Sanzione da 70.000 euro per l’uso improprio del numero personale di una dipendente inserita in un gruppo WhatsApp aziendale senza base giuridica
L’Agenzia spagnola per la protezione dei dati (AEPD) ha sanzionato (vedi provvedimento) con 70.000 euro la società LVMH Iberia, filiale del gruppo del lusso, per aver utilizzato il numero di cellulare personale di una propria dipendente inserendola in un gruppo WhatsApp aziendale senza il suo consenso.
La vicenda prende avvio dalla segnalazione della lavoratrice, alla quale l’azienda aveva richiesto di usare temporaneamente il proprio telefono privato per esigenze di servizio, nell’attesa della consegna di un dispositivo aziendale che però non le era mai stato fornito.
Durante un periodo di ferie, la dipendente aveva espressamente comunicato via email di non voler più utilizzare il numero personale per scopi lavorativi e aveva abbandonato il gruppo WhatsApp interno. Nonostante ciò, pochi giorni dopo, l’azienda l’aveva nuovamente inserita in un gruppo aziendale, senza alcuna autorizzazione.
LVMH ha tentato di giustificare la condotta sostenendo che si trattava di una misura eccezionale, limitata ai soli dipendenti, adottata per far fronte all’assenza di dispositivi aziendali. Tuttavia, l’AEPD ha ritenuto illegittimo il trattamento, rilevando l’assenza di una base giuridica ai sensi dell’art. 6, par. 1, GDPR.
L’autorità ha ricordato che il numero di telefono personale è un dato personale e che il suo utilizzo all’interno di strumenti di comunicazione aziendale costituisce un trattamento che deve essere sorretto da consenso, necessità contrattuale o altra valida base legittimante. La presenza di una policy interna non esonera l’azienda dall’obbligo di rispettare le norme sulla protezione dei dati.
L’infrazione è stata qualificata come “molto grave”. La sanzione iniziale di 70.000 euro è stata ridotta del 40% in ragione del riconoscimento di responsabilità e del pagamento volontario da parte della società.
