Il Garante per la privacy ha inflitto una multa di 420mila euro ad Autostrade per l’Italia SpA per aver violato la privacy e trattato in modo illecito i dati di una dipendente, poi utilizzati per motivarne il licenziamento.
Questa decisione ribadisce con forza che anche in ambito aziendale non tutto è lecito solo perché è accessibile: il rispetto della privacy resta un diritto imprescindibile, anche nel tempo dei social e delle chat.
La vicenda è emersa a seguito di un reclamo presentato dalla lavoratrice, che ha denunciato l’uso di conversazioni private e contenuti tratti dai social per giustificare l’apertura di procedimenti disciplinari nei suoi confronti.
Secondo quanto ricostruito dall’Autorità, la società avrebbe acquisito schermate di messaggi scambiati su Messenger e WhatsApp, oltre a post e commenti pubblicati su Facebook, attraverso la collaborazione di colleghi e un terzo soggetto presenti tra i contatti della lavoratrice.
Le informazioni, raccolte da ambienti digitali a accesso riservato, sono state impiegate per contestazioni legate alla sua condotta professionale, pur trattandosi di scambi avvenuti al di fuori del contesto lavorativo e irrilevanti ai fini della valutazione dell’attività svolta.
Privacy violata, multa salata per Autostrade per l’Italia: uso illecito di dati personali
Il Garante ha evidenziato che il comportamento di Autostrade per l’Italia ha rappresentato una violazione sostanziale del Regolamento generale sulla protezione dei dati (GDPR), in particolare per quanto riguarda tre principi cardine: liceità del trattamento, limitazione delle finalità e minimizzazione dei dati.
In primo luogo, il principio di liceità impone che ogni trattamento di dati personali debba poggiare su una base giuridica solida – come il consenso esplicito, un obbligo legale o un interesse legittimo chiaramente dimostrabile. Nel caso specifico, l’azienda non ha fornito alcuna motivazione giuridicamente fondata per giustificare l’acquisizione e l’uso delle conversazioni private, che risultavano condivise in ambienti digitali chiusi e accessibili solo a una cerchia ristretta di persone.
Sul piano della finalità, il GDPR stabilisce che i dati debbano essere raccolti ed elaborati solo per scopi determinati, espliciti e legittimi. L’impiego, invece, di messaggi estrapolati da chat personali e social network per motivare provvedimenti disciplinari – senza che quei contenuti avessero alcun legame diretto con la prestazione lavorativa – ha violato questa norma, poiché si è trattato di un utilizzo estraneo rispetto alle finalità originarie della comunicazione.
Infine, il principio di minimizzazione prevede che debbano essere trattati solo i dati strettamente necessari per il raggiungimento delle finalità dichiarate. Nel caso in esame, Autostrade per l’Italia ha utilizzato un ampio volume di informazioni private, spesso irrilevanti dal punto di vista professionale, andando ben oltre quanto sarebbe stato eventualmente ammissibile anche in presenza di una base giuridica.
Accessibilità online dei dati non autorizza il loro trattamento
Il Garante ha quindi chiarito che la semplice accessibilità online di certe informazioni non equivale a un’autorizzazione implicita al loro trattamento, soprattutto se si tratta di contenuti inseriti in contesti non pubblici, come chat private o post condivisi solo con “amici” selezionati. Anche su internet, la privacy conserva pieno valore giuridico, e le comunicazioni personali non perdono il loro carattere riservato solo perché avvengono su piattaforme digitali.
L’Autorità ha inoltre richiamato i datori di lavoro a un rigoroso rispetto del principio di proporzionalità, che impone di bilanciare il potere disciplinare con i diritti fondamentali del dipendente, tra cui la riservatezza, la libertà di espressione e la segretezza della corrispondenza. In questo caso, l’azienda ha fatto leva su contenuti che non solo non erano stati acquisiti in modo corretto, ma che non avevano neppure rilevanza diretta sul piano professionale, rendendo così l’intero procedimento disciplinare viziato da gravi irregolarità.
I motivi dell’importo della sanzione
Nel definire l’importo della sanzione, il Garante ha valutato attentamente l’impatto della condotta sull’integrità dei diritti della persona coinvolta e, al tempo stesso, la rilevanza economica del soggetto sanzionato, adottando un approccio proporzionato ma fermo.
L’uso improprio dei dati personali, in un contesto così delicato come quello lavorativo, ha rappresentato una grave lesione del diritto alla protezione dei dati, ribadendo che il rispetto della privacy non è un’opzione, ma un obbligo preciso e vincolante per chiunque gestisca informazioni sensibili.
