Licenziamento: inutilizzabili le informazioni acquisite in violazione del GDPR
- Licenziamento in violazione della privacy: la vicenda
- Riferimenti normativi e giurisprudenziali
- Licenziamento infondato
Licenziamento in violazione della privacy: la vicenda
Con il provvedimento del 14 febbraio 2024, il Tribunale di Roma, sezione lavoro – allineandosi all'orientamento della Suprema Corte di Cassazione – nel corso del giudizio R.G. 7571/2023 si è espresso sulla tema della inutilizzabilità delle prove acquisite in violazione della GDPR. Un dipendente è stato sospeso in via cautelare, scrive l'azienda datrice di lavoro, "al fine di verificare alcune informazioni recentemente acquisite dalla scrivente e potenzialmente impattanti sul vincolo fiduciario". L'azienda ha successivamente bloccato l'account di posta elettronica aziendale, che però non era inibito all'utilizzo anche privato, creando non pochi disagi al dipendente. L'azienda ha altresì richiesto la restituzione dei beni aziendali in uso al lavoratore, tra i quali il computer, "al fine di completare le indagini in corso". Il dipendente è stato quindi licenziato con motivazioni che non rilevano in questa analisi. Il licenziamento è stato impugnato, tra l'altro, per violazione della Legge sulla Privacy.
Riferimenti normativi e giurisprudenziali
Come noto, la ratio generale del GDPR è di scoraggiare la ricerca, l'acquisizione e più in generale il trattamento abusivo di dati personali e, per realizzare questa funzione, il rimedio previsto dal legislatore è quello di impedirne la realizzazione dello scopo. Per quanto precede, in capo ad ogni soggetto vige l'obbligo di acquisire dall'interessato il preventivo consenso al trattamento dei suoi dati personali (ex articolo 23 del D. Lgs. 196/03). A tale onere si può derogare allorquando il trattamento sia necessario per alcune finalità ben precise, tra le quali quella di "far valere o difendere un diritto in sede giudiziaria" (ex articolo 24 del D. Lgs. 196/03, comma 1, lettera f – cfr. anche Considerando 47 e 52 del GDPR).
I dati personali raccolti e trattati, ovvero le informazioni e prove reperite in violazione dei suddetti dettami, sono inutilizzabili ai sensi dell'articolo 11, comma 2, d. lgs. 196/2003, così come sostituito dall'articolo 2-decies del d. lgs. 101/2018 contenente identica formulazione, con l'unica aggiunta della salvezza di quanto previsto dall'art. 160bis d.lgs. n. 196/03.
"Ne consegue che sul piano processuale tale norma preclude non solo alle parti di avvalersi dei predetti dati come mezzo di prova, ma pure al giudice di fondare il proprio convincimento su fatti dimostrati dal dato acquisito in modo non rispettoso delle regole dettate dal legislatore e dai codici deontologici" (cfr. Cassazione 28378/2023).
La Suprema Corte, in ordine alla possibilità di controllo del datore di lavoro, ha altresì statuito che i sistemi difensivi sono consentiti per la tutela di beni estranei al rapporto di lavoro, ovvero per evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito (cfr. Cassazione 34092/2021).
È pertanto necessario un fondato sospetto del datore di lavoro, il quale avrà l'onere di allegare prima, e di provare poi, le specifiche circostanze che l'hanno indotto ad attivare le verifiche (cfr. Cassazione 18168/2023).
Licenziamento infondato
Il controllo è quindi valido, giustificato ed utilizzabile solo successivamente all'individuazione di indizi che lo giustifichino, poiché è considerata lecita esclusivamente la raccolta di informazioni effettuata dopo tale momento. Il datore non è pertanto autorizzato ad eseguire controlli in modalità esplorativa, e può raccogliere informazioni solo in seguito all'insorgere di un fondato sospetto, sicché sono utilizzabili unicamente le notizie successive al legittimo controllo.
L'azienda ha contestato al lavoratore fatti precedenti alla "segnalazione" ed ai conseguenti accertamenti, sicché gli atti acquisiti sono stati ritenuti inutilizzabili ai fini disciplinari. Le informazioni sono state, inoltre, reperite con un accesso illecito alla corrispondenza, eseguito senza autorizzazione, in violazione del GDPR, circostanza che ne preclude la valutazione in sede giudiziaria.
"In definitiva - scrive il giudice - il licenziamento intimato sulla base dei predetti atti inutilizzabili a fini disciplinari, risulta infondato e pertanto deve trovare esame il motivo illecito". Il dipendente è stato quindi reintegrato.
Andrea Pedicone
Consulente investigativo ed in materia di protezione dei dati personali
Auditor/Lead Auditor Qualificato UNI CEI EN ISO/IEC 27001:2017
Sistemi di Gestione per la Sicurezza delle Informazioni
Data: 23/05/2024 07:00:00Autore: Andrea Pedicone