22 Gennaio 2026
la sanzione del mercoled
Società autostradale ha usato chat private e post Facebook di una dipendente per fini disciplinari. Il Garante dichiara illecito il trattamento per violazione GDPR.

Il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento svolto da una importante società concessionaria di infrastrutture autostradali, per aver utilizzato messaggi privati della dipendente — provenienti da Facebook, WhatsApp e Messenger — nell’ambito di due contestazioni disciplinari.

Il provvedimento (premere qui per leggere) affronta una delle questioni più delicate nel rapporto datore di lavoro–dipendente: fino a che punto il datore può utilizzare contenuti tratti dai social network o da chat private per finalità disciplinari? Il Garante risponde con una ricostruzione giuridica sistematica e rigorosa.

1. Origine del reclamo: social chiusi, chat private e uso disciplinare dei contenuti

La dipendente ha lamentato che la società avesse fondato due contestazioni disciplinari sul contenuto di:

  • post pubblicati sul suo profilo Facebook, visibile solo a un gruppo ristretto di “amici”;
  • conversazioni private su Messenger, inoltrate da un terzo all’azienda;
  • messaggi WhatsApp scambiati in una chat tra colleghi.

Tali contenuti erano stati acquisiti da terzi (colleghi o conoscenti) e successivamente utilizzati dall’azienda per dimostrare presunte condotte disciplinarmente rilevanti.

La società sosteneva che l’utilizzo dei messaggi fosse legittimo perché non frutto di indagine attiva, ma “semplicemente pervenuti”.

2. Il Garante chiarisce: il datore non può usare comunicazioni private per finalità disciplinari

L’Autorità affronta un punto fondamentale:

il solo fatto che il datore non cerchi attivamente le informazioni non significa che possa utilizzarle liberamente.

L’acquisizione del contenuto da parte di terzi non rimuove il carattere di comunicazione privata, protetta da:

  • art. 15 Cost. (libertà e segretezza delle comunicazioni),
  • art. 8 CEDU,
  • consolidata giurisprudenza della Corte EDU,
  • giurisprudenza di Cassazione sul carattere privato delle chat chiuse.

Una conversazione scambiata in una chat chiusa o un post visibile solo a un gruppo ristretto costituiscono corrispondenza privata, e il datore di lavoro non può appropriarsene o utilizzarla, salvo specifiche eccezioni previste dalla legge (che nel caso non ricorrevano).

3. I principi violati: liceità, finalità, minimizzazione

Il Garante ha accertato la violazione degli art. 5, par. 1, lett. a), b), c) e art. 6 GDPR, rilevando che:

  • i dati erano stati raccolti per finalità personali (comunicazione privata) e non potevano essere riutilizzati per finalità disciplinari;
  • la dipendente aveva una legittima aspettativa di riservatezza, poiché l’accesso al contenuto era limitato (profilo Facebook chiuso, chat privata WhatsApp/Messenger);
  • mancava una base giuridica idonea per l’utilizzo di tali contenuti;
  • il datore non aveva svolto il necessario test di bilanciamento richiesto per invocare il legittimo interesse ex art. 6, par. 1, lett. f) GDPR.

Il Garante sottolinea inoltre che il datore aveva a disposizione altri elementi disciplinari su cui basare eventuali iniziative, senza bisogno di accedere alla sfera privata della persona.

4. Le norme speciali del lavoro: art. 113 Codice Privacy e Statuto dei Lavoratori

La condotta aziendale contrasta anche con l’art. 113 del Codice Privacy, che estende ai dati personali i limiti previsti da:

  • art. 8 Statuto dei Lavoratori (divieto di indagini sulle opinioni o fatti non rilevanti ai fini professionali),
  • art. 10 d.lgs. 276/2003 (divieto di trattamenti non pertinenti rispetto all’attività lavorativa).

Queste norme rappresentano condizioni di liceità del trattamento ai sensi dell’art. 88 GDPR.

L’azienda aveva utilizzato commenti su temi ambientali e considerazioni personali rivolte a terzi: dati non attinenti all’attitudine professionale e dunque intrinsecamente non trattabili a fini disciplinari.

5. Il datore non può “prendere scorciatoie” tramite terzi

Un passaggio centrale del provvedimento chiarisce che:

il divieto di raccolta di dati non pertinenti vale anche quando le informazioni provengono spontaneamente da soggetti terzi.

Il fatto che colleghi o conoscenti inoltrino screenshot non autorizza il datore a trattarli, soprattutto se inerenti alla vita privata del lavoratore.

6. La decisione dell’Autorità

Il Garante ha:

  • dichiarato illecito il trattamento dei dati utilizzati per le contestazioni disciplinari;
  • accertato la violazione degli artt.:
    • 5, par. 1, lett. a), b), c) (liceità, finalità, minimizzazione),
    • 6 GDPR (assenza di base giuridica),
    • 88 GDPR (norme speciali sul rapporto di lavoro),
    • 113 Codice Privacy (raccolta di dati non pertinenti);
  • disposto la pubblicazione del provvedimento come sanzione accessoria;
  • ordinato la rimozione dei dati utilizzati in violazione di legge (art. 2-decies Codice Privacy).

La sanzione pecuniaria non è riportata, essendo impugnata in sede giudiziaria e non pubblicabile ai sensi delle regole transitorie.

7. Considerazioni conclusive

Questo caso riafferma un principio destinato a incidere profondamente sulle prassi aziendali:

le comunicazioni private dei dipendenti non possono diventare strumenti disciplinari.

I social network e le chat personali non costituiscono territori “liberi” dal diritto alla protezione dei dati.
Il datore deve sempre attenersi ai limiti di:

  • pertinenza,
  • proporzionalità,
  • finalità,
  • minimizzazione,
  • tutela dei diritti fondamentali.

La privacy non è un ostacolo all’esercizio dei poteri datoriali: ne costituisce il perimetro legittimo.

Sull'autore

Daniele Giordano

See author's posts

Tags:

Correlati

la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: consenso “forzato”, diritti ignorati e marketing telefonico illecito — sanzionata una grande società di servizi tecnologici

21 Gennaio 2026 0
Le leggi frammentate dei dati pubblici UE

Dati pubblici, potere privato: l’Europa al bivio digitale

16 Gennaio 2026 0

Contributi che potresti non aver letto

la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: consenso “forzato”, diritti ignorati e marketing telefonico illecito — sanzionata una grande società di servizi tecnologici

21 Gennaio 2026 0
Le leggi frammentate dei dati pubblici UE

Dati pubblici, potere privato: l’Europa al bivio digitale

16 Gennaio 2026 0
la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: colloqui di rientro dal lavoro e raccolta indebita di dati sulla salute — sanzionata una grande azienda manifatturiera

14 Gennaio 2026 0
Bilanciamento digitale e libertà imprenditoriali(1)

Digital Services Act e libertà d’impresa: equilibrio fragile o nuova razionalità del mercato digitale

26 Dicembre 2025 0
Algoritmo di Babbo Natale

🎄 Natale, tecnologia e regole invisibili: un piccolo regalo dall’Osservatorio

24 Dicembre 2025 0
Agente Intelligente sulla strada digitale

Agenti intelligenti e sicurezza digitale: comprendere, governare, prevenire

19 Dicembre 2025 0