Testo massima

Deve ritenersi illegittimo il trattamento di dati personali riguardanti l’accesso ad internet, ricavati dal computer del lavoratore nell’ambito della procedura di licenziamento disciplinare irrogato dal datore di lavoro, laddove dalla navigazione in rete era possibile evincere “dati sensibili“ relativi a convinzioni religiose, politiche e sindacali, nonché alle tendenze sessuali del dipendente. 

L’acquisizione e l’uso di tali dati appare inoltre totalmente estraneo ed eccedente rispetto alla finalità perseguita dal datore di lavoro, al quale sarebbe unicamente bastato provare l’illiceità della condotta tenuta dal lavoratore, in rapporto al corretto uso degli strumenti affidati sul luogo dì lavoro, limitandosi a dimostrare, secondo modalità differenti, l’esistenza di accessi indebiti alla rete ed i relativi tempi di collegamento. Nonostante i dati personali siano stati raccolti nell’ambito di controlli informatici finalizzati ad accertare l’esistenza di una condotta illecita del lavoratore, le informazioni di natura sensibile possono difatti essere trattate dal datore di lavoro senza il consenso del dipendente quando il trattamento appaia necessario e dunque indispensabile per far valere o difendere un diritto in sede giudiziaria.

Sono questi i principi sanciti dalla Suprema Corte di Cassazione investita della vicenda processuale che ha avuto origine con il trattamento di dati personali di un dipendente dal cui computer erano stati estratti dati concernenti l’accesso ad Internet effettuato sul luogo di lavoro, tali da configurare “dati sensibili”, in quanto relativi a convinzioni religiose, politiche e sindacali, nonché a gusti e tendenze sessuali del dipendente giacché numerosi file facevano riferimento a siti a contenuto pornografico.

Tali informazioni sensibili furono dunque utilizzati dal datore di lavoro, al fine di formulare una contestazione disciplinare finalizzata al licenziamento del dipendente.

Il lavoratore aveva successivamente richiesto il blocco e la cancellazione dei propri dati personali relativi agli accessi ad Internet che il datore di lavoro aveva documentato, allegando alla contestazione disciplinare, le pagine aventi, in particolare, ad oggetto informazioni riguardanti “file” temporanei, “cookie” originati sul computer utilizzato dal dipendente attraverso la navigazione in rete effettuata nel corso dell’orario di lavoro ed avviate attraverso la password di quest’ultimo.

La richiesta di blocco e di cancellazione furono tuttavia ignorate, donde il dipendente presentò ricorso al Garante per la protezione dei dati personali, ritenendo illecito il trattamento dei propri dati personali, siccome rivelatori di informazioni di carattere sensibile, da parte del datore di lavoro che li aveva trattati senza alcun consenso e senza informare preventivamente il lavoratore ed il sindacato interno all’azienda, in merito alla possibilità di effettuare controlli sui terminali d’ufficio in violazione di quanto previsto dall’art. 4 dello Statuto dei lavoratori.

Il Garante per la protezione dei dati personali accolse le doglianze sollevate dal lavoratore e dispose dunque disposto il divieto per il datore di lavoro di trattare ulteriormente i dati personali raccolti del dipendente.

Il provvedimento assunto dal Garante per la protezione dei dati personali è stato poi confermato anche in grado di appello da parte del Tribunale di Palermo contro la cui sentenza il datore di lavoro ha proposto ricorso per cassazione.

Il datore di lavoro ha innanzitutto contestato l’insussistenza della legittimazione attiva del lavoratore ai fini del radicamento del ricorso al Garante per la protezione dei dati personali, in quanto il dipendente aveva negato l’esistenza di una relazione tra sé e i dati.

La Suprema Corte di Cassazione ha tuttavia respinto le obiezioni sollevate dal datore di lavoro in forza di quanto previsto dall’art. 4 del D.lgs. 30 settembre 2003, n. 196 (Codice in materia di protezione dei dati personali) che definisce l’“interessato” come “la persona fisica cui si riferiscono i dati personali”.

La Cassazione ha infatti ritenuto che il lavoratore fosse legittimato ai sensi dell’art. 7 del D.lgs. 30 settembre 2003, n. 196 a chiedere il blocco e la cancellazione dei dati personali, in ragione del fatto che il dipendente aveva ricevuto dal proprio datore di lavoro una contestazione disciplinare relativa ad accessi ad Internet non autorizzati effettuati sul luogo di lavoro.

Nel richiamare un proprio precedente orientamento giurisprudenziale, la Cassazione ha confermato che, per poter assumere la qualità di “interessato“, i dati controversi devono riguardare la persona fisica o giuridica, l’ente o l’associazione che contesta il loro trattamento.

Non è inoltre necessario che i dati appartengano con certezza alla persona che si lamenta delle operazioni compiute su questi ultimi, in quanto è sufficiente l’attribuzione o l’esclusione di tali dati alla persona che avanzi il diritto alla titolarità o alla estraneità delle informazioni.

Nel caso in cui venga contestata l’attribuzione alla propria persona di determinate immagini, la Cassazione ritiene che non venga meno la qualità di “interessato” proprio in ragione del fatto che il soggetto intende escludere l’attribuzione a sé delle figure, essendo legittimato a chiedere l’adozione di provvedimenti di blocco e cancellazione dei dati.

Il datore di lavoro ha inoltre contestato il fatto che la visita a siti web ricollegabili ad associazioni sindacali o ad organizzazioni a carattere religioso, potesse costituire un dato idoneo a rivelare le opinioni personali del lavoratore.

Ed, in termini analoghi, anche l’accesso a siti a contenuto pornografico non poteva anch’esso costituire, secondo quanto eccepito dal datore di lavoro, un dato riguardante la vita sessuale del dipendente.

La Cassazione ha rigettato anche quest’ulteriore motivo di gravame proprio sulla base dell’art. 4, comma 1, lett. d, del D.lgs. 30 settembre 2003, n. 196, avente ad oggetto la definizione di “dati sensibili” cioè: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”

Nell’aderire a quanto affermato dalla dottrina in materia, la Cassazione ha ritenuto che alla definizione di dato sensibile debba essere attribuito un significato ampio nell’ottica di garantire una tutela rafforzata dei diritti delle persone.

La Cassazione si è infatti soffermata sulla formula utilizzata dal nostro legislatore che per fornire una definizione di dato sensibile utilizza la locuzione “dato idoneo a rivelare” anziché di “dato che rivela” impiegato invece dalla normativa comunitaria nella Direttiva 95/46/CE.

Per la Cassazione, con la locuzione “dato idoneo a rivelare“, il nostro legislatore ha inteso estendere la caratteristica della “sensibilità” anche a quelle informazioni che, sebbene neutre, possono consentire di rivelare, attraverso un percorso logico, dati peculiari della persona in rapporto a contesto particolare in cui avviene il trattamento.

La Cassazione sostiene inoltre che anche la frase “convinzioni di altro genere” che si ritrova nella norma nazionale, ma non nella norma comunitaria svolge la funzione di clausola di chiusura del sistema per qualsiasi informazione in grado di identificare un credo religioso, una convinzione o un’opinione personale.

Per la Cassazione queste informazioni possono dunque essere desumibili anche attraverso i dati relativi all’accesso a siti web ricollegabili ad associazioni sindacali o ad organizzazioni di carattere religioso a cui si è connesso l’utente di Internet.

La Cassazione ha ritenuto inoltre che oggetto di tutela della privacy non sono soltanto i gusti sessuali di un individuo, ma anche le scelte concretamente operate dalla persona in ragione del concetto di “dati sensibili” previsto dall’art. 4, comma 1, lett. d, del D.lgs. 30 settembre 2003, n. 196 che vengono definiti con riferimento alle informazioni personali idonee a rivelare lo stato di salute e la vita sessuale di un soggetto e non semplicemente le sue tendenze od aspirazioni in questo campo.

Sono pertanto da considerarsi dati personali idonei a rivelare la vita sessuale di un individuo, perché capaci di palesare le modalità di soddisfacimento degli appetiti sessuali di una persona quelle informazioni relative alla navigazione in Internet con accesso a siti pornografici, da ritenersi anch’essi meritevoli pertanto di tutela.

Il ricorrente ha inoltre eccepito che la sentenza emessa dal Tribunale di Palermo a conferma del provvedimento assunto dal Garante della privacy doveva ritenersi viziata in quanto il datore di lavoro avrebbe dovuto considerarsi esentato dall’obbligo di previa acquisizione del consenso al trattamento dei dati sensibili riferibili al lavoratore nell’ambito della procedura di licenziamento disciplinare.

La Cassazione non ha accolto anche quest’ulteriore motivo di doglianza sollevato dal datore di lavoro, richiamando in particolare l’art. 11 del D.lgs. 30 settembre 2003, n. 196, il quale prevede che i dati personali oggetto di trattamento debbono essere “pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati” nonché l’Autorizzazione n. 1 del 2004 emanata dal Garante per la protezione dei dati personali, la quale prevede espressamente che: “Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità”

Più precisamente la Cassazione ha concordato con quanto affermato dal Tribunale di Palermo che aveva accertato che il trattamento dei dati sensibili del lavoratore era avvenuta in modo eccedente rispetto alle finalità del trattamento stesso.

Nell’avvalorare il ragionamento seguito dapprima dal Garante della privacy e poi dal Tribunale di Palermo, la Cassazione ha condiviso la statuizione in forza della quale il datore di lavoro avrebbe potuto dimostrare l’illiceità del comportamento tenuto dal lavoratore, in relazione all’uso corretto degli strumenti informatici affidati sul luogo di lavoro, limitandosi a provare, secondo modalità differenti, l’esistenza degli accessi indebiti ad Internet ed ai tempi di connessione.

Il datore di lavoro aveva invece operato un trattamento diffuso di un numero copioso ed eterogeneo di informazioni indicative anche degli specifici contenuti degli accessi ai singoli siti web visitati nel corso della navigazione in rete dal lavoratore.

La condotta tenuta – in modo non trasparente – dal datore di lavoro si era pertanto concretizzata, secondo quanto affermato dai giudici di legittimità, in un trattamento dei dati eccedente rispetto alle finalità perseguite, nonostante il fatto che le informazioni erano state raccolte nell’ambito di controlli informatici finalizzati ad accertare l’esistenza di una condotta illecita consumata dal lavoratore.

Ciò nonostante i dati sensibili del lavoratore avrebbero potuto essere trattati dal datore di lavoro, senza il consenso del dipendente, solamente quando il trattamento fosse stato necessario al fine di far valere o difendere un diritto in sede giudiziaria con carattere di assoluta indispensabilità che, nel caso di specie, i giudici di legittimità non hanno rilevato, vista la possibilità di poter provare l’illiceità della condotta del lavoratore con modalità differenti.

Testo del provvedimento

---

© Riproduzione riservata
NOTE OBBLIGATORIE per la citazione o riproduzione degli articoli e dei documenti pubblicati in Ex Parte Creditoris.
È consentito il solo link dal proprio sito alla pagina della rivista che contiene l'articolo di interesse.
È vietato che l'intero articolo, se non in sua parte (non superiore al decimo), sia copiato in altro sito; anche in caso di pubblicazione di un estratto parziale è sempre obbligatoria l'indicazione della fonte e l'inserimento di un link diretto alla pagina della rivista che contiene l'articolo.
Per la citazione in Libri, Riviste, Tesi di laurea, e ogni diversa pubblicazione, online o cartacea, di articoli (o estratti di articoli) pubblicati in questa rivista è obbligatoria l'indicazione della fonte, nel modo che segue:
Autore, Titolo, in Ex Parte Creditoris - www.expartecreditoris.it - ISSN: 2385-1376, anno Numero Protocolo Interno : 528/2013