Whatsapp aziendali: regole e limiti

I gruppi Whatsapp aziendali sono sempre più comuni ma bisogna gestirli in modo corretto. La recente decisione della Agencia Española de Protección de Datos (AEPD) nei confronti di LVMH Iberia, S.L. rappresenta un caso emblematico proprio su questo tema: l’uso dei dispositivi personali dei dipendenti per finalità lavorative e la gestione dei gruppi WhatsApp aziendali. La vicenda offre spunti pratici e indicazioni operative per tutte le aziende che utilizzano strumenti di messaggistica istantanea per coordinare il lavoro.

I fatti: l'uscita dai gruppi whatsapp aziendali

Nel luglio 2023, una ex dipendente di LVMH Iberia ha presentato reclamo all’autorità spagnola, lamentando che durante il rapporto di lavoro era stata costretta a utilizzare il proprio telefono personale per attività lavorative, in attesa di ricevere un dispositivo aziendale che non le è mai stato consegnato. La dipendente aveva comunicato per iscritto la volontà di non usare più il proprio numero personale per questioni lavorative, salvo per i clienti che già lo possedevano, e aveva annunciato l’uscita dai gruppi WhatsApp aziendali.

Nonostante ciò, pochi giorni dopo, il suo numero personale è stato nuovamente inserito in un gruppo WhatsApp aziendale senza il suo consenso esplicito. Solo dopo il licenziamento, il numero è stato rimosso dal gruppo.

La posizione dell’azienda

LVMH Iberia ha sostenuto di aver sempre agito nel rispetto della privacy della dipendente, sottolineando che i gruppi WhatsApp aziendali erano riservati ai soli dipendenti e che l’uso del telefono personale era previsto solo in via eccezionale, in caso di indisponibilità dei dispositivi aziendali (denominati “ICON”). L’azienda ha inoltre dichiarato di aver adottato, a partire da settembre 2023, una nuova policy che vieta l’uso di numeri personali nei gruppi WhatsApp aziendali, consentendo l’accesso solo tramite dispositivi aziendali.

una dipendente che utilizza il proprio cellulare personale per scopi aziendali

L’istruttoria della AEPD

L’autorità ha analizzato la documentazione e le comunicazioni tra le parti, rilevando che:

  • La dipendente aveva espresso chiaramente la volontà di non usare più il proprio numero personale per attività lavorative.
  • L’azienda, pur avendo adottato una policy più restrittiva solo dopo i fatti contestati, non aveva fornito una base giuridica valida per il trattamento del numero personale della dipendente.
  • L’uso del numero personale per inserirlo in un gruppo WhatsApp aziendale costituisce un trattamento di dati personali ai sensi del GDPR.

Il quadro normativo

La AEPD ha richiamato i principi fondamentali del GDPR:

  • Il trattamento dei dati personali deve essere lecito, cioè basato su una delle condizioni previste dall’art. 6 del GDPR (consenso, necessità contrattuale, obbligo legale, ecc.).
  • Il titolare del trattamento deve poter dimostrare la liceità del trattamento (principio di responsabilizzazione).
  • L’uso del numero personale di un dipendente per finalità lavorative, senza consenso o altra base giuridica, è illecito.

La decisione: sanzione e misure correttive

La AEPD ha ritenuto che LVMH Iberia avesse violato l’art. 6.1 del GDPR, trattando il dato personale (numero di telefono) senza una base giuridica valida. L’autorità ha quindi:

  • Avviato un procedimento sanzionatorio, con una multa iniziale di 70.000 euro.
  • Previsto la possibilità di riduzione della sanzione fino a 42.000 euro in caso di riconoscimento della responsabilità e pagamento volontario, condizioni che l’azienda ha accettato.
  • Ordinato all’azienda di adottare misure per garantire il rispetto dell’art. 6.1 del GDPR in tutti i trattamenti futuri, in particolare vietando l’uso di numeri personali dei dipendenti senza consenso.

Lezioni pratiche per le aziende

Questo caso offre spunti preziosi per tutte le organizzazioni che utilizzano strumenti di messaggistica istantanea per finalità lavorative:

1. Dispositivi aziendali vs. dispositivi personali

  • L’uso di dispositivi personali per attività lavorative deve essere sempre volontario e basato su un consenso libero e informato.
  • È buona prassi fornire ai dipendenti dispositivi aziendali per tutte le comunicazioni di lavoro, soprattutto quando si utilizzano strumenti che trattano dati personali (come WhatsApp).

2. Consenso e alternative

  • Il consenso deve essere esplicito, documentato e revocabile in qualsiasi momento.
  • In assenza di consenso, l’azienda deve offrire alternative che non implichino l’uso di dati personali dei dipendenti (es. fornire un telefono aziendale o utilizzare piattaforme aziendali dedicate).

3. Policy chiare e aggiornate

  • È fondamentale adottare policy interne che regolino in modo chiaro l’uso degli strumenti di comunicazione, specificando le modalità di trattamento dei dati personali.
  • Le policy devono essere aggiornate e comunicate tempestivamente a tutti i dipendenti.

4. Principio di minimizzazione

  • I dati trattati devono essere limitati a quelli strettamente necessari per la finalità lavorativa.
  • Nei gruppi WhatsApp aziendali, evitare di inserire numeri personali se non strettamente indispensabile e solo con consenso.

5. Responsabilizzazione e prova della liceità

  • Il titolare del trattamento deve essere sempre in grado di dimostrare la liceità del trattamento dei dati personali.
  • È importante documentare il consenso e le misure adottate per tutelare la privacy dei dipendenti.

6. Gestione delle richieste dei dipendenti

  • Le richieste dei dipendenti relative alla privacy devono essere gestite con attenzione e tempestività.
  • L’uscita da gruppi di lavoro o la richiesta di non utilizzare il numero personale devono essere rispettate senza indugio.

Implicazioni per il futuro

La decisione della AEPD sottolinea l’importanza di una gestione attenta e trasparente dei dati personali dei dipendenti, soprattutto in un contesto in cui le tecnologie di comunicazione evolvono rapidamente. Le aziende devono:

  • Valutare attentamente i rischi legati all’uso di strumenti di messaggistica istantanea.
  • Formare il personale sui principi della privacy e sulle corrette modalità di trattamento dei dati.
  • Monitorare costantemente l’efficacia delle misure adottate e aggiornarle in base all’evoluzione normativa e tecnologica.

Conclusioni

Il caso LVMH Iberia rappresenta un monito per tutte le organizzazioni: l'utilizzo di dispositivi personali è soggetto al libero consenso del dipendente e nessuna azienda lo può imporre. Per questo è fondamentale prevedere nelle informative per il personale assunto apposita sezione destinata ai consensi volontari che possono riguardare non solo l'utilizzo del cellulare o  mail personale ma anche, ad esempio la possibilità di pubblicare foto e video su siti istituzionali. 

Torna al blog