Cassazione civile, sezione I, 01 agosto 2013 n° 18443. Il Garante per la protezione dei dati personali, il Tribunale di Palermo e la Corte di Cassazione, hanno condiviso il medesimo orientamento, definendo illegittimo il trattamento dei dati posto in essere da un’azienda che, nell’operare, dapprima una contestazione disciplinare, e poi l’intimazione del licenziamento, ai danni di un proprio dipendente, ha documentato il contenuto degli accessi ai siti internet, non autorizzati, e compiuti dal medesimo durante l’orario di lavoro. Da tali documenti risultava la traccia di navigazioni dalle quali potevano evincersi orientamenti di natura politica, sindacale, religiosa, nonché le opzioni sessuali del lavoratore. Il prestatore chiede quindi, ai sensi dell’art. 7 del Codice per la protezione dei dati personali, il blocco e la cancellazione dei dati che lo riguardano e relativi a tali accessi, sull’assunto che sarebbero stati trattati, in modo illegittimo, da parte dell’azienda, poiché rientranti tra quelli di natura sensibile. Il Garante prima, in seguito il Tribunale, ritengono che siffatti dati, trattati dall’azienda, sono infatti da catalogare come “sensibili”: l’utilizzo da parte della società sarebbe stato legittimo solo se il trattamento fosse stato necessario per far valere, o difendere, un diritto in sede giudiziaria. La fattispecie approda in Cassazione, dove gli Ermellini della sezione I civile, respingendo il ricorso presentato dalla società datrice di lavoro, confermano quanto già accertato dalle autorità precedenti: pur essendo lecita la contestazione disciplinare, il trattamento dei dati sensibili era avvenuto in modo eccedente rispetto alla finalità del medesimo. In particolare il Tribunale, adito a seguito del pronunciamento del Garante, aveva, a ragione, condiviso la tesi espressa da questi, secondo cui la società ricorrente avrebbe potuto dimostrare l’illiceità della condotta del prestatore, “in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro”, limitandosi a dar prova degli accessi indebiti ad internet, attraverso una modalità differente da quella nei fatti utilizzata. La società, a dire della Corte, ha posto in essere “un trattamento diffuso di numerose altre informazioni indicative anche degli specifici contenuti degli accessi dei singoli siti web visitati […], operando […] un trattamento di dati eccedente rispetto alle finalità perseguite […]”. Anche se i dati personali sono stati raccolti nell’ambito di controlli informatici diretti a verificare l’esistenza di un comportamento illecito del prestatore di lavoro, le informazioni di natura sensibile possono essere trattate dal datore, senza il consenso dell’interessato, quando il trattamento è “indispensabile” a far valere, oppure difendere, un diritto in sede giudiziaria. Nella fattispecie tale “indispensabilità” non è stata ritenuta sussistente.
