Con provvedimento del 21 maggio 2025, il Garante per la Protezione dei Dati Personali ha inflitto una cospicua sanzione economica ad una società italiana per il trattamento illecito dei dati personali di una dipendente. La segnalazione era partita dalla stessa dipendente, secondo cui il proprio datore di lavoro aveva utilizzato in modo improprio alcune conversazioni private a fini disciplinari.
Il caso: chat private usate come prove per il licenziamento
La società aveva ricevuto da altri dipendenti una serie di screenshot di messaggi in cui la lavoratrice si esprimeva con commenti ritenuti diffamatori nei confronti della società. Tali conversazioni sono state utilizzate prima come base per due contestazioni disciplinari, poi come giustificazione per il licenziamento della dipendente.
Tra i contenuti utilizzati figuravano anche scambi di opinioni avvenuti in contesti estranei al rapporto di lavoro, ritenuti poi dal Garante del tutto irrilevanti ai fini della valutazione professionale, ma comunque acquisiti e archiviati dalla società.
La decisione del Garante: violazione dei principi fondamentali del GDPR
Nel motivare il provvedimento sanzionatorio, il Garante ha sottolineato come, in presenza di contenuti dal carattere chiaramente privato, la società avrebbe dovuto astenersi dal trattarli, in quanto in violazione dei principi di liceità, correttezza e pertinenza previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR), a nulla valendo la circostanza per cui era mancato un ruolo “attivo” della società nella raccolta di tali dati che erano stati inviati da altri dipendenti della società.
Secondo l’Autorità, il datore di lavoro non può utilizzare conversazioni private estrapolate da contesti personali per finalità disciplinari, senza una base giuridica legittima e senza rispettare le garanzie previste dalla normativa sulla privacy.
Il richiamo alla Cassazione: consenso e finalità del trattamento
Nella sua analisi, il Garante ha richiamato i principi espressi dalla Corte di Cassazione nella sentenza n. 21107/2014, nella quale si afferma che:
“L’acquisizione di informazioni attinenti al dipendente è, di per sé, sufficiente a integrare un trattamento di dati personali, il cui utilizzo deve rispettare le finalità per cui tali dati sono stati forniti o resi pubblici.”
E ancora:
“L’immissione volontaria di dati personali in rete non comporta automaticamente il consenso al loro utilizzo per qualunque finalità. Il consenso va inteso come riferito esclusivamente agli scopi per i quali la persona ha deciso di renderli disponibili.”
In altre parole, anche se un messaggio è stato diffuso o inoltrato da terzi, ciò non legittima automaticamente il datore di lavoro a farne uso, soprattutto se si tratta di contenuti non pertinenti all’ambito professionale.
Il nodo dell’utilizzabilità in giudizio
Resta aperta la questione dell’utilizzabilità in giudizio di prove acquisite in violazione della normativa sulla privacy.
Il Codice della Privacy (D.lgs. 196/2003) rinvia genericamente alle “pertinenti disposizioni processuali”, mentre il codice di procedura civile – a differenza di quanto previsto in ambito penale – non contiene una norma che escluda esplicitamente l’utilizzabilità delle prove raccolte in modo illegittimo.
Questo vuoto normativo genera incertezza e rende ancora più delicata la gestione di casi come quello in esame, nei quali il bilanciamento tra esigenze datoriali e diritti fondamentali del lavoratore è particolarmente complesso.
Il punto di equilibrio tra controllo e diritto alla riservatezza
La decisione del Garante rappresenta un chiaro monito per i datori di lavoro: il diritto alla riservatezza del lavoratore, garantito anche a livello costituzionale, non può essere sacrificato sull’altare del controllo disciplinare.
L’uso di messaggistica istantanea, dispositivi mobili e strumenti digitali, rende necessaria una gestione attenta e conforme alla normativa in materia di protezione dei dati personali.
In particolare, le società devono:
- definire policy chiare sull’uso degli strumenti di comunicazione;
- evitare trattamenti invasivi o non giustificati;
- predisporre informative trasparenti ai dipendenti;
- rispettare i principi di proporzionalità e pertinenza.
Conclusione: prevenire è obbligatorio, non solo consigliabile
Alla luce di questa vicenda, risulta evidente come una gestione corretta e conforme del rapporto tra controllo aziendale e tutela dei dati personali sia oggi non solo auspicabile, ma indispensabile per prevenire contenziosi, sanzioni e danni reputazionali
In allegato è possibile scaricare il Provvedimento emesso il 21 maggio 2025 dal Garante per la Protezione dei dati personali.
