di avv. Graziano Garrisi – Digital & Law Department
Una recente sentenza della Corte di Cassazione (prima sezione civile) – n. 18443/13 – ha stabilito che il datore di lavoro non può utilizzare i dati acquisiti in modo illecito contro il proprio dipendente.
Trattasi, in particolare, di dati di navigazione che rientrano nella categoria di dati sensibili (in quanto la navigazione su siti porno rileva di fatto le tendenze sessuali dell’interessato) acquisiti mediante un accesso diretto sul pc del dipendente dal quale è derivata una procedura disciplinare di licenziamento. In particolare, il datore di lavoro piuttosto che effettuare un accesso diretto (mediante audit) al pc in maniera non trasparente (l’interessato, infatti, non era al corrente di tale accesso) acquisendo una copia della cartella con tutte le sessioni di navigazione in internet del dipendente, avrebbe potuto accedere a quelle informazioni mediante l’utilizzo dei file di back up aziendale.
Lo stesso Garante Privacy, in un suo provvedimento emanato per il caso di specie, ha evidenziato come sarebbe stato sufficiente dimostrare la connessione a internet durante l’orario di lavoro e la relativa durata, senza entrare nello specifico delle pagine web visitate (e andando, così, contro uno dei principi cardine dell’impianto normativo privacy, ovvero quello di “pertinenza e non eccedenza” nel trattamento).
Nella sentenza, infatti, si legge che il datore di lavoro “ha operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici contenuti degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando – in modo peraltro non trasparente – un trattamento di dati eccedente rispetto alle finalità perseguite, tenuto conto che, sebbene i dati personali siano stati raccolti nell’ambito di controlli informatici volti a verificare l’esistenza di un comportamento illecito, le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” e tale indispensabilità, non ricorre nel caso di specie”.
Emerge sempre più, pertanto, l’esigenza di adottare all’interno del contesto aziendale privacy policy e regolamenti interni chiari e trasparenti nei confronti dei lavoratori, che stabiliscano modalità e limiti attraverso i quali il datore di lavoro possa effettuare controlli “successivi” e “indiretti” (laddove non siano state predisposte già misure preventive o filtri alla navigazione che possano bloccare eventuali condotte illecite) per esigenze di tutela del patrimonio e della sicurezza aziendale (ricordiamo, infatti, che un controllo diretto nei confronti dei lavoratori è sempre vietato). Si sottolinea, infine, la necessità per l’azienda di azionare in questi casi l’obbligatoria procedura prevista dall’art. 4 dello Statuto dei Lavoratori.