Rapporti di lavoro: attenzione al GDPR!

L’uso improprio dei dati personali dei dipendenti continua a rappresentare una delle aree più delicate e critiche nell’applicazione del GDPR. Due recenti provvedimenti del Garante per la protezione dei dati personali hanno ribadito in modo chiaro che il datore di lavoro non può trattare i dati dei lavoratori in assenza di una valida base giuridica, nemmeno quando vi sia un’apparente finalità legittima come l’avvio di un procedimento disciplinare o la tutela del patrimonio aziendale.

Vediamo due esempi concreti che, pur differenti per contesto e obiettivo, hanno in comune lo stesso vizio di fondo: un trattamento illecito dei dati personali dei dipendenti.

Caso 1 – I contenuti privati sui social non giustificano il licenziamento

In un primo caso, Autostrade per l’Italia S.p.A. è stata sanzionata con 420.000 euro per aver utilizzato, nel contesto di un licenziamento, conversazioni private estratte dai profili social di una dipendente. I contenuti, provenienti da Facebook, Messenger e WhatsApp, erano stati raccolti tramite screenshot inviati da colleghi e terze persone in contatto con la lavoratrice. Le chat, tuttavia, erano avvenute in ambienti digitali ad accesso limitato e trattavano opinioni e commenti non collegati all’attività lavorativa.

Secondo il Garante, l’azienda ha violato i principi fondamentali del GDPR, tra cui liceità, limitazione della finalità e minimizzazione, trattando dati raccolti in maniera non trasparente, senza una base giuridica adeguata e in un contesto irrilevante rispetto alla valutazione della condotta lavorativa. Anche nel procedimento disciplinare, il datore di lavoro è tenuto a rispettare la sfera privata dei dipendenti e non può ricorrere a contenuti riservati senza una motivazione legittima.

Caso 2 – Le impronte digitali non sono un badge

Nel secondo episodio, un Istituto scolastico superiore di Tropea è stato sanzionato con 4.000 euro per aver adottato un sistema di riconoscimento biometrico basato sulle impronte digitali del personale amministrativo, con lo scopo di monitorare le presenze e prevenire atti vandalici. Il trattamento coinvolgeva anche i lavoratori che avevano espresso il proprio consenso all’uso delle impronte, rifiutando le modalità di rilevazione tradizionali.

Tuttavia, il Garante ha ribadito un principio già espresso in precedenti pareri: il consenso non è uno strumento sufficiente per giustificare il trattamento di dati biometrici nel contesto lavorativo, vista l’asimmetria del rapporto tra datore e dipendente. Inoltre, l’uso di tecnologie biometriche richiede una norma specifica, giustificata da un interesse pubblico e conforme ai criteri di necessità e proporzionalità. In questo caso, tali presupposti mancavano.

Conclusione: il rispetto dei diritti dei lavoratori viene prima di tutto

I due casi illustrano bene come anche strumenti apparentemente leciti (come l’uso del consenso o di contenuti accessibili online) non possano giustificare trattamenti invasivi o sproporzionati dei dati dei dipendenti. Il principio che li accomuna è semplice ma fondamentale: i dati personali dei lavoratori non sono “a disposizione” del datore di lavoro, nemmeno quando l’intento sia disciplinare o organizzativo.

Una corretta gestione della privacy in ambito lavorativo richiede attenzione, formazione e consapevolezza: ogni trattamento deve poggiare su basi giuridiche solide e rispettare la dignità e la riservatezza della persona. La normativa GDPR non vieta l’uso dei dati, ma ne disciplina rigorosamente i limiti. E, come dimostrano queste sanzioni, i limiti non possono essere ignorati.

Di seguito, i link ai provvedimenti pubblicati dal Garante:

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10143261

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10138981

 

Se vuoi saperne di più su come gestire al meglio il rapporto con i tuoi collaboratori, senza rischiare sanzioni, contattaci, cliccando qui.

 

Daniele Umberto Spano

CEO KRUZER S.R.L.