WhatsApp sul lavoro? No senza consenso

L’uso disinvolto delle chat aziendali può costare caro. In Spagna, il Garante per la protezione dei dati ha multato un’azienda per violazione del Regolamento Ue 2016/679 (GDPR): 42 mila euro la sanzione per aver aggiunto, senza consenso, il numero personale di un dipendente a un gruppo WhatsApp interno all’azienda. Una decisione, quella resa pubblica il 2 giugno 2025 (caso EXP202310848), che rappresenta un precedente significativo per l’intera Unione europea — Italia inclusa.

Il caso: un gruppo WhatsApp aziendale “forzato”

La vicenda ha coinvolto un lavoratore che, pur avendo esplicitamente manifestato il proprio dissenso, si è visto inserire dal datore di lavoro in un gruppo WhatsApp aziendale. Nonostante le ripetute richieste di fornire un dispositivo di servizio per gestire le comunicazioni lavorative, l’azienda ha ignorato le rimostranze e ha continuato a utilizzare il numero personale del dipendente.

L’uso di strumenti di messaggistica istantanea, secondo l’Autorità spagnola, va ben oltre l’ambito della comunicazione informale: “sono nati per scopi personali e sociali, non per essere imposti nei rapporti gerarchici lavorativi”, ha chiarito il Garante. La decisione ricalca i principi fondamentali del GDPR, che protegge anche dati apparentemente semplici, come un numero di cellulare, quando associati a un’identità precisa.

Difese respinte: interesse aziendale non basta

L’azienda ha tentato una difesa articolata, invocando un presunto “interesse legittimo” legato alla necessità di garantire la continuità operativa del servizio. Ma per il Garante questo non giustifica la compressione del diritto alla riservatezza del lavoratore, specialmente in assenza di consenso e di strumenti alternativi, come un cellulare aziendale.

Anche l’argomento secondo cui il gruppo WhatsApp fosse composto solo da colleghi interni non è stato accolto: “le violazioni della privacy possono avvenire anche all’interno di un’organizzazione, senza coinvolgimento di terzi esterni”, si legge nel provvedimento. Non ha convinto neppure il tentativo di ridimensionare la portata del trattamento, definendolo “limitato a dati di minima entità”: nel GDPR non esistono dati “trascurabili”.

Il ravvedimento operoso salva (in parte) l’azienda

A sanzione ormai irrogata, l’azienda ha cercato di correre ai ripari. Ha adottato un regolamento interno che limita l’uso di WhatsApp esclusivamente a dispositivi aziendali forniti dal datore di lavoro, correggendo di fatto la prassi precedente. Un comportamento collaborativo che ha consentito di ridurre la multa da 70 mila a 42 mila euro.

Il Garante ha riconosciuto la buona fede nel ravvedimento e l’avvenuto pagamento tempestivo come elementi attenuanti, ma ha ribadito un principio fondamentale: l’utilizzo di canali personali per fini aziendali non può essere imposto unilateralmente, e ogni trattamento di dati deve rispettare i criteri di liceità, necessità e proporzionalità previsti dal GDPR.

Un monito per l’Europa (e per l’Italia)

Questo provvedimento rappresenta un campanello d’allarme per tutte le imprese europee, in particolare per quelle realtà, pubbliche e private, dove strumenti informali come WhatsApp vengono impiegati in modo strutturale e non regolamentato. Il GDPR è direttamente applicabile in tutti gli Stati membri e l’Italia, che condivide molte delle dinamiche evidenziate nel caso spagnolo, potrebbe presto vedere pronunce simili da parte del Garante italiano.

L’era della comunicazione istantanea impone nuove regole e responsabilità: la comodità non può prevalere sulla tutela dei diritti fondamentali. E un numero di cellulare, oggi, è molto più che un contatto: è un dato personale da trattare con rispetto.

---

LEGGI ANCHE