VEDI ANCHE Newsletter del 25 giugno 2025

[doc. web n. 10143261]

Provvedimento del 21 maggio 2025*
*In pendenza del giudizio di opposizione contro il provvedimento non è applicata la sanzione accessoria della pubblicazione dell’ordinanza ingiunzione

Registro dei provvedimenti
n. 288 del 21 maggio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dalla Sig.ra XX nei confronti di Autostrade per l’Italia S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 20 maggio 2024, regolarizzato il 30 luglio 2024, la Sig.ra XX ha lamentato presunte violazioni del Regolamento, da parte di Autostrade per l’Italia S.p.A. (di seguito, la Società), con particolare riferimento al trattamento di alcuni dati personali utilizzati dall’unità locale di XX per elevare due contestazioni disciplinari nei confronti della reclamante.

In particolare, con il reclamo è stato lamentato che la contestazione disciplinare del 16 febbraio 2024, elevata dalla Direzione XX, contiene, tra l’altro, il riferimento a contenuti tratti dal profilo del social network Facebook della reclamante, pubblicati il 16 e il 21 gennaio 2024.

Inoltre, con il medesimo atto di avvio del procedimento disciplinare, la Società ha contestato alla reclamante di aver utilizzato, in qualità di Presidente di una associazione privata (XX), l’account di posta elettronica aziendale per inviare una e-mail al Direttore di XX.

Una successiva contestazione disciplinare del 21 marzo 2024, elevata dalla medesima Direzione, contiene stralci di conversazioni intrattenute dalla reclamante con un soggetto terzo in data 8, 9 e 17 gennaio 2024, tramite l’app di messaggistica Messenger.

La contestazione contiene anche il riferimento a contenuti che la reclamante avrebbe veicolato, ad alcuni colleghi (immagini tratte dal Bilancio di sostenibilità della Società del 2022 accompagnate da commenti), tramite i rispettivi profili attivati sulla piattaforma WhatsApp.

Ciò posto, con il reclamo è stato lamentato il trattamento illecito dei dati, riferiti alla reclamante, anche con riguardo all’utilizzo ritenuto “improprio” di dati personali tratti da messaggi scambiati su account di WhatsApp e Messenger e dal profilo Facebook della reclamante, per fini connessi al rapporto di lavoro.

L’Autorità ha avviato l’istruttoria preliminare, con nota del 3 settembre 2024, con la quale sono state richieste alla Società informazioni utili alla valutazione del caso, ai sensi dell’art. 157 del Codice.

La Società, nel fornire riscontro alla richiesta di informazioni rivolta dall’Ufficio, con nota del 2 ottobre 2024, ha rappresentato che:

la Società “è venuta a conoscenza dei contenuti (post) della dipendente, presenti nel profilo Facebook, di cui alla contestazione del 16/2/2024 mediante trasmissione agli uffici della Direzione di XX a mezzo messaggio Whatsapp da parte di un collega (dipendente di ASPI) il quale è in rapporto di “amicizia” sul profilo Facebook della reclamante. La comunicazione segnala la pubblicazione dei “contenuti” sul profilo FB della dipendente stessa e contiene copia degli “screenshot” dei contenuti medesimi” (nota 2/10/2024, p. 2);

parimenti la Società “è venuta a conoscenza dei contenuti presenti in una conversazione effettuata dalla dipendente con un “soggetto terzo” avvenuta su Messenger e la cui conversazione è stata direttamente “inoltrata” a mezzo WhatsApp dal soggetto terzo medesimo” (nota cit., p. 2);

la Società “ha acquisito i contenuti della conversazione della dipendente con i colleghi tramite comunicazione inviata tramite WhatsApp da uno dei colleghi stessi, dipendente di ASPI, agli uffici della Direzione di XX” (nota cit., p. 2);

“Per tutti i trattamenti sopra indicati, la base giuridica del trattamento è stata ravvisata nel perseguimento del legittimo interesse della società quale titolare del trattamento ai sensi dell’art. 6, par. 1, lett, f) del Regolamento […] a trattare i dati personali per le sole finalità di tutela dei propri diritti ed esercizio delle prerogative connesse alla gestione del contratto di lavoro” (nota cit., p. 2);

a tale ultimo proposito, la Società ha rappresentato l’esistenza di “diritti difensivi” in relazione “al contenzioso avente ad oggetto la impugnazione del licenziamento irrogato in esito alle contestazioni disciplinari oggetto del reclamo, giudizio avviato dalla dipendente davanti al Tribunale civile di Trani-Sezione lavoro” (nota cit., p. 2).

La Società ha altresì allegato al riscontro copia della “Social media policy” e la “Procedura gestionale gestione delle dotazioni aziendali messe a disposizione dei dipendenti”, rappresentando in proposito che “della esistenza di entrambi i documenti [la Società stessa] ha dato comunicazione all’atto della loro emissione ed entrata in vigore” (nota cit., p. 3).

L’Autorità, avendo appreso dell’esistenza di un contenzioso davanti al competente giudice ordinario, avente ad oggetto l’impugnazione del licenziamento della reclamante irrogato a seguito delle contestazioni disciplinari, ha provveduto a chiedere, sia alla reclamante (con note del 9 e 23/12/2024) che alla Società (24/1/2025), copia del ricorso presentato davanti al Tribunale di Trani, ciò tenuto conto che ai sensi dell’art. 140-bis del Codice “Qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l'interessato può proporre reclamo al Garante o ricorso dinanzi all'autorità giudiziaria. Il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l'autorità giudiziaria […]”.
In data 3 febbraio 2025, la Società ha fornito riscontro all’Autorità inviando copia del ricorso, presentato ai sensi dell’art. 414 c.p.c. e della memoria difensiva presentata dalla Società nel procedimento incardinato davanti al Tribunale di Trani, sez. lavoro.

All’esito dell’esame della documentazione prodotta in atti, l’Autorità ha ritenuto che non fosse configurabile la fattispecie di litispendenza, prevista dal richiamato art. 140-bis del Codice, in quanto. nel caso di specie. tra il reclamo al Garante e il ricorso al giudice ordinario non era ravvisabile l’identità di petitum.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 3 marzo 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett.

a), b) e c), 6 e 88 del Regolamento e art. 113 del Codice.

Con le memorie difensive inviate in data 27 marzo 2025, la Società ha rappresentato che:

nel caso di specie è mancato “un “ruolo attivo” in tale attività di trattamento/raccolta, profilo sul quale […] può e deve considerarsi incontestata la circostanza che i post su Facebook e le conversazioni su Messenger e Whatsapp intrattenute dalla lavoratrice siano “pervenute” ad ASPI, e non già dalla Società ricercate o attivamente e direttamente raccolte su tali piattaforme.” (nota 27/3/2025, p. 2);

al fine di “valutare se dati personali acquisiti con tali modalità potessero o meno esser utilizzati a fini disciplinari” la Società ha tenuto in considerazione il precedente provvedimento del Garante del 20 aprile 2017, n. 202, doc. web n. 6552839, “confermato dal Tribunale di Torino con la sentenza dell’08.11.17 e poi dalla Corte di legittimità con la sentenza n. 15161/21” (nota cit., p. 2);

“appare […] apodittica l’affermazione secondo la quale il “test di bilanciamento” nel caso di specie “non risulta esser effettuato”: non sembra infatti sussistere elemento alcuno (documentale e non) sulla scorta del quale si sia potuti arrivare a questa conclusione, posto che, al contrario, la Società ha effettuato, tramite le competenti funzioni aziendali ed i suoi legali esterni di fiducia specializzati in materia all’epoca officiati, un’attenta analisi e valutazione circa la possibilità di utilizzare i suddetti dati per le contestazioni disciplinari alla luce anche dei precedenti sopra richiamati” (nota cit., p. 3);

“non c’è dubbio […] sul fatto che ASPI, nell’esercizio delle sue prerogative di gestione del rapporto di lavoro, e di valutazione delle condotte disciplinarmente rilevanti, al momento della articolazione delle contestazioni in danno della lavoratrice, avesse sul tavolo diversi elementi, ed in particolare anche “fatti ulteriori” rispetto a quelli oggetto delle doglianze della reclamante. In questo contesto, la teoria secondo la quale il Garante possa essere investito a monte del compito di valutare tra gli stessi quelli utilizzabili, e quelli che al contrario non avrebbero dovuto esserlo perché “sbilanciati” in sfavore della lavoratrice sembra integrare una sovrapposizione di ruoli dagli esiti a dir poco discutibili” (nota cit., p. 3);

“L’effetto di quella che viene presentata come una virtuosa applicazione del “test di bilanciamento”, sarebbe stato quindi quello di impedire al datore di lavoro di adottare il provvedimento ritenuto più acconcio rispetto alle condotte tenute dalla lavoratrice” (nota cit., p. 4);

alla luce del precedente provvedimento del Garante n. 202 del 2017 “Quella riportata nella notifica di violazioni, quindi, è una inversione di rotta che, in considerazione della posizione cristallizzata nella sentenza della Cassazione, oltre a non sembrare fondatamente motivata, appare del pari impedita dalla portata nomofilattica della sentenza” (nota cit., p. 4);

“l’art. 8 L. 300/70 vieta al datore di lavoro “di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”. Il divieto imposto dalla disposizione di legge riguarda, dunque, le “indagini” […] In sostanza, l’indagine, affinché sia tale, implica un comportamento attivo del datore di lavoro volto all’acquisizione di informazioni che non siano di pubblico dominio, ciò che evidentemente, non è avvenuto nel caso di specie atteso che […] i post su Facebook e le conversazioni su Messenger e Whatsapp intrattenute dalla lavoratrice sono “pervenute” ad ASPI, e non già dalla Società ricercate o attivamente e direttamente raccolte su tali piattaforme” (nota cit., p. 4);

con riferimento all’art. 10 del D.Lgs.276/2003, la Società ritiene che “Da una analisi testuale di tale disposizione appare palese come i destinatari della stessa siano – solo e soltanto – le agenzie per il lavoro e gli altri soggetti pubblici e privati autorizzati o accreditati (come precisato dall’art. 6 del D.M. 13/10/2004, “Il divieto di cui all'art. 10 del decreto legislativo n. 276 del 2003, trova applicazione nei confronti dei soggetti che accedono alla borsa continua nazionale del lavoro”)” (nota cit., p. 5);

con riguardo alla contestata violazione del principio di finalità, la Società ha altresì ritenuto che “Ciò equivale a sostenere la inutilizzabilità a fini disciplinari delle opinioni e commenti espressi dal lavoratore al di fuori del perimetro puro della prestazione lavorativa, trasformando il principio di finalità affermato dal GDPR in una sorta di salvacondotto per il lavoratore” (nota cit., p. 5-6);

“l’Autorità ha potuto acclarare la inconfigurabilità nel caso di specie del ne bis in idem a norma dell’art. 140-bis Codice Privacy grazie alla collaborazione prestata da ASPI […]. Ora, appare evidente come nella sostanza si stia in questa sede rischiando di violare proprio quel principio: se infatti si afferma che competa all’Autorità accertare che determinati dati non potessero esser utilizzati a fini disciplinari perché sproporzionati (in asserita violazione dei principi di minimizzazione e proporzionalità, oltre che del “test di bilanciamento” del legittimo interesse), di fatto si sta alterando proprio la dinamica che rimette al Giudice del lavoro ogni valutazione sulla fondatezza e proporzionalità del licenziamento disciplinare” (nota cit., p. 6);

con riguardo ai criteri di quantificazione della sanzione “non sussistono eventuali precedenti violazioni pertinenti commesse dalla Società quale titolare del trattamento, né risultano essere stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti della medesima Società relativamente allo stesso oggetto” (nota cit., p. 7);

“la Società ha fornito la massima collaborazione e cooperato attivamente con codesta Autorità, anche nel momento in cui ha provveduto a trasmettere il ricorso al Giudice del lavoro della reclamante (atto che, nella fisiologica gestione del procedimento, avrebbe dovuto ovviamente esser fornito da chi lo aveva presentato)” (nota cit., p. 7);

“riguardo agli altri fattori attenuanti applicabili alle circostanze del caso, ferme le già più volte sottolineate incertezze interpretative riguardo all’applicazione delle norme di riferimento, si evidenzia infine che non sono stati ottenuti benefici finanziari, direttamente o indirettamente quale conseguenza della violazione” (nota cit., p. 7).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1  Il quadro normativo applicabile.

Il datore di lavoro privato può trattare i dati personali dei lavoratori (art. 4, n. 1, del Regolamento), anche relativi a “categorie particolari”, di regola, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure se è necessario “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (artt. 6, par. 1, lett. b) e c), e 2 e 3, e art. 9, parr. 2, lett. b) e 4; 88 del Regolamento).

In caso di trattamento di dati “comuni” il titolare del trattamento/datore di lavoro può effettuare operazioni di trattamento qualora ciò sia necessario per il perseguimento di un legittimo interesse “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali” (art. 6, par. 1, lett. f) del Regolamento).

Il titolare del trattamento è altresì tenuto ad osservare i principi generali della materia, in particolare quello di “liceità, correttezza e trasparenza”, di “limitazione delle finalità” e di “minimizzazione dei dati” (art. 5, par. 1, lett. a), b) e c) del Regolamento).

In base al principio di liceità del trattamento, il datore di lavoro è tenuto al rispetto delle norme nazionali più specifiche e di maggior tutela relative al trattamento dei dati nell’ambito dei rapporti di lavoro (art. 88 e cons. 155 del Regolamento), e, in particolare, le disposizioni che vietano al datore di lavoro di raccogliere, anche a mezzo di terzi, e trattare ulteriormente informazioni sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore (cfr. art. 113 del Codice, “Raccolta di dati e pertinenza”, che richiama quanto disposto dall’art. 8 della l. 20 maggio 1970, n. 300 e dall’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Per effetto di tale rinvio, e tenuto conto di quanto stabilito dall’art. 88, par. 2, del Regolamento, l’osservanza delle norme espressamente richiamate dall’art. 113 del Codice costituisce una specifica condizione di liceità del trattamento, che si aggiunge agli obblighi posti dagli artt. 5, 6 e 9 del Regolamento (cfr., Corte di giustizia dell’Unione europea, sentenze 19/12/2024, causa C 65/23 e 30 marzo 2023, causa C-34/21).

3.2. Violazione dei principi di liceità, finalità e minimizzazione (artt. 5, par. 1, lett. a), b) e c) e 6 del Regolamento).

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Preliminarmente, si precisa che l’ambito dell’attività di accertamento effettuata dall’Autorità riguarda esclusivamente i profili di protezione dei dati personali demandati dall’ordinamento nazionale e eurounitario alla competenza delle autorità di controllo (art. 57 del Regolamento; artt. 154 e 154-bis del Codice).

Di conseguenza, anche nel caso di specie, non vi è alcuna alterazione – come temuto dalla Società – della ripartizione delle forme di tutela amministrativa e giurisdizionale stabilita dall’ordinamento con specifico riferimento all’accertamento della liceità del licenziamento disciplinare irrogato alla reclamante, da parte della competente autorità giudiziaria ordinaria.

Nel merito, è emerso che la Società ha inviato alla reclamante due contestazioni disciplinari, ai sensi dell’art. 7, l. n. 300 del 1970. Nella prima contestazione, del 16 febbraio 2024, la Società ha riportato il contenuto di alcuni commenti scritti dalla reclamante sul proprio profilo Facebook (il 16 e il 21 gennaio 2024), mediante l’inserimento di stralci virgolettati dei commenti e la descrizione del contenuto di alcune foto.

Nella contestazione disciplinare datata 21 marzo 2024, la Società ha inoltre riportato il contenuto di una conversazione avvenuta tramite account Messenger tra la reclamante e un terzo (che l’ha inoltrata alla Società tramite WhatsApp), non dipendente della Società, trascrivendo, anche in questo caso, stralci virgolettati della conversazione. Inoltre, nella medesima contestazione, la Società ha riportato stralci virgolettati di una comunicazione inviata dalla reclamante, in data 22 febbraio 2024, ad alcuni colleghi, tramite il proprio account WhatsApp.

La Società, al fine di elevare le due contestazioni disciplinari oggetto di reclamo, ha pertanto utilizzato, in aggiunta al riferimento a ulteriori fatti contestati, il contenuto di comunicazioni effettuate dalla reclamante attraverso il suo profilo Facebook e i canali di messaggistica Messenger e WhatsApp.

L’utilizzo di tali informazioni riferite alla reclamante  configura un’attività di “raccolta” e successivo ulteriore trattamento di dati (alla luce della definizione di “trattamento” contenuta dell’art. 4, n. 2 del Regolamento, “qualsiasi operazione o insieme di operazioni, […], come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”).

In particolare la Società, dopo aver ricevuto - tramite comunicazione su WhatsApp - alcuni screenshot tratti dal profilo Facebook e dagli account Messenger e WhatsApp della reclamante estratti da alcuni partecipanti alle comunicazioni, la cui trasmissione non è dunque addebitabile al datore di lavoro, ha ritenuto di utilizzarli nel procedimento disciplinare, pur senza essersi direttamente attivata per effettuare ricerche presso il profilo social o i canali di messaggistica istantanea.

L’assenza di un “ruolo attivo” della Società nella ricerca delle informazioni non ha alcun rilievo ai fini della identificazione dell’attività consistente nel successivo utilizzo nel procedimento disciplinare quale “trattamento”, in quanto ne costituisce solo una delle possibili manifestazioni (v. in senso conforme Cass. civ., sentenza 14/10/2014, n. 21107, secondo la quale alla luce dell’ampia definizione di trattamento di dati personali “deve riconoscersi al dato oggettivo dell'acquisizione d'informazioni attinenti [al] dipendente, di per sè sufficiente a rendere configurabile un trattamento di dati […], le cui modalità ed i cui limiti devono essere ricostruiti avendo riguardo alla gestione del rapporto di lavoro, cui è indiscutibilmente preordinata l'adozione di provvedimenti disciplinari”).

Accertato, pertanto, che la Società ha effettuato un trattamento di dati personali, riferiti alla reclamante, tratti dal profilo Facebook e dai canali Messenger e WhatsApp, occorre allora verificare se il trattamento in questione sia stato effettuato in presenza di un’idonea base giuridica, ossia di una delle condizioni di liceità del trattamento tassativamente indicate dall’art. 6 del Regolamento.

In base a quanto rappresentato dalla stessa Società, gli screenshot dei commenti postati sul profilo Facebook sono stati comunicati all’azienda da un dipendente che aveva un rapporto di “amicizia” con la reclamante sul noto social network; da ciò ne deriva pertanto che la visibilità dei contenuti veicolati sul profilo era riservata ai soggetti in rapporto di “amicizia” con la reclamante medesima, che ha quindi inteso escludere volontariamente ed espressamente la generalizzata condivisione dei commenti, al di fuori di tale cerchia di soggetti.

Ciò ha comportato quindi una legittima aspettativa di riservatezza della reclamante sui contenuti condivisi con una cerchia determinata di destinatari, tenuto conto che trattavasi di una comunicazione avvenuta nell’ambito di una chat, su un gruppo chiuso di Facebook, con la conseguenza che l’utilizzo di tali contenuti da parte di un terzo (in questo caso il datore di lavoro) avrebbe necessariamente richiesto l’effettuazione di un previo bilanciamento tra i diritti e gli interessi delle parti coinvolte (v. Cass. sez. lav., 10/9/2018, n. 21965, con riguardo ad una chat su Facebook composta da iscritti ad un sindacato: “l'esigenza di tutela della segretezza nelle comunicazioni si impone anche riguardo ai messaggi di posta elettronica scambiati tramite mailing list riservata agli aderenti ad un determinato gruppo di persone, alle newsgroup o alle chat private, con accesso condizionato al possesso di una password fornita a soggetti determinati”; “i messaggi che circolano attraverso le nuove "forme di comunicazione", ove inoltrati non ad una moltitudine indistinta di persone ma unicamente agli iscritti ad un determinato gruppo, come appunto nelle chat private o chiuse, devono essere considerati alla stregua della corrispondenza privata, chiusa e inviolabile”).

Sotto diverso profilo, benché connesso, è necessario considerare che i contenuti presenti sui social network, pure nella sezione del profilo accessibile a chiunque, anche qualora fosse questo il caso che ricorre nel caso di specie, sono messi a disposizione dagli interessati per finalità di comunicazione interpersonale o di manifestazione del pensiero (v. art. 21 Cost. e art. 1, l. n. 300 del 1970, che ne costituisce l’applicazione in ambito lavorativo), finalità distinte dunque da quelle perseguite dal titolare/datore di lavoro allo scopo di valutare la corretta esecuzione del rapporto lavorativo, nel cui ambito rientrano i trattamenti necessari per l’esecuzione del contratto (art. 6, par. 1, lett. b) del Regolamento).

Ciò non osta a che, in base ai principi generali, ciascuna condotta sia comunque soggetta ai limiti posti dall’ordinamento (in particolare, la libertà di manifestazione del pensiero deve essere bilanciata con la tutela dell’onore e della reputazione nonché con il dovere di fedeltà ex art. 2105 c.c. e con l’obbligo generale di correttezza e buona fede nell’esecuzione del rapporto di lavoro, da valutarsi anche alla luce della concreta mansione svolta).

Per i suesposti motivi, non può essere condiviso, in proposito, quanto sostenuto dalla Società nelle memorie difensive, secondo cui l’applicazione del principio di finalità, previsto dalla disciplina posta in materia di protezione dei dati personali, si trasformerebbe “in una sorta di salvacondotto del lavoratore, abilitato da questa lettura a vedere legittimati i suoi comportamenti per il sol fatto di averli mirati a “finalità” proprie”.

Anche nell’esercizio del potere disciplinare che connota il rapporto di lavoro, il datore di lavoro è infatti tenuto a effettuare un corretto bilanciamento con i diritti e le libertà riconosciute dall’ordinamento agli interessati.

L’applicazione del principio di finalità, in ambito lavorativo, comporta quindi la necessità che il datore di lavoro raccolga i dati, riferiti agli interessati, per “finalità determinate, esplicite e legittime” e successivamente li tratti “in modo che non sia incompatibile con tali finalità”.

Pertanto, in termini generali, il titolare può utilizzare, per ulteriori trattamenti, i soli dati personali lecitamente raccolti, in forza di un’idonea base giuridica, dopo aver “soddisfatto tutti i requisiti per la liceità del trattamento originario”, tenendo altresì conto del contesto in cui i dati sono stati raccolti (cfr. cons. 50 del Regolamento), avuto riguardo alla finalità originaria e nel rispetto dei principi generali di protezione dei dati.

I dati personali pubblicati sui social network o, più in generale, disponibili in rete, non possono essere pertanto utilizzati indiscriminatamente e a ogni fine, solo perché accessibili a un numero più o meno esteso di persone.

In proposito, l’Autorità ha già stabilito, in passato, in relazione a un caso concreto relativo all’ambito lavorativo, che la pubblicazione di informazioni da parte dell’interessato su un sito web, accessibile da chiunque, non può di per sé, giustificare il trattamento della medesima informazione, in funzione di qualsiasi altro trattamento, posto che è, in primo luogo, necessario tener conto dei limiti posti da discipline di settore applicabili alle diverse materie (v. Provv. 24/4/2024, n. 268, doc. web n. 10021491; sul punto cfr. Cass. 7 ottobre 2014, n. 21107, cit., laddove ha ritenuto che “l'immissione di alcuni dei propri dati personali in rete, pur lasciando presumere la volontà dell'interessato di permetterne l'utilizzazione in vista degli obiettivi per cui gli stessi sono stati posti a disposizione del pubblico, non consente tuttavia di ritenere che quel consenso sia stato implicitamente prestato anche in funzione di qualsiasi altro trattamento. L’utilizzazione dei dati diffusi per finalità diverse da quella per cui ne è stata consentita la divulgazione costituisce d'altronde un'eventualità già presa in considerazione da questa Corte, la quale ha affermato in proposito che la tutela apprestata dal d.lgs., n. 196 del 2003 si estende anche ai dati già pubblici o pubblicati, dal momento che colui che compie operazioni di trattamento di tali informazioni può ricavare dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio ulteriori informazioni, quindi un «valore aggiunto informativo», non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell'interessato, valore sommo (tutelato dall'art. 3, primo comma, prima parte, e dell'art. 2 Cost.) a cui si ispira la legislazione in materia di trattamento dei dati personali i (cfr. Cass., Sez. 1^, 8 agosto 2013, n. 18981; 25 giugno 2004, n. 11864)”; sui limiti dell’utilizzo di dati tratti dai social network in ambito lavorativo si vedano anche Gruppo di lavoro art. 29, Parere 1/2017 sul trattamento dei dati sul posto di lavoro, punti 5.1. e 5.2.; Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, par. 5).

In proposito, si rammenta inoltre che il Garante, in relazione a trattamenti diversi da quello oggetto del presente provvedimento benché ugualmente afferenti all’ambito del rapporto di lavoro, ha dichiarato non conforme alla disciplina in materia di protezione dei dati la raccolta e l’utilizzo, da parte di amministrazioni pubbliche, di dati o informazioni personali già diffuse, o comunque reperibili, anche online, posto che tali dati personali, pur conoscibili da chiunque, possono essere trattati e utilizzati da terzi, nei limiti e al ricorrere dei presupposti delle leggi di settore applicabili e, dunque, anche nel rispetto delle disposizioni più specifiche e di maggior tutela fatte salve dall’art. 88 del Regolamento con riguardo al contesto lavorativo (v. Provv. 10/11/2022, n. 367, doc. web n. 9835095; Provv. 10/2/2022, n. 45, doc. web 9751549; Provv. 12/3/2020, n. 56, doc. web n. 9429218).

Si evidenzia, infine, che, nella medesima prospettiva, si è posto il Codice di condotta per il settore delle Agenzie per il lavoro, approvato dal Garante con Provv. 11/1/2024, n. 12, doc. web n. 9983584, laddove prevede che “Il fatto che il profilo social di un Candidato sia disponibile al pubblico non può essere considerato di regola quale presupposto di liceità del trattamento dei dati personali contenuti nello stesso. Prima di esaminare il profilo sul social network di un potenziale Candidato, le [agenzie per il lavoro] verificano che il social network abbia natura professionale al fine di verificare l’ammissibilità dell’analisi dello stesso” (punto 7.6. codice cit.).

Anche in ipotesi di consultazione di profili social di natura professionale, dunque di tipo non generalista, le agenzie per il lavoro sono pertanto tenute ad adottare alcune cautele a tutela degli interessati, effettuando un trattamento “limitato alle sole informazioni connesse all’attitudine professionale al lavoro, necessarie al solo fine di valutare gli specifici rischi legati al tipo di attività che dovrà essere svolta dai Candidati, effettuato nella misura meno intrusiva possibile, adottando ogni necessaria misura per garantire un corretto bilanciamento tra il legittimo interesse dell’APL a verificare quanto sopra e i diritti e le libertà fondamentali degli interessati” (codice cit., punto 7.7.).

Al fine di elevare le due contestazioni disciplinari nei confronti della reclamante, la Società, come visto sopra, ha utilizzato altresì i contenuti di conversazioni effettuate dalla reclamante, tramite i propri account privati con un soggetto terzo e con alcuni colleghi, su Messenger e su WhatsApp.

Anche in relazione al trattamento di tali dati (e forse a maggior ragione, attesa la particolare tutela riservata dall’ordinamento alla corrispondenza e ad ogni altra forma di comunicazione) è irrilevante la circostanza che la Società abbia avuto conoscenza delle conversazioni attraverso i partecipanti alle conversazioni stesse (dunque in assenza di un “ruolo attivo”).

L’ordinamento giuridico tutela infatti la libertà e la riservatezza delle comunicazioni, annoverate tra i diritti fondamentali dell’individuo, stabilendo che ogni eventuale limitazione può avvenire, solo “per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge” (art. 15 Cost.).

La nozione di corrispondenza ed ogni altra forma di comunicazione, peraltro, è riferita a “ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate, attuata in modo diverso dalla conversazione in presenza”, e pertanto ricomprende, allo stato delle tecnologie disponibili, anche lo scambio di messaggi elettronici quali e-mail, WhatsApp, SMS “e simili” (v. Corte Cost. n. 170 del 27/7/2023, che, conformemente a precedenti decisioni della Corte, ha confermato che la garanzia posta dall’art. 15 della Costituzione “si estende […] ad ogni strumento che l'evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici, ignoti al momento del varo della Carta costituzionale”).

La medesima prospettiva caratterizza le decisioni della Corte europea dei diritti dell’uomo, con le quali, per lo più relativamente a trattamenti effettuati in ambito lavorativo, sono state ritenute oggetto della tutela posta dall’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali le comunicazioni effettuate mediante sistemi di messaggistica istantanea, telefonia, posta elettronica e SMS (v. Corte EDU, Copland v. UK, 3.4.2007 (ric. n. 62617/00); Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08); Saber c. Norvegia, 17/12/2020 (ric. n. 459/18), relativa alle comunicazioni tra difensore e assistito; decisioni richiamate da Corte Cost. n. 170 del 2023 cit.).

Infine, si rileva che, con riguardo al trattamento di dati contenuti in una chat privata tra colleghi di lavoro creata sulla piattaforma WhatsApp, effettuato dal datore di lavoro che ne aveva appreso il contenuto, su iniziativa di uno dei partecipanti alla conversazione, la Corte di Cassazione ha da ultimo ritenuto che l’apprensione del contenuto della predetta comunicazione ha realizzato una condotta in violazione del diritto alla segretezza e riservatezza della corrispondenza, posto che “la garanzia della libertà e segretezza della corrispondenza privata e il diritto alla riservatezza nel rapporto di lavoro [costituiscono] presidi della dignità del lavoratore”. Pertanto, considerata “la portata e le implicazioni del diritto fondamentale alla segretezza della corrispondenza”, non può costituire elemento dirimente il fatto che il messaggio in chat non fosse stato appreso dal datore di lavoro “di propria iniziativa” (v. Corte Cass 28/2/2025, n. 5354).

Alla luce, dunque, del richiamato statuto protettivo accordato dall’ordinamento alle comunicazioni, il trattamento di dati personali riferiti alla reclamante e, in particolare, dei messaggi da questa scambiati con un soggetto estraneo alla compagine aziendale e con colleghi di lavoro, effettuato dalla Società è avvenuto in assenza di una idonea base giuridica (art. 5, par. 1, lett. a) e 6 del Regolamento).

Né, in proposito, può essere accolta la tesi della Società secondo la quale i trattamenti di dati sarebbero stati lecitamente effettuati, sulla base del proprio legittimo interesse consistente nelle “finalità di tutela dei propri diritti ed esercizio delle prerogative connesse alla gestione del contratto di lavoro”.

L’art. 6, par. 1, lett. f), del Regolamento, prevede, con esclusivo riferimento ai dati c.d. comuni, che un trattamento possa essere lecitamente effettuato qualora sia “necessario per il perseguimento del legittimo interesse del titolare del trattamento […] “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”. Pertanto il Regolamento prevede che il titolare, prima dell’inizio dei trattamenti, effettui un “test di bilanciamento” con i diritti e le libertà fondamentali dell’interessato.

Nel caso di specie, la Società ha dichiarato nelle memorie difensive di aver “effettuato, tramite le competenti funzioni aziendali ed i suoi legali esterni di fiducia specializzati in materia […], un’attenta analisi e valutazione circa la possibilità di utilizzare i suddetti dati per le contestazioni disciplinari”.

Tuttavia, in primo luogo, tale affermazione non è stata (come avrebbe dovuto in applicazione del principio di responsabilizzazione) suffragata da alcun elemento specifico relativo al contenuto della valutazione che sarebbe stata effettuata, tenuto conto che il test di bilanciamento, in base alle indicazioni fornite a livello eurounitario, deve consistere in un’attività di valutazione complessa, effettuata sulla base di una specifica metodologia adottata dal titolare, tenuto conto che il legittimo interesse, atteso il carattere oggettivamente ampio della relativa nozione, non può essere utilizzato come “ultima risorsa” qualora non risultino applicabili altre basi giuridiche (v. European data protection board, Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, Version 1.0, Adopted on 8 October 2024, punto 9; v. Provv. 15/4/2021, n. 137, doc. web n. 9670738, punto 3.2.).

Inoltre risulta che la Società non ha tenuto in debita considerazione le statuizioni adottate in proposito dalla Corte di giustizia con riguardo alla valutazione di “necessità” del legittimo interesse, alla luce del principio generale di minimizzazione (v., in ordine alle particolari condizioni in presenza delle quali è prospettabile l’applicazione dell’art. 6, par. 1, lett. f), del Regolamento, GUCE, sentenza 4/7/2023, Meta Platform e a., C-252-21, punti 102-126, 12 laddove - tra l’altro - si chiarisce che la necessità del trattamento per la realizzazione del legittimo interesse perseguito deve essere valutato anche alla luce del principio di minimizzazione, posto che il titolare deve verificare che “il legittimo interesse al trattamento dei dati perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta”).

La Corte di giustizia ha inoltre più volte affermato che, conformemente a quanto indicato nel considerando 47 del Regolamento, gli interessi e i diritti fondamentali dell’interessato possono prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un trattamento siffatto (v. GUCE, sentenza 4/10/2024, KNLTB, C-621-22, punto 45), e nel caso di specie non pare dubbio che l’interessata non potesse attendersi l’utilizzo, da parte del datore di lavoro, del contenuto di comunicazioni scambiate sui propri account Messenger e WhatsApp e di contenuti postati sul proprio profilo Facebook chiuso.

Soprattutto, nel corso del procedimento, è emerso che la Società non ha preso in considerazione, all’esito di una valutazione obiettiva, l'impatto che il trattamento avrebbe potuto avere sui diritti, sulle libertà e sugli interessi dell'interessata, nei termini sopra indicati, limitandosi a far derivare la (ritenuta) legittimità del trattamento dalla circostanza che fossero stati soggetti terzi a fornire i dati poi utilizzati per elevare le contestazioni disciplinari.

Sotto diverso profilo, la Società non ha esaminato la possibilità di esercitare le proprie “prerogative connesse alla gestione del contratto di lavoro” attraverso “altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati”, considerato che le contestazioni disciplinari facevano riferimento a fatti ulteriori, rispetto agli elementi oggetto del presente reclamo (in particolare, e in prima battuta, la richiesta di intervento della Polizia di Stato da parte della reclamante in occasione della effettuazione di “lavori di opere in verde” da parte della Società tra il 16 e 17 gennaio 2024).

Tutto ciò, con tutta evidenza, non comporta che il Garante, come sostenuto in sede difensiva dalla Società, sia “investito a monte del compito di valutare tra [i fatti ritenuti disciplinarmente rilevanti] quelli utilizzabili, e quelli che al contrario non avrebbero dovuto esserlo perché “sbilanciati” in sfavore della lavoratrice”, bensì unicamente che spetta al titolare del trattamento, come sopra ampiamente argomentato, effettuare una previa valutazione (comprovandolo all’Autorità in sede di controllo), in base al principio di responsabilizzazione (art. 5, par. 2 ), circa la liceità ma anche l’adeguatezza, la pertinenza e la proporzionalità dei trattamenti di dati che intende effettuare, in applicazione del principio generale di minimizzazione e proporzionalità dei trattamenti (art. 5, par. 1, lett. a) del Regolamento; art. 52 Carta dei diritti fondamentali dell’Unione europea; in relazione al principio di proporzionalità Corte Cost. 21/2/2019, n. 20, punto 3.1, ha rammentato che “La Corte di Giustizia dell’Unione europea ha ripetutamente affermato che le esigenze di controllo democratico non possono travolgere il diritto fondamentale alla riservatezza delle persone fisiche, dovendo sempre essere rispettato il principio di proporzionalità, definito cardine della tutela dei dati personali”).

Alla luce delle considerazioni sopra esposte, la condotta tenuta dalla Società ha pertanto violato i principi di liceità, finalità e minimizzazione di cui all’art. 5, par. 1, lett. a), b) e c) e 6 del Regolamento, vista anche l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (v. art. 2-decies del Codice), posto che una volta venuta a conoscenza che i dati trasmessi riguardavano comunicazioni private e commenti sul profilo Facebook chiuso, la Società avrebbe dovuto astenersi dall’utilizzarli.

3.2 Violazione degli artt. 5, par. 1, lett. a) e 88 del Regolamento e dell’art. 113 del Codice.

Ulteriore profilo di illiceità dei trattamenti di dati riferiti alla reclamante raccolti dal suo profilo Facebook e da conversazioni effettuate sulle piattaforme Messenger e WhatsApp, è relativo al fatto che il contenuto di tali informazioni consiste in opinioni espresse e comunicazioni intervenute in ambiti esterni al rapporto di lavoro e quindi al di fuori del perimetro relativo alla valutazione dell’attitudine professionale della lavoratrice.

In particolare, la reclamante - che ricopriva la mansione di “esattore” presso la stazione autostradale di XX - nelle conversazioni effettuate (l’8, il 9 e il 17 gennaio 2024) tramite Messenger con un esponente dell’associazione W.W.F. manifesta una diversità di opinioni con quest’ultimo, benché riferite alla valutazione dell’operato della Società in un caso specifico (“Ciao Pasquale. Ma tu per caso sei stato contattato da Autostrade per questioni riguardanti tartarughe o animali?”, “E dove? Sede Direzione?”, “Quindi se ho ben capito secondo il WWF, posare nidi per terra su alberi ingiustificatamente abbattuti, è la soluzione di tutti i mali”, “Non concordo con te e spero per il WWF che non sia stata una questione di danaro”: v. contestazione disciplinare del 21/3/2024).

Anche il contenuto di un commento inviato dalla reclamante il 22 febbraio 2024, tramite WhatsApp, ad alcuni colleghi non appare attinente all’attitudine professionale della reclamante (“Io mi comporto in linea con ciò che Autostrade vuole da me e mi fa leggere sul sito in maniera trasparente. Chi ipotizza il contrario probabilmente non è in linea o evidentemente ha tanto da nascondere”, in contestazione disciplinare del 21/3/2024).

Infine, i commenti postati sul profilo Facebook della reclamante, il 16 e 21 gennaio 2024, nei quali peraltro - secondo quanto riportato nella stessa contestazione disciplinare - non viene menzionato il nome della Società, esprimono opinioni della lavoratrice su temi ambientali, anche in questo caso non attinenti allo svolgimento dell’attività lavorativa o all’attitudine professionale, anche alla luce della mansione svolta da quest’ultima (in particolare, a corredo di una foto di alberi abbattuti, il commento riportato è stato il seguente: “abbattimenti seriali notturni di alberi tutt’ora in corso, sul piazzale di accesso al casello autostradale di XX”; in un secondo post, a corredo di “due fotografie ritraenti una scarpata autostradale”, il commento riportato è stato: “qui prima vivevano alberi innocenti”, “sterminio”: v. contestazione disciplinare del 16/2/2024).

Spetta al titolare del trattamento (la Società), valutare la sussistenza delle condizioni di liceità del trattamento dei dati personali (art. 5, par. 1, lett. a) del Regolamento) e, in tale verifica di conformità, rientrano anche le disposizioni nazionali più specifiche e di maggior tutela nell’ambito dei rapporti di lavoro indicate dall’art. 88 del Regolamento.

Tra le norme più specifiche, rientra l’art. 113 del Codice, che indica, come condizione di liceità del trattamento, l’osservanza di quanto stabilito dall’art. 8, della l. n. 300 del 1970 e dall’art. 10, del d. lgs. n. 276 del 2003.

Le due disposizioni richiamate dall’art. 113 del Codice sono state significativamente accomunate dal legislatore nella rubrica “Raccolta di dati e pertinenza”.

Già sul piano della interpretazione letterale, pertanto, emerge che il divieto per il datore di lavoro di acquisire e trattare informazioni sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, riguarda anche la “raccolta”  indipendentemente dalla modalità di acquisizione dei dati (che, come nel caso di specie, può risultare lecita),  qualora comporti dopo l’acquisizione dell’informazione, anche un’attività di verifica della veridicità e attendibilità dell’informazione stessa, preordinata all’utilizzo in un procedimento disciplinare (in particolare, nel caso di specie, la Società ha effettuato il raffronto degli screenshot dei post su Facebook del 16/1/2024, trasmessi tramite WhatsApp da un dipendente in rapporto di “amicizia” con la reclamante, con la relazione di servizio della polizia di Stato, pervenuta alla Società il 23/1/2024, relativa alla chiamata telefonica effettuata dalla reclamante, nonché il raffronto tra l’inoltro di comunicazioni con un terzo mediante Messenger, trasmesse alla Società mediante messaggio su WhatsApp dal predetto soggetto terzo, e le “operazioni di abbattimento degli alberi” richiamate nella contestazione disciplinare).

Inoltre, anche l’interpretazione sistematica delle disposizioni richiamate dall’art. 113 del Codice impone di ritenere che tale disciplina non può essere ritenuta inapplicabile solo perché il datore di lavoro/titolare del trattamento non avrebbe svolto un ruolo “attivo” nella ricerca delle informazioni.

Diversamente da quanto sostenuto dalla Società nelle memorie difensive, infatti, il richiamo al contenuto dell’art. 113 del Codice che individua, come condizione di liceità del trattamento, sia l’art. 8, della l. n. 300 del 1970 sia l’art. 10, del d. lgs. n. 276 del 2003, presente nella notifica di avvio del procedimento da parte dell’Autorità, non può essere ritenuto inconferente solo perché l’art. 10 cit. è riferito alle attività dei soggetti intermediari nel mercato del lavoro.

Tale norma infatti è evidentemente connessa all’art. 8, l. 300/1970 in quanto ne costituisce l’estensione, a seguito della creazione del mercato del lavoro aperto, e la conseguente necessità di tutelare adeguatamente la riservatezza e la dignità del lavoratore, a fronte della circolazione di un numero significativo di informazioni personali (v. l. 14/2/2003, n. 30, Delega al Governo in materia di occupazione e mercato del lavoro, art. 1, co. 2, lett. g), che prevede, tra i principi e criteri di delega, la “prevenzione delle forme di esclusione sociale e vigilanza sugli operatori, con previsione del divieto assoluto per gli operatori privati e pubblici di qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione dei lavoratori, anche con il loro consenso”, relativamente ad informazioni riferite “all'affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale, o di famiglia, o di gravidanza, nonché ad eventuali controversie con i precedenti datori di lavoro”, nonché il divieto “di raccogliere, memorizzare o diffondere informazioni sui lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo”).

Tale specifica disposizione, pertanto, costituisce parte integrante di un sistema di tutele della riservatezza dell’interessato, nel contesto lavorativo, a fronte di (rilevanti) rischi di discriminazione che, a partire dalla originaria norma del 1970, ha dato attuazione alle direttive comunitarie, in materia di parità di trattamento e di non discriminazione nel mercato del lavoro (v. direttiva 2000/43/CE del Consiglio, del 29 giugno 2000, che attua il principio della parità di trattamento fra le persone indipendentemente dalla razza e dall'origine etnica e direttiva 2000/78/CE, del Consiglio, del 27 novembre 2000, che stabilisce un quadro generale per la parità di trattamento in materia di occupazione e di condizioni di lavoro, recepite nel nostro ordinamento con il d. lgs. 9/7/2003, n. 216, Attuazione della direttiva 2000/78/CE per la parità di trattamento in materia di occupazione e di condizioni di lavoro).

Il Garante, d’altra parte, ha già ritenuto integrata la violazione della norma in caso di utilizzo, all’interno del procedimento disciplinare, di dati, relativi a “categorie particolari”, tratti da un sito web d’incontri, acquisiti dal datore di lavoro a seguito di una segnalazione da parte di alcuni dipendenti (Provv. 24/4/2024, n. 268, doc. web n. 10021491, laddove ha stabilito che “le informazioni relative alle attività e ai comportamenti assunti dal dipendente, al di fuori dello svolgimento dei propri compiti e mansioni, e non interferenti, neanche in via indiretta, con l’esecuzione della prestazione lavorativa, afferiscono alla vita privata del lavoratore, la cui tutela è garantita dal quadro normativo a livello sovranazionale (cfr. art. 8, par. 2, della Convenzione europea dei diritti dell’uomo e art. 7 della Carta dei diritti fondamentali dell’Unione europea e, per i profili di protezione dei dati, cons. 1 del Regolamento) nonché dalle disposizioni nazionali ed europee, stratificatesi nel tempo, che mirano a prevenire differenziazioni penalizzanti nel delicato contesto lavorativo e professionale (v., ad esempio, l’art. 15, l. 20 maggio 1970, n. 300; l’art. 6 della l. 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare l´esistenza di uno stato di sieropositività; v. anche, Corte di Giustizia dell’Unione Europea, sentenza 12 gennaio 2023, causa C 356/21; v. anche Cass. civ. sez. I – 15 dicembre 2020, n. 28646, spec. p. 5.5.). In tale quadro, si collocano anche le norme a tutela della riservatezza e della dignità dell’interessato-lavoratore, con garanzie che si traducono in limitazioni al potere direttivo, e in particolare, quelle che, fin dal 1970, vietano al datore di lavoro, pubblico e privato, di raccogliere e comunque “trattare” dati non pertinenti rispetto alla mansione svolta o informazioni “su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore” a meno che “non si tratti di caratteristiche che incidono sulle modalità di svolgimento dell’attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento” della stessa (cfr. combinato disposto dell’art. 8 della l. 20 maggio 1970, n. 300 e art. 10 del d.lgs. 10 settembre 2003, n. 276, richiamati dall’art. 113 del Codice, “Raccolta dati e pertinenza”)”.

Al riguardo, preme evidenziare che la precedente decisione del Garante (Provv. 20/4/2017, n. 202), richiamata dalle difese della Società, riguarda un caso diverso da quello oggetto del presente procedimento (una dipendente aveva presentato al datore di lavoro una segnalazione relativa al ricevimento di una comunicazione di tipo sindacale, ricevuta via e-mail, allegata alla segnalazione).

Infine si rileva in proposito, ad abundantiam, che l’adozione, da parte della Società, nel mese di dicembre 2020, della “Social media policy” aziendale (All. 4 riscontro della Società 2/10/2024), non fa venir meno l’illiceità della condotta nei termini su indicati.

Ciò in quanto la predetta “policy” contiene indicazioni che non sono state disattese dalla reclamante (“Non divulgare impropriamente contenuti aziendali”; “Distinguere la sfera personale dalla rappresentanza aziendale”; “Ricorda di non divulgare impropriamente contenuti aziendali, come foto, video tuoi o di altri dipendenti o luoghi di lavoro e locations aziendali, inclusi elementi che riproducano il logo aziendale”), considerato, in primo luogo, che la reclamante, che non ricopriva peraltro ruoli apicali o comunque di rappresentanza, non ha espressamente menzionato il nome della Società associando immagini e commenti di alberi abbattuti ad attività di quest’ultima.

In ogni caso, la policy aziendale adottata in materia di “social media” non può che essere letta (e interpretata) alla luce dei principi e delle disposizioni dell’ordinamento nei termini indicati.

I trattamenti effettuati dalla Società nei termini sopra descritti sono pertanto avvenuti, per i motivi suesposti, in violazione degli artt. 5, par. 1, lett. a) e 88 del Regolamento e dell’art. 113 del Codice, vista anche l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (v. art. 2-decies del Codice), posto che una volta venuta a conoscenza che i dati trasmessi riguardavano fatti non rilevanti ai fini della valutazione dell’attitudine professionale della dipendente, la Società avrebbe dovuto astenersi dall’utilizzarli.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’utilizzo di comunicazioni dell’interessata effettuate sulle piattaforme Messenger e WhatsApp nonché commenti e opinioni inseriti nella pagina chiusa Facebook; per effettuare due contestazioni disciplinari, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), b) e c), 6 e 88 del Regolamento e art. 113 del Codice.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni più specifiche in materia di raccolta di dati e pertinenza.

L’Autorità ha altresì tenuto conto del livello elevato di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e, in particolare, la natura e la gravità della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento), nonché le circostanze aggravanti e attenuanti rilevanti nel caso concreto.

[OMISSIS]

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Autostrade per l’Italia S.p.A., in persona del legale rappresentante, con sede legale in Via Alberto Bergamini, 50, Roma (RM), C.F. 07516911000, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), b) e c), 6 e 88 del Regolamento e art. 113 del Codice;

[OMISSIS]

DISPONE

- [OMISSIS]

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Catanzaro, 21 maggio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi