Controllo dei dipendenti e privacy: il Garante sanziona Autostrade per l’Italia

Il confine tra potere disciplinare del datore di lavoro e diritto alla privacy del dipendente è oggi un tema molto caldo. A rafforzare l’attenzione su questo fronte, il recente intervento del Garante per la protezione dei dati personali che, con provvedimento del 21 maggio 2025, ha comminato una sanzione di 420.000€ ad Autostrade per l’Italia per illecito trattamento dei dati personali di una dipendente.

In particolare, l’azienda avrebbe utilizzato senza le dovute cautele dei dati e contenuti provenienti dai social network e dalle chat private della lavoratrice come base per una procedura disciplinare poi culminata nel licenziamento.

Nello specifico, la dipendente aveva pubblicato su Facebook in modalità visibile solo agli “amici” alcuni post critici verso degli interventi ambientali dell’azienda, nonché scambiato altri messaggi con colleghi e attivisti, in cui esprimeva chiaramente la sua posizione personale sui predetti temi ambientali.

Questi contenuti erano stati poi trasmessi all’azienda da terzi, colleghi e interlocutori esterni, e dunque non raccolti direttamente dalla società.

Proprio su questa circostanza si è fondata la principale linea difensiva dell’azienda, che ha sostenuto di non aver mai effettuato un controllo diretto o sistematico sui canali digitali della dipendente, ma di essersi limitata a ricevere passivamente i materiali da parte di terzi. In tale prospettiva, Autostrade per l’Italia ha dunque invocato il legittimo interesse ex art. 6, par. 1, lett. f) del Reg. UE n. 679/2016 (c.d. GDPR), ritenendo di aver agito nel rispetto della normativa, soprattutto in vista dell’instaurazione di un contenzioso giudiziale.

Il Garante, tuttavia, ha operato una ricostruzione molto diversa. L’Autorità ha infatti chiarito che anche la ricezione passiva di dati personali configura a tutti gli effetti un trattamento e, per tale ragione, comporta l’applicazione integrale dei principi generali del GDPR. La nozione di “trattamento” adottata dal Regolamento è infatti ampia e comprende qualsiasi operazione effettuata sui dati personali, inclusa la mera consultazione o conservazione, e ancor di più l’uso per provvedimenti disciplinari.

Anche nel contesto dei social network, pertanto, esiste una tutela della riservatezza quando l’utente adotti impostazioni idonee a limitare la visibilità dei propri contenuti.

Nel caso concreto, la dipendente aveva configurato il proprio profilo Facebook in modo da condividere i post esclusivamente con la cerchia di contatti personali. Analogamente, per stessa natura dello strumento prescelto, era stato fatto per le conversazioni private su Messenger e WhatsApp.

Il Garante ha inoltre evidenziato l’assenza di un adeguato test di bilanciamento tra gli interessi in gioco, requisito indispensabile per fondare il trattamento sul legittimo interesse, che richiede sempre una valutazione sostanziale, metodologicamente strutturata e documentata.

In conclusione, il provvedimento si inserisce in un contesto molto attuale in cui il crescente utilizzo delle tecnologie digitali rende sempre più necessario un bilanciamento attento tra potere organizzativo del datore di lavoro e tutela dei diritti fondamentali del lavoratore.

In questa prospettiva, il Garante italiano ha ribadito che le aziende non possono prescindere da un approccio strutturato e conforme alla normativa sulla protezione dei dati personali, ancor più quando intendono utilizzare contenuti digitali per finalità disciplinari o sanzionatorie.