ENG The article analyses the Italian Data Protection Authority’s decision of 21 May 2025, no. 288, on the use of employees’ data taken from Facebook, WhatsApp and Messenger for disciplinary purposes. The Data Protection Authority classifies the use of screenshots of posts and private chats as processing and finds it unlawful for breach of lawfulness, purpose limitation and data minimisation (arts. 5, 6, 88 GDPR; art. 113 Italian Privacy Code). In light of the Constitution, the ECHR and ECtHR case law (Copland, Bărbulescu, Saber), the paper outlines the limits of social-media-based disciplinary control and proposes criteria to balance the employer’s legitimate interests with workers’ fundamental rights.

1. Premessa: l’oggetto della decisione e la questione giuridica

Il provvedimento n. 288 del 21 maggio 2025 del Garante per la protezione dei dati personali, relativo ad Autostrade per l’Italia S.p.A. (di seguito, Autostrade), trae origine dal reclamo di una lavoratrice licenziata all’esito di un procedimento disciplinare fondato anche su contenuti tratti dal suo profilo Facebook, da conversazioni Messenger con un soggetto terzo e da messaggi WhatsApp scambiati con colleghi¹.

La decisione pone al centro una questione ormai ricorrente nella prassi: ossia fino a che punto il datore di lavoro può utilizzare, per finalità disciplinari, dati personali del lavoratore reperiti su social network e piattaforme di messaggistica, in particolare quando si tratta di profili “chiusi” o di chat tra soggetti determinati e quando tali dati sono stati inizialmente comunicati da terzi (colleghi, conoscenti, soggetti estranei all’impresa)².

L’Autorità qualifica come trattamento, ai sensi dell’art. 4, n. 2, GDPR, l’utilizzo da parte di Autostrade degli screenshot dei post su Facebook, delle conversazioni su Messenger e dei messaggi su WhatsApp, ricevuti tramite altri dipendenti o soggetti terzi³. La decisione individua plurime violazioni degli artt. 5, 6 e 88 GDPR e dell’art. 113 del Codice privacy⁴, con riferimento sia al difetto di base giuridica sia al mancato rispetto dei principi di finalità e minimizzazione.

La chiave di lettura che si propone è duplice. Da un lato, la decisione chiarisce il perimetro dei poteri datoriali di controllo disciplinare nell’era digitale, imponendo che essi si confrontino seriamente con la disciplina sulla protezione dei dati personali⁵. Dall’altro lato, essa conferma che le norme speciali sul lavoro (art. 8 l. n. 300/1970, art. 10 d.lgs n. 276/2003, richiamate dall’art. 113 Codice privacy) operano come condizioni di liceità del trattamento ai sensi dell’art. 88 GDPR⁶.

2. Il quadro normativo: GDPR, Codice privacy e Statuto dei lavoratori

Il primo riferimento è al GDPR, che all’art. 6 individua le basi di liceità del trattamento e all’art. 88 consente agli Stati membri di adottare norme più specifiche per il trattamento nell’ambito del rapporto di lavoro. L’art. 5, par. 1, fissa i principi di liceità, correttezza, trasparenza, limitazione della finalità e minimizzazione, che il Garante ritiene violati da Autostrade⁷.

Sul versante interno, il Codice privacy disciplina all’art. 113 la “Raccolta di dati e pertinenza”, rinviando espressamente all’art. 8 dello Statuto dei lavoratori e all’art. 10 del d.lgs. n. 276/2003^[8]8. Tali disposizioni vietano al datore di lavoro di raccogliere informazioni sulle opinioni politiche, religiose o sindacali del lavoratore e, più in generale, su fatti non rilevanti ai fini della valutazione dell’attitudine professionale⁹. L’osservanza di tali limiti costituisce, secondo il Garante, una specifica condizione di liceità del trattamento, da cumulare alle condizioni generali fissate dal GDPR¹⁰.

Il quadro è completato, sul piano costituzionale e sovranazionale, dagli artt. 15 e 21 Cost., dall’art. 8 CEDU e dagli artt. 7, 8 e 52 della Carta dei diritti fondamentali dell’Unione europea, che presidiano la segretezza delle comunicazioni, la libertà di manifestazione del pensiero e la dignità del lavoratore¹¹. La giurisprudenza costituzionale e sovranazionale ha ribadito che tali diritti possono essere compressi solo nel rispetto di un rigoroso principio di proporzionalit๲.

La dottrina ha da tempo evidenziato come il rinvio operato dall’art. 113 del Codice al combinato disposto di art. 8 l. n. 300/1970 e art. 10 d.lgs n. 276/2003 determini una “privacy del lavoro” connotata da un surplus di tutela rispetto al regime generale del trattamento, in ragione della posizione di debolezza contrattuale del lavoratore e dell’elevato rischio di discriminazioni fondate su informazioni eccedenti rispetto alla prestazione dovuta¹³.

3. Social network, messaggistica e nozione di trattamento nel rapporto di lavoro

Il Garante qualifica esplicitamente come trattamento l’utilizzo da parte di Autostrade dei contenuti digitali relativi alla lavoratrice: commenti pubblicati sul profilo Facebook (in modalità accessibile solo agli “amici”), conversazioni intrattenute con un terzo su Messenger e messaggi inviati a colleghi tramite WhatsApp¹⁴.

Autostrade non aveva ricercato direttamente tali contenuti: essi erano stati trasmessi all’azienda da un collega “amico” Facebook, da un partecipante alla chat Messenger e da un collega che aveva inoltrato la conversazione WhatsApp¹⁵. La società ha sostenuto che la mancanza di un “ruolo attivo” nella raccolta escludesse l’applicazione dei divieti di indagine previsti dallo Statuto e dall’art. 113 Codice privacy¹⁶.

Il Garante respinge questa impostazione, ricordando che la nozione di trattamento (art. 4, n. 2 GDPR) comprende qualsiasi operazione sui dati, ivi inclusi la raccolta, la registrazione, la conservazione e l’utilizzo, a prescindere dal modo in cui il titolare ne sia venuto in possesso¹⁷. La ricezione degli screenshot via e-mail o messaggistica e il loro successivo inserimento nelle contestazioni disciplinari configurano, quindi, un trattamento pienamente imputabile al datore di lavoro¹⁸.

Sotto questo profilo, la decisione si pone in linea con la giurisprudenza di Cassazione che riconosce nel mero “dato oggettivo dell’acquisizione di informazioni attinenti al dipendente” un trattamento di dati personali, i cui limiti vanno ricostruiti avendo riguardo alla gestione del rapporto di lavoro¹⁹. La circostanza che l’azienda non abbia materialmente “spiato” i profili social del dipendente non la esonera dal rispetto dei principi di liceità, finalità e minimizzazione²⁰.

4. Comunicazioni digitali e segretezza della corrispondenza del lavoratore

Il nucleo più innovativo del provvedimento riguarda la qualificazione delle conversazioni su Messenger e WhatsApp come corrispondenza privata, coperta dalla garanzia dell’art. 15 Cost. e dell’art. 8 CEDU. Il Garante richiama la definizione ampia di corrispondenza adottata dalla Corte costituzionale e dalla Cassazione, che ricomprende ogni comunicazione di pensiero umano attuata in modo diverso dalla conversazione in presenza, includendo e-mail, SMS, messaggi WhatsApp e simili.

In linea con la giurisprudenza della Corte EDU (Copland, Bărbulescu, Saber), la decisione afferma che anche nel contesto lavorativo il dipendente conserva una ragionevole aspettativa di riservatezza rispetto alle comunicazioni indirizzate a soggetti determinati e non destinate ad un pubblico indifferenziato²¹. Tale garanzia non viene meno per il solo fatto che uno dei partecipanti alla chat decida di inoltrare la conversazione al datore di lavoro²².

Una recente sentenza della Cassazione (Cass. 28 febbraio 2025, n. 5354), ribadisce che la segretezza della corrispondenza e la riservatezza nel rapporto di lavoro costituiscono “presidi della dignità del lavoratore” e che non è dirimente che il datore abbia appreso il contenuto del messaggio “di propria iniziativa” o tramite terzi²³. In questa prospettiva, l’utilizzo disciplinare delle chat WhatsApp risulta difficilmente compatibile con l’art. 15 Cost., salvo che ricorrano le condizioni – qui assenti – di una limitazione per atto motivato dell’autorità giudiziaria²⁴.

La stessa logica si estende al profilo Facebook cd. “chiuso”: una comunicazione indirizzata agli “amici”, ovvero a una cerchia determinata, genera una legittima aspettativa di riservatezza; i messaggi che circolano in tali contesti, se non destinati alla generalità degli utenti, devono essere considerati alla stregua di corrispondenza privata, chiusa e inviolabile²⁵. La qualificazione adottata dal Garante rappresenta un passo importante nel riconoscere che la digitalizzazione non svuota il contenuto della libertà e segretezza delle comunicazioni, ma ne amplia l’ambito applicativo²⁶.

5. Liceità, finalità e minimizzazione nel test di bilanciamento del legittimo interesse

Autostrade ha giustificato il trattamento dei dati della lavoratrice invocando il legittimo interesse ai sensi dell’art. 6, par. 1, lett. f), GDPR, individuato nella tutela dei propri diritti e nell’esercizio delle prerogative connesse alla gestione del rapporto di lavoro, anche in vista del contenzioso sul licenziamento²⁷.

Il Garante osserva anzitutto che l’invocazione del legittimo interesse postula l’effettuazione di un test di bilanciamento documentato, in linea con il considerando 47 GDPR, con il Parere 1/2017 del Gruppo art. 29 e con le Raccomandazioni del Consiglio d’Europa sul trattamento nel contesto occupazionale²⁸. Tale valutazione richiede di considerare: (a) la natura e l’intensità dell’interferenza sui diritti dell’interessato; (b) le sue ragionevoli aspettative; (c) l’esistenza di misure alternative meno invasive²⁹.

Inoltre, alla luce della sentenza Meta Platforms (C-252/21), la necessità del trattamento per il perseguimento del legittimo interesse deve essere scrutinata anche in rapporto al principio di minimizzazione: il titolare deve verificare che l’obiettivo perseguito non possa essere raggiunto con strumenti che incidano in misura minore sui diritti fondamentali dell’interessato³⁰. Nel caso di specie, il Garante sottolinea che le contestazioni disciplinari richiamavano ulteriori fatti (in particolare, l’intervento della polizia richiesto dalla lavoratrice), suscettibili di autonoma valorizzazione senza attingere alle comunicazioni private.

Sotto il profilo della finalità, il provvedimento richiama l’esigenza di verificare la compatibilità tra le finalità originarie della raccolta dei dati e le finalità successive. Il fatto che un contenuto sia accessibile online o circoli su un social network non legittima, di per sé, il suo riuso per scopi disciplinari, soprattutto quando la comunicazione sia destinata a una cerchia ristretta di destinatari³¹.

In definitiva, il Garante conclude per la violazione dei principi di liceità, finalità e minimizzazione, ritenendo che l’azienda, una volta venuta a conoscenza del carattere privato e non pertinente delle comunicazioni, avrebbe dovuto astenersi dal loro utilizzo, ai sensi dell’art. 2-decies Codice privacy³².

6. Raccolta dati, pertinenza e attitudine professionale ex art. 113 Codice privacy

Un ulteriore, decisivo versante della decisione attiene alla violazione dell’art. 113 Codice privacy, che valorizza la nozione di pertinenza rispetto all’attitudine professionale del lavoratore³³.

Il contenuto dei post Facebook della lavoratrice – riferiti a operazioni di abbattimento di alberi nei pressi del casello autostradale e caratterizzati da espressioni critiche in chiave ambientale – non menziona direttamente la società e non interferisce con la corretta esecuzione della prestazione; si tratta di opinioni personali espresse in ambito extraprofessionale. Analogamente, le conversazioni Messenger con un esponente di un’associazione ambientalista e il messaggio WhatsApp ai colleghi contengono divergenze di opinione sull’operato dell’azienda, ma non incidono sull’attitudine tecnica della lavoratrice, addetta all’esazione dei pedaggi³⁴.

In continuità con il provvedimento del Garante 24 aprile 2024, n. 268, relativo all’utilizzo disciplinare di dati tratti da un sito di incontri, l’Autorità afferma che le informazioni relative alle attività e ai comportamenti del dipendente al di fuori dei compiti e delle mansioni assegnate, e non interferenti neppure indirettamente con l’esecuzione della prestazione, attengono alla vita privata e non possono essere oggetto di raccolta e trattamento ai fini valutativi³⁵.

La ricostruzione sistematica proposta dal Garante mostra come l’art. 10 del d.lgs n. 276/2003 estenda la logica dell’art. 8 Statuto anche ai soggetti che operano nel mercato del lavoro, vietando la raccolta e la diffusione di informazioni non strettamente attinenti alle attitudini professionali e all’inserimento lavorativo³⁶. L’art. 113 Codice privacy, richiamando entrambe le norme, conferma che la pertinenza rispetto all’attitudine professionale è condizione di liceità di qualsiasi trattamento di dati del lavoratore, anche quando il titolare si limiti a utilizzare informazioni che gli siano pervenute da terzi³⁷.

La conclusione del Garante è netta: una volta accertato che i dati riguardano opinioni e fatti non rilevanti ai fini della valutazione professionale, il datore di lavoro deve astenersi dall’utilizzarli, a pena di illecito trattamento ai sensi degli artt. 5, 6 e 88 GDPR e dell’art. 113 Codice privacy³⁸.

7. Il controllo disciplinare fondato su Facebook, WhatsApp e Messenger

La decisione affronta anche il delicato rapporto tra controllo disciplinare e disciplina del trattamento dei dati personali. Autostrade ha contestato al Garante di aver invaso la sfera di competenza del giudice del lavoro, sostituendosi nella valutazione circa la legittimità del licenziamento e la proporzionalità del provvedimento espulsivo³⁹.

L’Autorità precisa che il proprio scrutinio si limita all’accertamento della liceità dei trattamenti, ai sensi dell’art. 57 GDPR e degli artt. 154 e 154-bis Codice privacy, senza interferire con la valutazione giudiziale della legittimità del licenziamento⁴⁰. Il giudice del lavoro resta competente a decidere sull’utilizzabilità probatoria dei dati e sulla proporzionalità della sanzione disciplinare; tuttavia, il trattamento di dati in violazione della normativa comporta, ai sensi dell’art. 2-decies Codice, l’inutilizzabilità degli stessi nei procedimenti amministrativi e giudiziari che ne costituiscano l’esito diretto⁴¹.

Ne deriva un duplice vincolo per il datore di lavoro: da un lato, il rispetto della normativa sui controlli a distanza (art. 4 Statuto, art. 114 Codice privacy); dall’altro, il rispetto delle regole sulla raccolta di dati e sulla pertinenza (art. 8 Statuto, art. 113 Codice). Come la dottrina ha evidenziato, il sistema risultante non mira a sterilizzare il potere disciplinare, ma a incanalarlo entro un perimetro di proporzionalità e lealtà nel trattamento delle informazioni personali del lavoratore.

L’utilizzo di dati social per finalità disciplinari è dunque astrattamente ammissibile solo quando: (a) si tratti di contenuti effettivamente pubblici, destinati ad una platea indeterminata; (b) il loro oggetto incida in modo diretto o indiretto sulla corretta esecuzione della prestazione, sull’affidabilità o sulla sicurezza; (c) sia stato effettuato un test di bilanciamento documentato, inclusa la verifica di mezzi meno invasivi⁴². Tali requisiti non risultavano soddisfatti nel caso Autostrade.

8. Continuità e discontinuità rispetto ai precedenti del Garante e della giurisprudenza

Autostrade aveva invocato, a propria difesa, il provvedimento del Garante 20 aprile 2017, n. 202, confermato dalla sentenza n. 15161/2021 della Cassazione, in cui l’Autorità aveva ritenuto legittimo l’utilizzo, a fini disciplinari, di dati reperiti su Facebook⁴³.

Il Garante chiarisce che non si verifica alcuna inversione di rotta: la diversa conclusione dipende dal differente contesto fattuale e, in particolare, dal carattere privato o pubblico dei contenuti, nonché dalla loro pertinenza rispetto all’attitudine professionale⁴⁴. Nel caso Autostrade, i dati provenivano da un profilo chiuso e da chat private, e concernevano opinioni e condotte non interferenti con la prestazione.

La decisione si inserisce invece in un solco di continuità con:
– i provvedimenti relativi all’utilizzo di dati reperibili online da parte di amministrazioni pubbliche per finalità di vigilanza o selezione del personale, nei quali il Garante ha ribadito che l’accessibilità in rete non legittima qualsiasi riuso dei dati⁴⁵;
– il Codice di condotta per il settore delle Agenzie per il lavoro, che vieta di trattare dati di profili social non professionali e impone di limitarsi alle informazioni connesse all’attitudine professionale del candidato, nella misura meno intrusiva possibile⁴⁶;
– il citato provvedimento n. 268/2024 (sito di incontri), nel quale si è esclusa la liceità dell’uso disciplinare di dati relativi alla vita privata del dipendente, estranei alla prestazione lavorativa⁴⁷.

Sul piano giurisprudenziale, la decisione rafforza, da un lato, l’orientamento di Cass. n. 21107/2014 in ordine all’ampiezza della nozione di trattamento; dall’altro, si coordina con Cass. n. 21965/2018 sull’assimilazione delle chat chiuse alla corrispondenza privata e con Cass. n. 5354/2025, che estende tali garanzie ai gruppi WhatsApp tra colleghi⁴⁸.

Nello stesso tempo, il richiamo alla giurisprudenza della Corte di giustizia in materia di legittimo interesse (in particolare Meta Platforms) e alla giurisprudenza costituzionale più recente (sent. n. 170/2023) contribuisce a situare la decisione in un quadro europeo di tutela rafforzata dei diritti fondamentali, in cui la logica della minimizzazione e della proporzionalità assume valore sistemico⁴⁹.

9. Implicazioni sistemiche e indicazioni operative per il datore di lavoro

Il provvedimento Autostrade produce conseguenze sistemiche rilevanti per l’organizzazione aziendale e la gestione delle risorse umane.

In primo luogo, esso esige che il datore di lavoro formalizzi, in termini di accountability, il test di bilanciamento del legittimo interesse ogni volta che intenda trattare dati “comuni” del lavoratore tratti da fonti online, specie se relative a social network o piattaforme di messaggistica⁵⁰. Tale documentazione assume un valore decisivo in sede ispettiva e contenziosa.

In secondo luogo, occorre distinguere nettamente tra:
a) contenuti pubblici, accessibili a chiunque, destinati espressamente alla visibilità generalizzata (es. post su profili aperti);
b) contenuti “semi-pubblici”, accessibili a cerchie determinate (es. profili chiusi, gruppi Facebook, status WhatsApp per i soli contatti);
c) comunicazioni private (chat bilaterali o di gruppo ristretto).

Solo nel primo caso l’utilizzo disciplinare può ritenersi, in astratto, compatibile con le aspettative dell’interessato; nel secondo e nel terzo caso l’asticella della proporzionalità si colloca molto più in alto, in ragione della natura di corrispondenza delle comunicazioni e dell’affidamento del lavoratore⁵¹.

In terzo luogo, le imprese sono chiamate a rivedere social media policy e procedure disciplinari affinché:
– venga chiarito ai dipendenti quali contenuti possono rilevare, in termini strettamente professionali, ai fini del rapporto di lavoro;
– siano esclusi, in via di principio, utilizzi disciplinari di conversazioni private, salvo ipotesi eccezionali (es. minacce, illeciti penali) da trattare comunque attraverso gli organi giudiziari;
– sia garantita la formazione dei responsabili HR e dei responsabili disciplinari sulla specificità delle regole di cui agli artt. 88 GDPR e 113 Codice privacy⁵².

Infine, il provvedimento suggerisce al giudice del lavoro un criterio di lettura dell’art. 2-decies Codice privacy nella prospettiva dell’inutilizzabilità processuale di dati raccolti in violazione di tali norme: pur restando ferma la sua autonoma competenza, il giudice non potrà ignorare il giudizio di illecito trattamento reso dall’Autorità. In questa prospettiva, il valore persuasivo dei provvedimenti del Garante tende a rafforzarsi anche nell’ambito del contenzioso lavoristico⁵³.

10. Considerazioni conclusive

La decisione del Garante nel caso Autostrade segna un passaggio significativo nell’evoluzione della “privacy del lavoro” in ambiente digitale. Essa conferma che il rapporto di lavoro non giustifica un arretramento delle garanzie fondamentali sulla corrispondenza e sulla protezione dei dati personali, ma, al contrario, richiede un rafforzamento delle tutele per evitare che l’asimmetria di potere contrattuale si traduca in un controllo pervasivo della vita privata del lavoratore.

Sotto il profilo dei principi, la decisione ribadisce che:
– la liceità del trattamento richiede il rispetto congiunto delle condizioni generali del GDPR e delle norme speciali di settore, in particolare dell’art. 113 Codice privacy;
– il legittimo interesse del datore di lavoro non può fungere da clausola di chiusura per legittimare qualsiasi forma di controllo digitale, ma deve essere oggetto di un test di bilanciamento rigoroso, verificando la necessità e la proporzionalità del trattamento;
– la libertà di manifestazione del pensiero e la segretezza delle comunicazioni, anche quando esercitate tramite social network e app di messaggistica, mantengono il loro nucleo essenziale, che il potere disciplinare non può comprimere oltre il limite dell’indispensabile.

Dal punto di vista operativo, il messaggio alle imprese è chiaro: l’utilizzo disciplinare di dati provenienti da Facebook, WhatsApp, Messenger e analoghe piattaforme è possibile solo in condizioni eccezionali e a fronte di un’attenta valutazione di pertinenza rispetto all’attività lavorativa, di rispetto delle aspettative di riservatezza e di adeguata documentazione del test di bilanciamento. In difetto, il rischio non è soltanto la sanzione pecuniaria – nel caso di specie pari a 420.000 euro – ma anche l’inutilizzabilità dei dati nel contenzioso lavoristico e il possibile annullamento del provvedimento disciplinare.

La prospettiva che si apre è quella di un modello di gestione del personale in cui il ricorso alle informazioni digitali del lavoratore deve divenire l’eccezione e non la regola, con un ritorno al centro dei tradizionali strumenti di valutazione dell’attitudine professionale, fondati sull’osservazione della prestazione e sull’esercizio leale dei poteri datoriali. In questo equilibrio dinamico tra potere di controllo e dignità della persona si gioca, anche sul terreno dei social network, l’attualità dello Statuto dei lavoratori e delle garanzie sovranazionali in materia di diritti fondamentali.