Il licenziamento basato su contenuti pubblicati sui social media e la tutela della privacy dei lavoratori rappresentano oggi una delle sfide più complesse del diritto del lavoro digitale.
Il recente provvedimento del Garante Privacy contro Autostrade per l’Italia, con una sanzione di 420mila euro, stabilisce principi fondamentali sul controllo digitale dei dipendenti e delinea i confini tra prerogative datoriali e diritti alla riservatezza nell’era dei social network.
Indice degli argomenti
Il Garante interviene sulla privacy digitale nel contesto lavorativo
L’avvento delle nuove tecnologie ha profondamente trasformato il panorama del diritto del lavoro, creando nuove frontiere giuridiche che richiedono un costante bilanciamento tra le prerogative datoriali e i diritti fondamentali dei lavoratori. Se da un lato la digitalizzazione ha ampliato gli strumenti a disposizione delle aziende per il controllo e la gestione del personale, dall’altro ha moltiplicato le occasioni di conflitto tra sfera privata e professionale dei dipendenti.
I social media rappresentano oggi uno dei terreni più scivolosi di questo confronto. Facebook, Instagram, WhatsApp e Messenger sono diventati spazi ibridi dove si intrecciano vita privata, relazioni interpersonali e, inevitabilmente, anche aspetti legati al mondo del lavoro. La sfida per il legislatore e per gli interpreti è quella di definire i confini entro i quali il datore di lavoro può legittimamente utilizzare informazioni provenienti da questi canali digitali per l’esercizio del potere disciplinare.
Il recente provvedimento del Garante per la Protezione dei Dati Personali del 21 maggio 2025 nei confronti di Autostrade per l’Italia S.p.A. rappresenta un importante punto di riferimento in questa materia, delineando principi che potrebbero orientare significativamente la prassi aziendale e la giurisprudenza futura. La sanzione di 420.000 euro comminata all’azienda autostradale non è solo un caso isolato, ma il segnale di un approccio rigoroso dell’Autorità garante verso comportamenti che violino la privacy dei lavoratori nell’era digitale.
I fatti: quando i social network diventano prova disciplinare
Il caso nasce da un reclamo presentato da una dipendente della società, che ricopriva la mansione di esattore presso una stazione autostradale. La lavoratrice aveva contestato l’utilizzo, da parte del datore di lavoro, di contenuti estratti dai suoi profili social e dalle sue comunicazioni private per elevare due distinte contestazioni disciplinari, culminate poi in un licenziamento.
Più esattamente la prima contestazione disciplinare (16 febbraio 2024) faceva riferimento a contenuti pubblicati dalla dipendente sul proprio profilo Facebook nei giorni 16 e 21 gennaio 2024: si trattava di post e commenti relativi ad alberi abbattuti in prossimità della stazione autostradale, accompagnati da osservazioni critiche di carattere ambientale; il profilo Facebook della lavoratrice era poi configurato con impostazioni di privacy che limitavano la visibilità dei contenuti ai soli “amici”, creando quindi una cerchia ristretta di destinatari.
La seconda contestazione (21 marzo 2024) risultava ancora più invasiva della sfera privata della dipendente. In questo caso, Autostrade aveva utilizzato stralci di conversazioni private intrattenute dalla lavoratrice tramite Messenger con un soggetto estraneo alla compagine aziendale (un esponente del WWF) e messaggi WhatsApp scambiati con alcuni colleghi. Nelle conversazioni con l’attivista ambientale, la dipendente esprimeva opinioni critiche rispetto ad alcune scelte operative della società Autostrade in materia di tutela ambientale.
Un elemento particolarmente significativo del caso è rappresentato dalle modalità attraverso cui Autostrade era venuta in possesso di queste informazioni: l’azienda infatti non aveva condotto indagini attive sui profili social della dipendente, ma aveva ricevuto gli screenshot e le trascrizioni delle conversazioni da parte di terzi: un collega “amico” su Facebook per i post del social network, il soggetto terzo coinvolto nella conversazione per i messaggi Messenger, e un collega per i messaggi WhatsApp.
Questa circostanza ha assunto particolare rilevanza nella valutazione del Garante, che ha chiarito come l’assenza di un “ruolo attivo” nella raccolta delle informazioni non elimini la responsabilità del soggetto/datore di lavoro nel loro successivo trattamento per finalità disciplinari.
Le argomentazioni difensive e il riferimento al legittimo interesse
La strategia difensiva di Autostrade per l’Italia si è articolata attorno a un argomento centrale apparentemente convincente: l’azienda non aveva mai spiato attivamente la dipendente, ma si era limitata a ricevere informazioni che le erano arrivate spontaneamente: i post su Facebook e le conversazioni su Messenger e WhatsApp erano “pervenuti” alla società attraverso terzi, senza che quest’ultima avesse mai condotto indagini dirette sui profili social della lavoratrice.
Su questo presupposto, Autostrade ha costruito la propria difesa invocando il legittimo interesse previsto dal GDPR, sostenendo di aver agito per tutelare i propri diritti, specialmente in vista del contenzioso giudiziario che la dipendente avrebbe poi effettivamente avviato per impugnare il licenziamento. La società ha inoltre fatto leva su un precedente provvedimento del Garante del 2017 (n. 202), confermato sia dal Tribunale di Torino che dalla Cassazione, ritenendo che questo precedente legittimasse l’utilizzo di dati personali acquisiti con modalità analoghe.
Quando poi nel corso del procedimento istruttorio il Garante ha contestato l’assenza di un adeguato “test di bilanciamento” tra interessi aziendali e diritti del lavoratore, Autostrade ha respinto l’accusa sostenendo di aver condotto “un’attenta analisi tramite le competenti funzioni aziendali e legali esterni specializzati”.
Sul piano normativo, la difesa ha poi tentato un’interpretazione restrittiva delle disposizioni dello Statuto dei Lavoratori, argomentando che l’art. 8 vieti solo le “indagini attive” e non l’utilizzo di informazioni ricevute passivamente.
La società ha infine sollevato una questione di principio, sostenendo che un’applicazione troppo rigorosa delle norme privacy rischierebbe di trasformarsi “in una sorta di salvacondotto per il lavoratore”, impedendo ai datori di lavoro di valutare comportamenti disciplinarmente rilevanti anche quando manifestati al di fuori dell’orario di lavoro.
L’analisi giuridica del Garante tra Gdpr e Statuto dei lavoratori
La decisione del Garante si articola attraverso un’analisi sistematica che tocca diversi profili normativi, dall’applicazione dei principi generali del GDPR alle disposizioni specifiche in materia di rapporti di lavoro, fino alle implicazioni costituzionali del diritto alla riservatezza delle comunicazioni.
L’irrilevanza del ruolo passivo nella raccolta dei dati
Il primo e fondamentale principio affermato dal Garante riguarda l’irrilevanza del cosiddetto “ruolo passivo” nella raccolta delle informazioni. L’Autorità ha chiarito che l’assenza di un comportamento attivo da parte del datore di lavoro nella ricerca dei dati non esclude la configurazione di un trattamento illecito nel momento in cui tali informazioni vengano utilizzate per finalità disciplinari.
Il Garante ha fatto riferimento alla giurisprudenza di Cassazione (sentenza 14/10/2014, n. 21107) secondo cui “deve riconoscersi al dato oggettivo dell’acquisizione d’informazioni attinenti [al] dipendente, di per sé sufficiente a rendere configurabile un trattamento di dati […], le cui modalità ed i cui limiti devono essere ricostruiti avendo riguardo alla gestione del rapporto di lavoro, cui è indiscutibilmente preordinata l’adozione di provvedimenti disciplinari”.
Questa impostazione si basa sulla definizione ampia di “trattamento” contenuta nell’art. 4, n. 2 del GDPR, che include “qualsiasi operazione o insieme di operazioni […], come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
L’aspettativa di riservatezza sui social media
Un aspetto particolarmente innovativo della decisione riguarda il riconoscimento di una legittima aspettativa di riservatezza anche per contenuti pubblicati sui social media, quando questi siano condivisi con una cerchia ristretta di persone.
Il Garante ha infatti sottolineato che nel caso dei post Facebook, la visibilità era limitata ai soggetti in rapporto di “amicizia” con la reclamante, evidenziando come la dipendente avesse “inteso escludere volontariamente ed espressamente la generalizzata condivisione dei commenti, al di fuori di tale cerchia di soggetti“.
Questa valutazione si inserisce in un orientamento giurisprudenziale consolidato che riconosce tutela anche alle comunicazioni effettuate attraverso chat private o gruppi chiusi. Il Garante ha richiamato la sentenza della Cassazione Sezione Lavoro del 10/9/2018, n. 21965, secondo cui “l’esigenza di tutela della segretezza nelle comunicazioni si impone anche riguardo ai messaggi di posta elettronica scambiati tramite mailing list riservata agli aderenti ad un determinato gruppo di persone, alle newsgroup o alle chat private, con accesso condizionato al possesso di una password fornita a soggetti determinati”.
Il principio è stato ulteriormente rafforzato dal recente intervento della Cassazione (28/2/2025, n. 5354) che ha ritenuto violato il diritto alla segretezza della corrispondenza nel caso di utilizzo, da parte del datore di lavoro, di contenuti di una chat privata WhatsApp tra colleghi, anche quando l’acquisizione non fosse avvenuta “di propria iniziativa”.
Il mancato test di bilanciamento del legittimo interesse
Un profilo centrale della censura del Garante ha riguardato la base giuridica del legittimo interesse sostenuta da Autostrade.
Si è infatti evidenziato che l’applicazione del legittimo interesse ex art. 6 par. 1 lett. f) del GDPR è subordinato ad un test di valutazione attraverso il quale verificare il bilanciamento tra interessi del titolare (in questo caso datore di lavoro) ed interessi dell’interessato (dipendente): la bae giuridica per il trattamento può trovare poi applicazione a condizione che “non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”.
Il Garante ha rilevato che tale test di bilanciamento non era stato effettuato: pur sostenendo infatti di aver effettuato una valutazione tramite le proprie funzioni aziendali e legali esterni, Autostrade non è stato in grado di fornire elementi specifici sul contenuto di tale valutazione.
L’Autorità ha sottolineato specificamente che il test di bilanciamento deve consistere in “un’attività di valutazione complessa, effettuata sulla base di una specifica metodologia adottata dal titolare”, e che il legittimo interesse “non può essere utilizzato come ‘ultima risorsa’ qualora non risultino applicabili altre basi giuridiche”.
Particolare rilevanza ha assunto il riferimento alle Guidelines 1/2024 dell’European Data Protection Board, che chiariscono come la necessità del trattamento per la realizzazione del legittimo interesse debba essere valutata anche alla luce del principio di minimizzazione, verificando che “il legittimo interesse al trattamento dei dati perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati”.
Il principio di pertinenza e l’art. 113 del Codice Privacy
Altro elemento di estrema rilevanza – perché interconnesso tra privacy e diritto del lavoro – sono le valutazioni in merito alla violazione del principio di pertinenza, richiamando l’art. 113 del Codice Privacy che rende applicabili l’art. 8 dello Statuto dei Lavoratori e l’art. 10 del D.Lgs. 276/2003. Queste disposizioni vietano al datore di lavoro di raccogliere informazioni “su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.
Nel caso di specie, il Garante ha rilevato che i contenuti utilizzati per le contestazioni disciplinari – opinioni su temi ambientali, commenti critici verso l’operato aziendale in settori non attinenti alla mansione svolta – non presentavano alcuna connessione con l’attitudine professionale della dipendente, che svolgeva mansioni di esattore presso una stazione autostradale.
L’Autorità ha infatti respinto l’interpretazione restrittiva di Autostrade secondo cui l’art. 10 del D.Lgs. 276/2003 si applicherebbe solo alle agenzie per il lavoro, chiarendo che tale norma costituisce “l’estensione” dell’art. 8 dello Statuto dei Lavoratori “a seguito della creazione del mercato del lavoro aperto”, nell’ambito di un sistema integrato di tutele della riservatezza del lavoratore.
Le implicazioni costituzionali della riservatezza delle comunicazioni
Il Garante poi allarga il ragionamento giuridico, sottolineando che l’art. 15 della Costituzione tutela “ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate”, includendo quindi anche “lo scambio di messaggi elettronici quali e-mail, WhatsApp, SMS e simili” e che questo orientamento trova conferma nella giurisprudenza costituzionale più recente (Corte Cost. n. 170 del 27/7/2023) che ha esteso la garanzia dell’art. 15 Cost. “ad ogni strumento che l’evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici, ignoti al momento del varo della Carta costituzionale”.
Viene richiamata inoltre la giurisprudenza della Corte Europea dei Diritti dell’Uomo, che ha riconosciuto la tutela dell’art. 8 CEDU alle comunicazioni effettuate mediante sistemi di messaggistica istantanea, telefonia, posta elettronica e SMS, particolarmente nei contesti lavorativi (Copland v. UK; Brbulescu v. Romania; Saber c. Norvegia).
La sanzione del Garante ad Autostrade
La sanzione di 420.000 euro comminata ad Autostrade per l’Italia rappresenta uno dei più significativi interventi del Garante Privacy in materia di rapporti di lavoro nell’era digitale. L’ammontare della multa, calcolato secondo i criteri dell’art. 83 del GDPR, riflette non solo la gravità delle violazioni accertate, ma anche la volontà dell’Autorità di inviare un messaggio chiaro al mondo delle imprese sulla necessità di rispettare rigorosamente i diritti digitali dei lavoratori.
Nella determinazione della sanzione, il Garante ha considerato diversi elementi aggravanti.
In primo luogo, la natura delle violazioni, che hanno riguardato principi fondamentali del GDPR (liceità, finalità, minimizzazione) e disposizioni specifiche di maggior tutela nell’ambito lavorativo. La gravità è stata inoltre valutata considerando che il trattamento ha interessato comunicazioni private e opinioni personali della lavoratrice, ambiti che godono di particolare protezione nell’ordinamento.
Un fattore aggravante specifico è stato individuato nel fatto che Autostrade era già stata destinataria di un precedente provvedimento del Garante (n. 529 del 16/11/2023) per violazioni degli artt. 12 e 15 del GDPR, configurando quindi una situazione di recidiva che ha influito sull’entità della sanzione.
Tuttavia, il Garante ha anche riconosciuto alcuni elementi attenuanti, in particolare la cooperazione mostrata dalla società durante l’istruttoria, inclusa la trasmissione di documentazione relativa al procedimento giudiziario pendente davanti al Tribunale di Trani. Questo aspetto collaborativo ha contribuito a contenere l’ammontare della sanzione, che avrebbe potuto risultare ancora più severo.
La decisione di procedere alla pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante, ai sensi dell’art. 166, comma 7 del Codice Privacy, rappresenta un ulteriore elemento di deterrenza, esponendo l’azienda a un danno reputazionale che si aggiunge a quello economico.
Considerazioni finali: quale equilibrio tra potere disciplinare e diritti digitali
Un provvedimento veramente impattante.
Ma anche un provvedimento da cui si possono desumere principi operativi di fondamentale importanza per le aziende che si trovano a gestire situazioni simili.
- Innanzitutto, emerge chiaramente che l’adozione di social media policy aziendali, pur rappresentando uno strumento importante, non può essere considerata sufficiente a giustificare l’utilizzo di contenuti social per finalità disciplinari, se tale utilizzo viola i principi fondamentali della normativa privacy. Nel caso di Autostrade, la società aveva adottato nel dicembre 2020 una “Social media policy” che però non ha eliminato l’illiceità della condotta.
- In secondo luogo, il provvedimento chiarisce che le aziende devono dotarsi di procedure strutturate per la valutazione della liceità dei trattamenti di dati personali nel contesto disciplinare, con particolare attenzione al test di bilanciamento richiesto dall’art. 6, par. 1, lett. f) del GDPR: non è sufficiente una generica invocazione del legittimo interesse, ma è necessaria una valutazione documentata che consideri la natura dei dati, l’impatto sui diritti dell’interessato e l’esistenza di mezzi alternativi meno invasivi.
- Cruciale poi il principio di pertinenza: le informazioni utilizzate per contestazioni disciplinari devono essere strettamente connesse alla valutazione dell’attitudine professionale del lavoratore: opinioni personali, orientamenti politici o sindacali, posizioni su temi ambientali o sociali non possono, di regola, costituire oggetto di valutazione disciplinare, salvo che non interferiscano direttamente con l’esecuzione della prestazione lavorativa.
Il caso Autostrade si inserisce poi in un contesto più ampio di evoluzione del diritto del lavoro nell’era digitale, dove la giurisprudenza e le autorità di controllo stanno progressivamente definendo i confini tra sfera privata e professionale dei lavoratori.
La decisione del Garante si allinea con un trend europeo che vede rafforzarsi le tutele dei lavoratori di fronte alle nuove forme di controllo tecnologico.
Particolarmente significativo è l’approccio del Garante rispetto alla natura “ibrida” dei social media, che vengono riconosciuti come spazi dove può manifestarsi una legittima aspettativa di riservatezza, anche quando i contenuti siano teoricamente accessibili a un numero più ampio di persone. Questa impostazione supera una visione semplicistica che distingueva rigidamente tra contenuti “pubblici” e “privati”, introducendo una valutazione più sfumata basata sulle concrete modalità di condivisione e sulle ragionevoli aspettative dell’interessato.
La sanzione di 420.000 euro rappresenta inoltre un segnale importante per il mercato, dimostrando che le violazioni della privacy digitale nel contesto lavorativo possono comportare conseguenze economiche significative, tali da incidere concretamente sui bilanci aziendali e orientare le scelte organizzative.
In prospettiva, è probabile che la decisione del Garante contribuisca a stimolare lo sviluppo di nuove prassi aziendali, caratterizzate da maggiore attenzione alla privacy by design nelle procedure disciplinari e da un approccio più cautelativo nell’utilizzo di informazioni provenienti dai canali digitali.
Il provvedimento, infine, pone le basi per un ripensamento più generale del rapporto tra tecnologie digitali e diritti dei lavoratori, suggerendo la necessità di un approccio integrato che coniughi le legittime esigenze di controllo e gestione aziendale con il rispetto dei diritti fondamentali della persona, anche nell’ambiente digitale: in questo senso, il caso Autostrade rappresenta non solo una sanzione per comportamenti passati, ma anche una guida per la costruzione di un futuro più equilibrato nel rapporto tra lavoro e tecnologia.
