Una decisione on-label sull'uso off-label dei vaccini Covid United Lawyers for Freedom - ALI Avvocati Liberi - 31/10/24  |  Voli cancellati e ritardi: annullata la conciliazione obbligatoria Diego Ferraro e Sonia Coppola - 30/10/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Licenziamento: inutilizzabili le informazioni acquisite in violazione del GDPR

Azienda costretta a reintegrare il lavoratore licenziato sulla base di prove ottenute violando la sua privacy


Licenziamento in violazione della privacy: la vicenda

[Torna su]

Con il provvedimento del 14 febbraio 2024, il Tribunale di Roma, sezione lavoro – allineandosi all'orientamento della Suprema Corte di Cassazione – nel corso del giudizio R.G. 7571/2023 si è espresso sulla tema della inutilizzabilità delle prove acquisite in violazione della GDPR. Un dipendente è stato sospeso in via cautelare, scrive l'azienda datrice di lavoro, "al fine di verificare alcune informazioni recentemente acquisite dalla scrivente e potenzialmente impattanti sul vincolo fiduciario". L'azienda ha successivamente bloccato l'account di posta elettronica aziendale, che però non era inibito all'utilizzo anche privato, creando non pochi disagi al dipendente. L'azienda ha altresì richiesto la restituzione dei beni aziendali in uso al lavoratore, tra i quali il computer, "al fine di completare le indagini in corso". Il dipendente è stato quindi licenziato con motivazioni che non rilevano in questa analisi. Il licenziamento è stato impugnato, tra l'altro, per violazione della Legge sulla Privacy.

Riferimenti normativi e giurisprudenziali

[Torna su]

Come noto, la ratio generale del GDPR è di scoraggiare la ricerca, l'acquisizione e più in generale il trattamento abusivo di dati personali e, per realizzare questa funzione, il rimedio previsto dal legislatore è quello di impedirne la realizzazione dello scopo. Per quanto precede, in capo ad ogni soggetto vige l'obbligo di acquisire dall'interessato il preventivo consenso al trattamento dei suoi dati personali (ex articolo 23 del D. Lgs. 196/03). A tale onere si può derogare allorquando il trattamento sia necessario per alcune finalità ben precise, tra le quali quella di "far valere o difendere un diritto in sede giudiziaria" (ex articolo 24 del D. Lgs. 196/03, comma 1, lettera f – cfr. anche Considerando 47 e 52 del GDPR).

I dati personali raccolti e trattati, ovvero le informazioni e prove reperite in violazione dei suddetti dettami, sono inutilizzabili ai sensi dell'articolo 11, comma 2, d. lgs. 196/2003, così come sostituito dall'articolo 2-decies del d. lgs. 101/2018 contenente identica formulazione, con l'unica aggiunta della salvezza di quanto previsto dall'art. 160bis d.lgs. n. 196/03.

"Ne consegue che sul piano processuale tale norma preclude non solo alle parti di avvalersi dei predetti dati come mezzo di prova, ma pure al giudice di fondare il proprio convincimento su fatti dimostrati dal dato acquisito in modo non rispettoso delle regole dettate dal legislatore e dai codici deontologici" (cfr. Cassazione 28378/2023).

La Suprema Corte, in ordine alla possibilità di controllo del datore di lavoro, ha altresì statuito che i sistemi difensivi sono consentiti per la tutela di beni estranei al rapporto di lavoro, ovvero per evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito (cfr. Cassazione 34092/2021).

È pertanto necessario un fondato sospetto del datore di lavoro, il quale avrà l'onere di allegare prima, e di provare poi, le specifiche circostanze che l'hanno indotto ad attivare le verifiche (cfr. Cassazione 18168/2023).

Licenziamento infondato

[Torna su]

Il controllo è quindi valido, giustificato ed utilizzabile solo successivamente all'individuazione di indizi che lo giustifichino, poiché è considerata lecita esclusivamente la raccolta di informazioni effettuata dopo tale momento. Il datore non è pertanto autorizzato ad eseguire controlli in modalità esplorativa, e può raccogliere informazioni solo in seguito all'insorgere di un fondato sospetto, sicché sono utilizzabili unicamente le notizie successive al legittimo controllo.

L'azienda ha contestato al lavoratore fatti precedenti alla "segnalazione" ed ai conseguenti accertamenti, sicché gli atti acquisiti sono stati ritenuti inutilizzabili ai fini disciplinari. Le informazioni sono state, inoltre, reperite con un accesso illecito alla corrispondenza, eseguito senza autorizzazione, in violazione del GDPR, circostanza che ne preclude la valutazione in sede giudiziaria.

"In definitiva - scrive il giudice - il licenziamento intimato sulla base dei predetti atti inutilizzabili a fini disciplinari, risulta infondato e pertanto deve trovare esame il motivo illecito". Il dipendente è stato quindi reintegrato.

Andrea Pedicone

Consulente investigativo ed in materia di protezione dei dati personali

Auditor/Lead Auditor Qualificato UNI CEI EN ISO/IEC 27001:2017

Sistemi di Gestione per la Sicurezza delle Informazioni

Data: 23/05/2024 07:00:00
Autore: Andrea Pedicone