Il terminale contiene dati sensibili tutelati dalle regole sulla privacy. Il computer del dipendente non può essere “perquisito” dal datore di lavoro per contestare una violazione disciplinare.
Il pc contiene infatti dati sensibili il cui tracciamento viola la riservatezza del lavoratore e l’attività di scandagliamento a strascico, inoltre, travalica la «proporzionalità» che deve comunque essere rispettata tra l’infrazione commessa e la tutela della privacy della persona.
Con una lunga motivazione la Prima civile della Cassazione (sentenza 18443/13, depositata ieri) ha respinto il ricorso di una casa di cura siciliana contro l’addetto alla accettazione della struttura. L’uomo, durante l’orario di lavoro e dalla sua postazione, si collegava abitualmente alla rete internet (attività peraltro non prevista per la mansioni cui era applicato) visitando siti sindacali, religiosi e anche pornografici. Tre ambiti, questi, attinenti i diritti fondamentali della persona, e sui quali il Garante della riservatezza – interpellato dall’impiegato appena ricevuta la contestazione disciplinare – aveva statuito la massima e doverosa tutela, almeno fino al fondato sospetto di violazione di diritti costituzionali di pari grado.
L’Authority era stata tranciante circa il metodo risoluto seguito della clinica, sia sul versante tecnico (accesso diretto al pc del dipendente e copia della cartella di tutte le operazioni registrate, invece di accedere dal back up) sia sulla procedura. In particolare, secondo il Garante, il lavoratore «non era stato previamente informato dell’eventualità di tali controlli e del tipo di trattamento che sarebbe stato effettuato», in violazione del Codice della privacy, ma soprattutto il trattamento che era stato fatto dell’enorme mole di file era andato ben oltre i limiti di pertinenza e di «non eccedenza rispetto alle finalità per le quali sono raccolti o successivamente trattati», come previsto dall’articolo 11 del decreto legislativo 196/2003. Contro le scelte dell’azienda deponeva anche l’autorizzazione 1/2004 del Garante, citata agli atti dalla ricorrente, secondo cui «il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonchè con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in In particolare (…) il tribunale ha condiviso le argomentazioni del Garante secondo cui la ricorrente avrebbe potuto dimostrare l’illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro, limitandosi a provare in altro modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. Essa, per contro, ha operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando – in modo peraltro non trasparente – un trattamento di dati eccedente rispetto alle finalità perseguite Corte di Cassazione, Prima sezione civile, sentenza n.18443/13 rapporto ai sopra indicati obblighi, compiti o finalità».
In sostanza, secondo la Cassazione, l’azienda nel caso specifico avrebbe potuto procedere alle contestazioni disciplinari limitandosi alla circostanza che il dipendente si collegava a internet senza che ciò fosse previsto, e nemmeno indispensabile, per le sue mansioni.
Tra le pieghe della motivazione, anche uno spaccato importante sulla valutazione di «dato sensibile». L’azienda contestava la circostanza che la registrazione relativa a siti sindacali, poi religiosi, infine pornografici, non era in grado di connotarsi come «dato sensibile», idoneo a svelare gli orientamenti del dipendente, In realtà, spiega la Corte, il legislatore italiano è stato più restrittivo di quello europeo parlando non solo di «dati sensibili», ma anche«dati idonei a rilevare». Come una navigazione su internet.
Il Sole 24 Ore – 2 agosto 2013