Logo bianco Studio Scognamiglio

Con provvedimento n. 107 del 24 febbraio 2026 il Garante Privacy ha ordinato, con effetto immediato, ad una nota società di logistica di interrompere il trattamento di dati personali oltre 1800 lavoratori.

Come si legge nel provvedimento, dalle verifiche svolte dall’ufficio del Garante, era risultato che, per mezzo di una piattaforma collegata al sistema di rilevazione delle presenze, venivano raccolte, in maniera sistematica e per tutta la durata del rapporto di lavoro, informazioni dei lavoratori.

Tra queste, erano comprese informazioni che facevano riferimento a specifiche patologie sofferte dai lavoratori, all’adesione di scioperi o partecipazione ad attività sindacali, nonché a dati personali familiari.

Si trattava di dati e commenti - conservati anche fino a dieci anni dalla cessazione del rapporto – che venivano inseriti nella piattaforma a seguito dei colloqui svolti dai manager a seguito delle assenze dei lavoratori.

Secondo il Garante, il trattamento avveniva in palese violazione della normativa che vieta al datore di trattare dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Inoltre, la Società dovrà interrompere anche il trattamento dei dati raccolti mediante le telecamere posizionate in prossimità di bagni e aree ristoro.

Il Garante della Privacy ha sanzionato con una multa di quarantamila euro una società che aveva violato la segretezza della casella e-mail di un lavoratore dopo la cessazione del rapporto di lavoro.

Il lavoratore reclamante aveva appurato che l’ex datrice di lavoro, a seguito del licenziamento disciplinare, aveva mantenuta attiva la sua casella di posta elettronica aziendale; aveva così chiesto alla società di disabilitare l’account, di inoltrare i messaggi pervenuti nel frattempo al suo indirizzo e-mail personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo e-mail. Tuttavia, tale (legittima) richiesta non era stata accolta.

Dall’istruttoria svolta dal Garante, come si legge nel provvedimento, era emerso che l’azienda non solo aveva continuato (per due mesi) ad accedere alla casella e-mail, ma aveva inoltrato le comunicazione nelle more pervenute ad un altro indirizzo di posta elettronica aziendale.

Da un punto di vista generale – si legge nel provvedimento - l’Autorità ha già ritenuto conforme ai principi in materia di protezione dei dati personali “che, a tutela di possibili e legittime esigenze di continuità dell’attività aziendale, dopo la cessazione del rapporto di lavoro, il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informare i terzi mittenti e a fornire, a questi ultimi, indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee a impedire la visualizzazione dei messaggi in arrivo, durante il periodo in cui tale sistema automatico è in funzione”.

In relazione al caso specifico, l’operazione di inoltro della corrispondenza su un altro account aziendale, per circa due mesi, della casella di posta elettronica del reclamante (per un periodo di tempo diverso da quello indicato nel disciplinare interno, pari a 30 giorni), per mere esigenze organizzative - secondo il Garante -  ha di fatto realizzato un trattamento di dati personali contrario ai principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e), del Regolamento), in base ai quali i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In argomento si veda anche Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta nonché Log di navigazione e metadati dei lavoratori.

Il Garante Privacy ha irrogato una sanzione di 420 mila euro ad Autostrade per l’Italia per aver trattato in maniera illecita i dati personali di una lavoratrice, poi utilizzati per giustificarne il licenziamento.

La lavoratrice aveva presentato reclamo al Garante, lamentando, appunto il trattamento illecito dei dati, anche con riguardo all’utilizzo ritenuto “improprio” di dati personali tratti da messaggi scambiati su account di WhatsApp e Messenger e dal profilo Facebook, per fini connessi al rapporto di lavoro.

Nel riassumere il quadro normativo applicabile, il Garante ha rammentato che il datore di lavoro privato può trattare i dati personali dei lavoratori (art. 4, n. 1, del Regolamento), anche relativi a “categorie particolari”, di regola, se il trattamento è necessarioper adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure se è necessario “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (artt. 6, par. 1, lett. b) e c), e 2 e 3, e art. 9, parr. 2, lett. b) e 4; 88 del Regolamento).

In caso di trattamento di dati “comuni” il titolare del trattamento/datore di lavoro può effettuare operazioni di trattamento qualora ciò sia necessario per il perseguimento di un legittimo interesse “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali” (art. 6, par. 1, lett. f) del Regolamento).

Il titolare del trattamento è altresì tenuto ad osservare i principi generali della materia, in particolare quello di “liceità, correttezza e trasparenza”, di “limitazione delle finalità” e di “minimizzazione dei dati” (art. 5, par. 1, lett. a), b) e c) del Regolamento).

Nel caso di specie, dall’istruttoria era emerso che la Società aveva elaborato due contestazioni disciplinari utilizzando, in aggiunta al riferimento ad ulteriori fatti contestati, il contenuto di comunicazioni effettuate dalla reclamante attraverso il proprio profilo Facebook e i canali di messaggistica Messenger e WhatsApp.

In particolare, la Società, dopo aver ricevuto, tramite comunicazione WhatsApp, alcuni screenshot tratti dal profilo Facebook e dagli account Messenger e WhatsApp della reclamante estratti da alcuni partecipanti alle comunicazioni, aveva ritenuto di utilizzarli nel procedimento disciplinare, pur senza essersi direttamente attivata per effettuare ricerche presso il profilo social o i canali di messaggistica istantanea.

Secondo il Garante, l’assenza di un “ruolo attivo” della Società nella ricerca delle informazioni non ha alcun rilievo ai fini della identificazione dell’attività consistente nel successivo utilizzo nel procedimento disciplinare quale “trattamento”, in quanto ne costituisce solo una delle possibili manifestazioni.

Come si legge nel provvedimento (qui il testo integrale), i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida.

Nel motivare la propria decisione, il Garante ha precisato che i dati personali pubblicati sui social network o, più in generale, disponibili in rete, non possono essere utilizzati indiscriminatamente e a ogni fine, solo perché accessibili a un numero più o meno esteso di persone.

La condotta tenuta dalla Società – secondo il Garante - ha violato i principi di liceità, finalità e minimizzazione di cui all’art. 5, par. 1, lett. a), b) e c) e 6 del Regolamento, vista anche l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (v. art. 2-decies del Codice), posto che, una volta venuta a conoscenza che i dati trasmessi riguardavano comunicazioni private e commenti sul profilo Facebook chiuso, la Società avrebbe dovuto astenersi dall’utilizzarli.

Copyright © Studio Legale Scognamiglio
Prof. Avv. Claudio Scognamiglio
Corso Vittorio Emanuele II, 326 - 00186 
07673290586 - SCGCLD62B01F839Z
Iscriviti alla newsletter
 
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram