Con un recente provvedimento il Garante per la protezione dei dati personali ha inflitto una pesante sanzione da 420mila euro ad una nota azienda per aver tratto in modo illecito i dati personali di una dipendente, reperiti sui social network, utilizzati dapprima per elevare due contestazioni disciplinari, e giustificarne poi il licenziamento.
L’ intervento del Garante trae origine dal reclamo della lavoratrice che aveva segnalato l’utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e Whatsapp.
Tra i contenuti utilizzati figuravano stralci virgolettati di commenti e descrizioni di foto veicolati al datore di lavoro attraverso screenshot inviati da alcuni colleghi, presenti tra gli “ amici “ della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e Whatsapp. Le comunicazioni riguardavano, inoltre, scambi di opinione avvenuti in contesti estranei al rapporto di lavoro ritenuti non rilevanti ai fini della valutazione professionale.
Nel motivare la corposa sanzione, commisurata alla gravità della violazione e al fatturato aziendale, il Garante ha sottolineato che, una volta accertato il carattere privato delle conversazioni e dei commenti pubblicati peraltro in ambienti digitali ad accesso limitato, la società avrebbe dovuto astenersi dal farne uso vista la palese violazione dei principi posti alla base del trattamento di dati personali ( liceità, soddisfatta da un’idonea base giuridica, finalità determinata, esplicita e legittima e minimizzazione dei dati che devono essere adeguati, pertinenti e limitati a quanto necessario).
A supporto di tali argomentazioni, il Garante si avvale delle valutazioni espresse dalla Corte di Cassazione (sentenza 7 ottobre 2014, n.21107 ) secondo le quali: - “deve riconoscersi il dato oggettivo dell'acquisizione d'informazioni attinenti [al] dipendente, di per sé sufficiente a rendere configurabile un trattamento di dati […], le cui modalità ed i cui limiti devono essere ricostruiti avendo riguardo alla gestione del rapporto di lavoro, cui è indiscutibilmente preordinata l'adozione di provvedimenti disciplinari”; - “l'immissione di alcuni dei propri dati personali in rete, pur lasciando presumere la volontà dell'interessato di permetterne l'utilizzazione in vista degli obiettivi per cui gli stessi sono stati posti a disposizione del pubblico, non consente tuttavia di ritenere che quel consenso sia stato implicitamente prestato anche in funzione di qualsiasi altro trattamento. L’utilizzazione dei dati diffusi per finalità diverse da quella per cui ne è stata consentita la divulgazione costituisce d'altronde un'eventualità già presa in considerazione da questa Corte …”.
Un modo di argomentare, dunque, che amplia i casi in cui può risultare affermata l’illeceità di trattamenti di dati personali e dal quale emerge l’ ulteriore questione dell’utilizzabilità, nella causa di lavoro, dei dati illegittimamente acquisiti.
Il Codice privacy, al riguardo, rinvia alle “pertinenti disposizioni processuali” e il Codice di procedura civile, diversamente dal Codice di procedura penale, non contiene una norma che stabilisca l'inutilizzabilità di prove precostituite formatesi in violazione di norme di legge.
Ciò nonostante, l’ingresso dei predetti dati nella causa di lavoro, d’interesse dell’azienda, non è pacifico (fra le decisioni contrarie, Cass. n. 3714/2023).
La prova acquisita illecitamente, in violazione di un diritto costituzionalmente protetto alla riservatezza nella corrispondenza privata, non pone – così viene detto - una mera questione di inammissibilità ma è essa stessa un fatto illecito.
Un motivo in più per prestare attenzione, a monte, alla conformità al GDPR dei trattamenti dei dati personali nella gestione del personale e alla “giurisprudenza” del Garante, prevenendo così la pluralità di questioni che altrimenti possono porsi.
WST Law & Tax