• Una azienda procede al licenziamento di un proprio dipendente (anche) sulla base di informazioni tratte dal profilo Facebook del dipendente e dai canali Messenger e WhatsApp

A seguito di un reclamo presentato dal lavoratore licenziato che prospetta la violazione del Regolamento di protezioni dei dati personali, il Garante privacy apre un procedimento, nel corso del quale l’azienda, fra l’altro, eccepisce di non aver avuto un ruolo attivo nella ricerca delle informazioni e, inoltre, osserva che le informazioni erano state rese accessibili dall’interessato.

Con il provvedimento n.288 del 21 maggio 2025, il Garante dichiara l’illeceità del trattamento dei dati personali, che tali erano da considerare le informazioni acquisite dalle predette fonti, e ordina all’azienda di pagare una pesante sanzione pecuniaria.  

Uno degli argomenti utilizzati per giungere a tale conclusione è legato a valutazioni, espresse dalla  Corte di cassazione (sentenza 7 ottobre 2014, n.21107) e fatte propria dal Garante, secondo le quali: – “deve riconoscersi il dato oggettivo dell’acquisizione d’informazioni attinenti [al] dipendente, di per sé  sufficiente a rendere configurabile un trattamento di dati […], le cui modalità ed i cui limiti devono essere ricostruiti avendo riguardo alla gestione del rapporto di lavoro, cui è indiscutibilmente preordinata l’adozione di provvedimenti disciplinari”; – “l’immissione di alcuni dei propri dati personali in rete, pur lasciando presumere la volontà dell’interessato di permetterne l’utilizzazione in vista degli obiettivi per cui gli stessi sono stati posti a disposizione del pubblico, non consente tuttavia di ritenere che quel consenso sia stato implicitamente prestato anche in funzione di qualsiasi altro trattamento. L’utilizzazione dei dati diffusi per finalità diverse da quella per cui ne è stata consentita la divulgazione costituisce d’altronde un’eventualità già presa in considerazione da questa Corte…”.

Un modo di argomentare, dunque, che amplia i casi in cui può risultare affermata l’illeceità di trattamenti di dati personali.

• Nel caso che si sta considerando, il lavoratore ha fatto anche ricorso al Giudice del lavoro avverso il licenziamento

Impregiudicata l’impugnabilità del provvedimento del Garante, emerge la questione della utilizzabilità nella causa di lavoro dei dati personali acquisiti, secondo il Garante, illegittimamente.  

Il Codice privacy, al riguardo, rinvia alle “pertinenti disposizioni processuali” e il Codice di procedura civile, diversamente dal Codice di procedura penale, non contiene una norma che stabilisca l’inutilizzabilità di prove precostituite formatesi in violazione di norme di legge.

Ciò nonostante, l’ingresso dei predetti dati nella causa di lavoro, d’interesse dell’azienda, non è pacifico (fra le decisioni contrarie, Cass. n. 3714/2023).

La prova acquisita illecitamente, in violazione di un diritto costituzionalmente protetto, non pone – così viene detto – una mera questione di inammissibilità, ma è essa stessa un fatto illecito.

Un motivo in più per prestare attenzione, a monte, alla conformità dei trattamenti dei dati personali al GDPR e alla “giurisprudenza” del Garante, prevenendo così la pluralità di questioni che altrimenti possono porsi.