Privacy tradita e sanzione esemplare: 420mila euro ad Autostrade per l’Italia per uso illecito di chat e post Facebook

Tempo di lettura stimato:3 Minuti, 9 Secondi

Il provvedimento del Garante: una sentenza che segna un precedente

Con il provvedimento n. 288 del 21 maggio 2025 (premere qui per leggere), il Garante per la protezione dei dati personali ha inflitto ad Autostrade per l’Italia S.p.A. una sanzione amministrativa pecuniaria di 420.000,00 euro per avere effettuato trattamenti illeciti di dati personali tratti da chat private WhatsApp e Messenger e da un profilo Facebook chiuso di una dipendente.

Il provvedimento cristallizza una linea interpretativa rigorosa sulla liceità dei trattamenti nel contesto del rapporto di lavoro, richiamando il datore di lavoro al rispetto sostanziale dei principi di liceità, finalità e minimizzazione sanciti dal Regolamento (UE) 2016/679 (GDPR).

Le contestazioni disciplinari al vaglio della privacy

Il caso trae origine da un reclamo presentato da una dipendente, destinataria di due procedimenti disciplinari, nei quali l’azienda ha utilizzato post pubblicati su Facebook (profilo accessibile ai soli “amici”), conversazioni su Messenger con soggetti terzi e messaggi WhatsApp inviati ad alcuni colleghi.

Il materiale sarebbe stato “spontaneamente inoltrato” all’azienda da altri soggetti (dipendenti o interlocutori privati), senza che la Società avesse adottato iniziative dirette di acquisizione, nonostante ciò il Garante ha ritenuto che l’uso di questi contenuti configuri un trattamento a tutti gli effetti, nonostante l’apparente passività nella fase di raccolta.

I punti giuridicamente critici secondo l’Autorità

🔍 Mancanza di una valida base giuridica

L’azienda ha invocato il legittimo interesse alla gestione del contratto di lavoro (art. 6, par. 1, lett. f GDPR), ma non ha dimostrato di aver effettuato un idoneo test di bilanciamento, come richiesto dalle Linee guida EDPB 1/2024.

💬 Comunicazioni private e aspettativa di riservatezza

I dati provenivano da canali comunicativi chiusi, come chat private e profili social limitati, rispetto ai quali la lavoratrice nutriva una legittima aspettativa di riservatezza. Il Garante richiama la giurisprudenza costituzionale e della Corte EDU sull’inviolabilità della corrispondenza, compresa quella elettronica.

📘 Contenuti non pertinenti ai fini lavorativi

I contenuti utilizzati nelle contestazioni disciplinari non attengono all’attitudine professionale della dipendente, bensì riguardano opinioni su temi ambientali e comunicazioni extraprofessionali, integrando la violazione dell’art. 113 del Codice Privacy, che richiama l’art. 8 dello Statuto dei lavoratori.

L’impatto della “social media policy” aziendale

Autostrade per l’Italia ha invocato l’esistenza di una propria “social media policy”, ma in realtà non risultano violazioni delle regole interne da parte della dipendente e poi, in ogni caso, l’adozione di una policy non può derogare alle norme imperative sulla protezione dei dati personali e alla garanzia della libertà comunicativa del lavoratore.

Considerazioni finali e conseguenze

Il Garante ha concluso quindi che il trattamento dei dati personali effettuato da Autostrade:

ha violato gli artt. 5, par. 1, lett. a), b) e c), 6 e 88 del Regolamento;
è avvenuto in assenza di base giuridica idonea;
ha riguardato dati non pertinenti e raccolti in contesti protetti, con violazione della dignità e della riservatezza della lavoratrice.

Pertanto, ha ordinato la pubblicazione integrale del provvedimento e ingiunto il pagamento della sanzione di 420.000 euro.

Ed allora questo provvedimento impone un cambio di paradigma nel trattamento dei dati personali in ambito lavorativo, in quanto i limiti all’uso delle informazioni ottenute tramite social media e messaggistica privata sono ora più chiaramente delineati. Si ribadisce la necessità di una valutazione preventiva e documentata del legittimo interesse. Ed infine si riafferma che la dignità e la libertà comunicativa del lavoratore sono inviolabili, anche nel contesto dell’esercizio del potere disciplinare.

In estrema sintesi, il Garante ha tracciato una linea netta: non tutto ciò che è accessibile è lecitamente trattabile.

The post Privacy tradita e sanzione esemplare: 420mila euro ad Autostrade per l’Italia per uso illecito di chat e post Facebook first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.