Essere aggiunti in un gruppo WhatsApp senza consenso è violazione della privacy. A maggior ragione quando si tratta di un dipendente: l’azienda che lo fa, inserendolo per il tramite del suo numero privato, è soggetta a sanzione per violazione della privacy.

È il caso così deciso dall’Agenzia spagnola per la protezione dei dati (AEPD), che ha irrogato una sanzione da 70.000 euro a LVMH Iberia, S.L. – poi ridotta del 40%, a 42.000 euro per aver pagato subito – quale filiale del gruppo del lusso che gestisce marchi di alta moda, come Louis Vuitton.

Svisceriamo la vicenda.

WhatsApp aziendale e privacy: la vicenda

La vicenda era nata dopo che un dipendente della Società in parola aveva proposto reclamo al Garante privacy spagnolo perché l’azienda/datore di lavoro l’aveva inserito, nel giugno 2023, adoperando il suo numero privato in assenza di quello aziendale, in un gruppo WhatsApp senza chiedere il consenso.

Prima di andare in ferie, lo stesso dipendente aveva comunicato via e-mail che avrebbe smesso di utilizzare il suo numero privato per questioni lavorative, lasciando di conseguenza il gruppo di WhatsApp aziendale.

Tuttavia, pochi giorni dopo e mentre era a riposo, il suo numero privato veniva nuovamente incluso nel gruppo senza alcuna autorizzazione da parte del dipendente medesimo.

L’azienda, per contro, si difendeva sostenendo che “in questi gruppi erano stati inclusi solo i dipendenti e che, di fronte alla temporanea indisponibilità dei telefoni aziendali, era stato deciso di utilizzare i cellulari personali in via del tutto eccezionale per la gestione di problemi urgenti” ribadendo che “la prassi dell’azienda fino ad oggi in questo settore sia stata prudente e salvaguardante, dal momento che i gruppi WhatsApp includono solo dipendenti dell’azienda, senza ammettere alcun terzo, e che i dati personali dei membri che sono oggetto di trattamento necessario si riferiscono esclusivamente al nome e cognome dei membri e al loro numero di cellulare, così come il loro intervento in determinati compiti e progetti dell’azienda, cioè il minimo essenziale” a suo dire, come si legge testualmente nel provvedimento.

La decisione del Garante privacy spagnolo

L’AEPD nel provvedimento in disamina ha ritenuto diverse infrazioni. Prima tra queste la mancanza di una base giuridica che legittimasse il trattamento dei dati.

Al riguardo, l’Autorità spagnola afferma che “il diligente rispetto del principio di liceità nel trattamento dei dati di terzi richiede che il titolare del trattamento sia in grado di dimostrarlo (principio di responsabilità proattiva)”, in un rigo: accountability.

Quindi, per non essere in violazione, l’azienda è tenuta a dimostrare che il dipendente ha prestato il proprio consenso o che esisteva un altro legittimo fondamento al trattamento. Né è valso a difesa dell’azienda, la presenza di una policy interna sull’uso dei telefoni aziendali. Di qui, la sanzione irrogata.

Oltre alla sanzione amministrativa, l’AEDP ha imposto all’azienda di dimostrare anche in tempo utile, l’adozione di misure di garanzia della legalità del trattamento dei dati di contatto dei dipendenti, evitando d’ora in avanti l’utilizzo di numeri personali senza consenso o valida base giuridica in sostituzione a questo.

L’insegnamento per tutti

Ancora una volta ci troviamo di fronte a un caso – per quanto quasi banale o scontato, ennesimo nonostante i quasi dieci anni dall’entrata in vigore del GDPR – in cui notiamo come non essere attenti alle norme prescritte in materia di protezione dati, vuol dire sanzione.

Non solo, da questo provvedimento abbiamo ricordato come anche un semplice numero di telefono (cellulare personale) sia un “dato personale” e a nulla rileva che il suo utilizzo sia per motivi di lavoro, né importa che l’azienda avesse adottato una policy sull’uso dei telefoni/device.

Pertanto, includere un dipendente in un gruppo di messaggistica aziendale costituisce a tutti gli effetti un trattamento che, in quanto tale, va coperto da una base giuridica (ex art. 6 GPDR), che nel caso di specie è data dal consenso (libero, espresso, consapevole e non costretto).

Concetti tutti arcinoti, ma che è sempre bene tenere a mente e mettere in pratica, se non si vuole finire sotto sanzione.