Nella Newsletter 25 giugno 2025 n. 536 il Garante Privacy dà notizia di aver sanzionato due diversi datori di lavoro (Autostrade SPA e una scuola) che, per motivi differenti, avevano violato la privacy dei propri dipendenti, arrecando a questi ultimi un danno molto significativo. Vediamo nel dettaglio, esaminando i due casi, in cosa consistono le violazioni contestate dal Garante.

No alle impronte digitali per la rilevazione presenze. L’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori. Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito. È quanto ha ribadito il Garante privacy che, a seguito di un reclamo, ha sanzionato un Istituto di istruzione superiore per 4mila euro per aver impiegato un sistema di riconoscimento biometrico che, allo scopo di rilevarne la presenza e di prevenire danneggiamenti e atti vandalici, richiedeva l’uso delle impronte digitali del personale amministrativo. I lavoratori coinvolti erano quelli che avevano rilasciato il proprio consenso e che non intendevano ricorrere a modalità tradizionali di attestazione della propria presenza in servizio. Non può ritenersi proporzionato l’uso sistematico, generalizzato e indifferenziato per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, a causa dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato. La mancanza di un’idonea base giuridica, in merito al trattamento dei dati biometrici, non può essere colmata neppure dal consenso dei dipendenti che non costituisce, di regola, un valido presupposto per il trattamento dei dati personali in ambito lavorativo, sia pubblico che privato, a causa dell’asimmetria tra le rispettive parti del rapporto di lavoro. Trattamento illecito dei dati di una lavoratrice poi utilizzati per giustificarne il licenziamento. Sanzione di 420mila euro del Garante privacy ad Autostrade per l’Italia Spa per aver trattato in modo illecito i dati personali di una dipendente, poi utilizzati per giustificarne il licenziamento. L’intervento dell’Autorità è seguito al reclamo della lavoratrice che aveva segnalato l’utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp per motivare i procedimenti disciplinari a proprio carico. Tra i contenuti utilizzati figuravano anche stralci virgolettati di commenti e descrizioni di foto. Dagli accertamenti del Garante è emerso che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli “amici” della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e WhatsApp. Le comunicazioni, inoltre, riguardavano opinioni e scambi avvenuti in contesti estranei al rapporto di lavoro, non rilevanti ai fini della valutazione dell’idoneità professionale. Nel motivare la sanzione, il Garante ha sottolineato che una volta accertato il carattere privato delle conversazioni e dei commenti – pubblicati, tra l’altro, in ambienti digitali ad accesso limitato – la società avrebbe dovuto astenersi dal farne uso. L’impiego di tali informazioni, infatti, ha violato i principi di liceità, finalità e minimizzazione previsti dalla normativa privacy. L’Autorità ha inoltre ribadito che i dati personali presenti sui social network, o comunque accessibili online, non possono essere utilizzati liberamente e per qualunque scopo, solo perché visibili a una platea più o meno ampia di persone.

Fonte: QUOTIDIANO PIU' - GFL