Sanzione Garante Privacy per utilizzo illecito di dati social nel licenziamento
Il Garante per la protezione dei dati personali ha inflitto una sanzione di 420mila euro a una società autostradale per aver utilizzato illegittimamente contenuti estratti dai social network di una dipendente per giustificarne il licenziamento. La decisione segna un precedente importante nella tutela della privacy dei lavoratori nell'era digitale, chiarendo i limiti entro cui i datori di lavoro possono utilizzare informazioni provenienti dalle piattaforme social.
L'intervento dell'Autorità è scaturito dal reclamo di una lavoratrice che aveva denunciato l'utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da conversazioni private su Messenger e WhatsApp per motivare procedimenti disciplinari culminati nel licenziamento. Tra i materiali utilizzati figuravano stralci virgolettati di commenti e descrizioni di foto, acquisiti attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli "amici" della dipendente su Facebook e attivi nelle sue conversazioni private.
Gli accertamenti del Garante hanno rivelato che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, violando i principi fondamentali della normativa sulla protezione dei dati personali. Le comunicazioni, inoltre, riguardavano opinioni e scambi avvenuti in contesti estranei al rapporto di lavoro, non rilevanti ai fini della valutazione dell'idoneità professionale.
Il Garante ha individuato multiple violazioni della disciplina privacy, in particolare dei principi di liceità, finalità e minimizzazione previsti dal Regolamento generale sulla protezione dei dati (GDPR). L'Autorità ha sottolineato che, una volta accertato il carattere privato delle conversazioni e dei commenti – pubblicati in ambienti digitali ad accesso limitato – la società avrebbe dovuto astenersi dal farne uso.
La decisione si inserisce nel quadro normativo delineato dall'articolo 88 del GDPR, che disciplina il trattamento dei dati personali nell'ambito dei rapporti di lavoro, prevedendo misure specifiche a salvaguardia della dignità umana e dei diritti fondamentali degli interessati. Il Codice della privacy italiano prevede inoltre regole deontologiche specifiche per i trattamenti nell'ambito del rapporto di lavoro.
L'Autorità ha ribadito un principio fondamentale: i dati personali presenti sui social network, o comunque accessibili online, non possono essere utilizzati liberamente e per qualunque scopo, solo perché visibili a una platea più o meno ampia di persone. Questa affermazione assume particolare rilevanza nell'attuale contesto digitale, dove la distinzione tra pubblico e privato risulta spesso sfumata.
Il Garante ha inoltre chiarito che anche nell'ambito dell'attività disciplinare, il datore di lavoro è tenuto a bilanciare correttamente tale potere con i diritti e le libertà fondamentali riconosciuti agli interessati. Il principio di finalità impone infatti che il trattamento dei dati sia limitato alle finalità specifiche, esplicite e legittime per cui sono stati raccolti.
La sanzione del Garante delinea chiaramente i limiti entro cui i datori di lavoro possono utilizzare informazioni provenienti dai social network dei dipendenti. Non è sufficiente che i contenuti siano tecnicamente accessibili o visibili per giustificarne l'utilizzo in procedimenti disciplinari. È necessaria una base giuridica valida e il rispetto dei principi di proporzionalità e finalità.
Il provvedimento evidenzia come la tutela della privacy dei lavoratori debba adattarsi alle nuove modalità di comunicazione digitale. Il Garante ha chiarito che la protezione dei dati personali non viene meno per il solo fatto che le informazioni siano condivise su piattaforme social, specialmente quando si tratta di comunicazioni in ambienti ad accesso limitato.
La decisione assume particolare rilevanza considerando la diffusione dei social media nella vita quotidiana e la tendenza di alcuni datori di lavoro a utilizzare tali piattaforme per monitorare i comportamenti dei dipendenti. Il sistema sanzionatorio previsto dal Codice della privacy prevede sanzioni amministrative pecuniarie significative per scoraggiare tali pratiche.