Viola la privacy l’azienda che aggiunge il dipendente in un gruppo WhatsApp utilizzando senza consenso il suo numero privato
L'Agenzia spagnola per la protezione dei dati (AEPD) ha imposto una sanzione di 70.000 euro a LVMH Iberia, S.L. (una filiale del gruppo del lusso che gestisce marchi come Louis Vuitton) per aver incluso in un gruppo di WhatsApp il numero di telefono cellulare personale di una dipendente senza il suo consenso.
La vicenda era nata dopo che una lavoratrice di LVMH si era lamentata con il garante della privacy spagnolo per il fatto che il datore di lavoro le aveva richiesto di utilizzare il suo telefono personale per lo svolgimento delle sue mansioni in attesa di ricevere un cellulare aziendale, che però non le era mai stato dato.
Durante una vacanza, la dipendente aveva espressamente comunicato via email che avrebbe smesso di utilizzare il suo numero privato per questioni lavorative e aveva lasciato il gruppo WhatsApp aziendale.
Tuttavia, pochi giorni dopo, il suo numero era stato nuovamente incluso in un gruppo WhatsApp aziendale senza che lei avesse dato il suo consenso.
L'azienda si era difesa sostenendo che in questi gruppi erano stati inclusi solo i dipendenti e che, di fronte alla temporanea indisponibilità dei terminal aziendali, era stato deciso di utilizzare i cellulari personali in via del tutto eccezionale per la gestione di problemi urgenti.
Tuttavia, l'AEPD ha ritenuto che non fosse stata stabilita alcuna base giuridica per legittimare tale trattamento dei dati.
Nel suo provvedimento n. EXP202310848 l’autorità spagnola ricorda che il numero di telefono cellulare personale è un dato personale, e che il suo utilizzo per includere un lavoratore in un gruppo di messaggistica aziendale costituisce un trattamento che deve essere coperto da una qualsiasi delle basi giuridiche previste dall'articolo 6.1 del GDPR.
In questo caso però non vi era stato alcun consenso dell’interessato né la necessità contrattuale o altra motivazione legittima. Inoltre, secondo l’AEPD il fatto che la società avesse elaborato una policy interna sull'uso dei telefoni aziendali non la esenta dal rispettare l'obbligo di avere una base giuridica adeguata.
L’Autorità spagnola ha descritto l'infrazione come molto grave, e per questo aveva inzialmente proposto una multa di € 70.000, poi ridotta del 40% grazie al riconoscimento di responsabilità e del pagamento volontario di LVMMH Iberia.
Oltre alla sanzione amministrativa, l’Agenzia per la protezione dei dati ha ordinato all’azienda di dimostrare l’adozione di misure a garanzia della legalità del trattamento dei dati di contatto dei dipendenti, evitando l’utilizzo di numeri personali senza consenso o senza valida base giuridica.
