Garante Privacy: no ai dati da Facebook e Whatsapp per licenziare un dipendente
Provvedimento del 21 maggio 2025 (pubblicato nella Newsletter del 25 giugno 2025)
Sanzione da 420.000 euro per il datore di lavoro. Il Garante: violati i principi di liceità, minimizzazione e finalità.
Il Garante per la protezione dei dati personali ha sanzionato una società con una multa di 420.000 euro per avere utilizzato dati tratti da Facebook, Messenger e WhatsApp della dipendente in due contestazioni disciplinari sfociate poi nel licenziamento.
Le informazioni – post pubblicati su un profilo Facebook chiuso e conversazioni su Messenger e WhatsApp – sono state trasmesse alla società da colleghi o terzi e successivamente utilizzate dall’azienda come parte delle contestazioni disciplinari. Nonostante la società non abbia acquisito attivamente i dati, il Garante ha chiarito che anche l’uso passivo dei dati ricevuti configura un trattamento, soggetto alle regole del GDPR.
Il trattamento è stato ritenuto illecito per diversi motivi:
– i contenuti provenivano da ambienti digitali privati (gruppi chiusi, chat personali), e la dipendente aveva una legittima aspettativa di riservatezza;
– i dati non erano rilevanti ai fini della valutazione dell’attitudine professionale, trattandosi di opinioni personali su questioni ambientali o organizzative;
– l’azienda non ha effettuato alcun bilanciamento tra il proprio interesse e i diritti della lavoratrice, come richiesto dall’art. 6 par. 1 lett. f) del GDPR;
– non è sufficiente che i dati siano stati “inoltrati” da altri per legittimare il loro uso, anche in assenza di una raccolta attiva.
Il principio richiamato dal Garante è il seguente:“I dati personali pubblicati anche su social network accessibili a un gruppo ristretto non possono essere usati indiscriminatamente a ogni fine solo perché visibili da altri. Anche se ottenuti da terzi, il loro uso è un trattamento che richiede una base giuridica.”