POTERI DEL DATORE DI LAVORO,RISPETTO DELLA PRIVACY ED ESIGENZE AZIENDALI

Un lavoratore, che prestava servizio come addetto all'accettazione di un'azienda ospedaliera privata, ha ricevuto una contestazione disciplinare per avere effettuato - durante l’orario di lavoro - accessi ad Internet a scopo personale e non autorizzati, servendosi all’uopo del personal computer che l’azienda gli aveva fornito.

Tale contestazione conteneva in allegato l’elenco degli indirizzi dei siti internet visitati, tra i quali figuravano anche siti a contenuto pornografico. Attraverso il loro raffronto, quindi, l’azienda poteva venire a conoscenza delle convinzioni religiose e filosofiche, delle opinioni politiche e sindacali e dei gusti e delle tendenze sessuali del proprio dipendente, informazioni definite dalla normativa in materia di trattamento dei dati personali “dati sensibili”, come tali non utilizzabili senza il consenso scritto della persona cui appartengono.

Il lavoratore, allora, chiedeva all'azienda la loro cancellazione; ma non avendo ricevuto alcun riscontro, presentava ricorso al Garante per la protezione dei dati personali ritenendo illecito il trattamento, riservando alla Magistratura del Lavoro ogni altra valutazione circa la liceità o meno del licenziamento comminatogli.

Preliminarmente, il ricorrente rilevava che la rete Internet era liberamente accessibile da tutti gli utenti e che la società non lo aveva in alcun modo informato che sarebbero stati effettuati controlli sui computer in dotazione, ovvero copie dei files, dai quali si sarebbe potuto risalire al contenuto degli accessi e ai siti visitati durante la connessione.

Quindi, il dipendente si dogliava del fatto che il datore di lavoro, al fine dell’emissione della contestazione disciplinare origine della vicenda, non aveva bisogno di accertare anche quali siti erano stati visitati durante le sessioni di connessione vietate. Premesso queste considerazioni, il ricorrente concludeva che i dati trattati dalla società datrice di lavoro (ossia l’elenco degli indirizzi dei siti internet ai quali si era connesso) erano di natura sensibile, sicché non avrebbero potuto essere oggetto di trattamento senza il suo consenso scritto, che non aveva mai fornito.

Dal canto suo, l’azienda eccepiva che il trattamento dei dati oggetto della controversia si era reso necessario al fine di intimare al dipendente licenziamento per giusta causa. In particolare, la resistente spiegava che il proprio dipendente non soltanto aveva compiuto accessi ad Internet che gli erano vietati, ma aveva anche stampato i risultati delle navigazioni, con ciò commettendo il reato di appropriazione indebita con riferimento al materiale cartaceo aziendale. Inoltre, aveva anche commesso il reato di danneggiamento, poiché - a causa delle frequenti sessioni di connessione - alcuni virus informatici si erano introdotti nella rete Aziendale rendendo di fatto inutilizzabile il sistema, con ovvio disagio per gli utenti della clinica e con inutile dispendio di denaro, per il ripristino delle sue funzionalità, a carico dell’azienda medesima.

Pertanto, concludeva che il trattamento dei dati sensibili portati dai files internet nasceva dalla legittima esigenza di far valere i propri diritti, anche ai fini della loro tutela in giudizio, sicché non era necessario acquisire alcun preventivo consenso scritto da parte del dipendente interessato.

Considerate le difese di entrambe le parti, il Garante per la protezione dei dati personali concludeva che la società resistente avrebbe potuto dimostrare l’illiceità del comportamento del proprio dipendente limitandosi a provare in altro modo l'esistenza di accessi indebiti alla rete. In altre parole, dall’esclusivo punto di vista del trattamento dei dati, per integrare la giusta causa di licenziamento del lavoratore, l’azienda avrebbe potuto limitarsi a dimostrare che il lavoratore medesimo avesse effettuato accessi non autorizzati ad Internet semplicemente indicando i tempi ed i modi dell’illecita connessione, senza bisogno di elencare materialmente i siti visitati.

Quindi il Garante, accogliendo la tesi del ricorrente, accertata la natura sensibile dei dati trattati e ritenuto illegittimo il loro trattamento, condannava la clinica al risarcimento del danno.

Fin qui la vicenda nel suo resoconto storico. Ma quali sono le motivazioni che hanno indotto il Garante per la protezione dei dati personali a giungere a tale conclusione?

Premettiamo, innanzitutto, che i dati personali cosiddetti sensibili (ossia quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, lo stato di salute e la vita sessuale di una persona) non possono essere oggetto di trattamento (cioè, in estrema sintesi, oggetto di utilizzazione o conservazione) senza il consenso scritto del soggetto al quale appartengono. Ciò si giustifica in ragione della particolare natura del dato sensibile, atto a rivelare quanto attiene alla sfera più intima dell’individuo. In difetto di consenso scritto, infatti, il trattamento è illegittimo, a meno che sia necessario servirsene per far valere un diritto o per difendersi davanti all’Autorità Giudiziaria.

Premettiamo, inoltre, che la nuova legislazione in materia di trattamento dei dati personali è ispirata al cosiddetto “principio di necessità”, con questo intendendosi che il loro utilizzo, da parte di terzi estranei, deve sempre essere ridotto al minimo indispensabile, per le finalità in ordine alle quali i dati medesimi sono stati raccolti e solo per il tempo necessario a perseguirle.

Il connubio tra i suddetti principi ha condotto, quindi, alla formulazione dell’art. 26 del D. Lgs. 30 giugno 2003 n. 196 (legge sulla privacy), secondo il quale se si vuole utilizzare un dato idoneo a rivelare stato di salute e vita sessuale per far valere o difendere in giudizio un proprio diritto, occorre che quest’ultimo diritto sia di pari rango a quello dell’interessato, ovvero consista in un diritto della personalità (ad esempio immagine, reputazione, nome) o in una libertà fondamentale e inviolabile. Sulla scorta delle premesse ora esposte, il Garante ha quindi rilevato che, sebbene i dati personali del dipendente fossero stati raccolti per verificare l'esistenza di un comportamento illecito, le informazioni di natura sensibile non avrebbero potuto essere trattate dal datore di lavoro senza il consenso del lavoratore.

Il comportamento illecito che ha dato origine al licenziamento, infatti, ben avrebbe potuto essere provato dall’azienda anche senza ricorrere al trattamento del dato sensibile, ritenuto, in definitiva, non indispensabile nel caso di specie. Da questo si evince quindi che i beni aziendali, o comunque l'interesse economico generalmente considerato, non possono essere ritenuti diritti di rango tale da giustificare una deroga ai principi posti a presidio della riservatezza.

Questa decisione, però, non deve indurre a credere che il datore di lavoro si trovi d'improvviso privato della possibilità di utilizzare gli strumenti di controllo riconosciutigli dalla legge.

Semplicemente detti poteri devono essere esercitati nel rispetto della riservatezza del proprio dipendente (per quanto questo sia possibile) senza dunque travalicare i limiti di un corretto trattamento dei dati, pena il rischio di trovarsi costretti a risarcire il danno che eventualmente ne sia derivato al dipendente, come accaduto nel caso ora esposto.