essendo consapevole del carattere assolutamente privato di conversazioni e commenti della donna – e pubblicati peraltro in ambienti digitali ad accesso limitato – avrebbe dovuto astenersi dall’usarli per licenziarla.
In sintesi, il ricorso a queste informazioni squisitamente extralavorative per trarne conseguenze lavorative – ha violato i principi di liceità, correttezza, finalità e minimizzazione previsti dal Codice Privacy e dal Gdpr. Non c’era, quindi, un’idonea base giuridica che giustificasse il trattamento dei dati.
Per questo l’Authority ha tenuto a precisare che i dati personali presenti sui social network o accessibili via internet non possono essere sfruttati in modo libero e per ogni possibile scopo, soltanto perché visibili a una platea più o meno ampia di soggetti. Anzi, in questo specifico caso, la platea era ristretta e questo aspetto, sottolinea il Garante:
ha comportato quindi una legittima aspettativa di riservatezza della reclamante sui contenuti condivisi con una cerchia determinata di destinatari, tenuto conto che si trattava di una comunicazione avvenuta nell’ambito di una chat, su un gruppo chiuso di Facebook, con la conseguenza che l’utilizzo di tali contenuti da parte di un terzo (in questo caso il datore di lavoro) avrebbe necessariamente richiesto l’effettuazione di un previo bilanciamento tra i diritti e gli interessi delle parti coinvolte (Cass. sez. lav., 10/9/2018, n. 21965).
Utilizzo dei dati personali del dipendente: i limiti
Come ha sottolineato l’Authority, ogni azienda deve bilanciare l’utilizzo dei dati personali con la tutela dei diritti e delle libertà fondamentali degli lavoratori.
Lo ha già ricordato in passato la Cassazione, con la sentenza n. 21965/2018. Nelle modalità suddette, l’uso dei dati online e dei messaggi scambiati su canali privati di comunicazione per incastrare la lavoratrice e allontanarla dall’azienda, ha significato anche violare segretezza e riservatezza della corrispondenza, posto che:
la garanzia della libertà e segretezza della corrispondenza privata e il diritto alla riservatezza nel rapporto di lavoro costituiscono presidi della dignità del lavoratore.
Al contempo il Garante ha respinto le difese della società, secondo la quale i trattamenti di dati sarebbero stati lecitamente compiuti, sulla base del proprio legittimo interesse consistente nelle:
finalità di tutela dei propri diritti ed esercizio delle prerogative connesse alla gestione del contratto di lavoro.
In particolare l’art. 6, par. 1, lett. f) del Gdpr prevede che un trattamento possa essere legalmente effettuato se:
necessario per il perseguimento del legittimo interesse del titolare del trattamento […] a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Sostanzialmente il Regolamento prevede quindi che il titolare, prima dell’inizio dei trattamenti, effettui un test di bilanciamento con i diritti e le libertà fondamentali dell’interessato. Ma, nel corso del procedimento, è emerso che la datrice non ha considerato:
all’esito di una valutazione obiettiva, l’impatto che il trattamento avrebbe potuto avere sui diritti, sulle libertà e sugli interessi dell’interessata.
Maxi sanzione da 420mila euro al datore di lavoro
Non solo. Richiamando un precedente della Corte di giustizia UE (sentenza 4/10/2024, Knltb, C-621-22, punto 45), il Garante ha affermato che interessi e diritti fondamentali dell’interessato prevalgono su quelli del titolare, quando i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente aspettarsi un ingerenza di questo tipo. Ed è proprio il caso riguardante la donna in oggetto.
Ricapitolando il Garante ha deciso per la maxi sanzione pecuniaria di 420mila euro, tenuto anche conto della gravità della violazione e del fatturato della società.
Che cosa cambia per i dipendenti
La decisione dell’Authority (recentemente intervenuta anche in tema di controlli Gps dipendenti) è molto interessante perché ha spiegato quando un datore vìola i principi di liceità, finalità e minimizzazione dei dati di cui al Gdpr.
Una volta venuta a conoscenza che i dati trasmessi riguardavano comunicazioni private e commenti sul profilo Facebook chiuso, la società avrebbe dovuto astenersi dall’uso.
In circostanze analoghe a quelle del caso sopra citato, il trattamento comunque effettuato è sempre una violazione delle leggi vigenti in tema di privacy e comporta una pesante multa del Garante.
Concludendo, il trattamento è illecito perché il contenuto delle informazioni raccolte consiste in opinioni espresse e comunicazioni intervenute in ambiti esterni al rapporto e quindi al di fuori del “perimetro” relativo alla valutazione dell’attitudine professionale.
