Illecito indagare sul contenuto dei siti internet visitati dai dipendenti.

Riceviamo e pubblichiamo dalla collega Avv. Carmela Parisi (Avvocati su Google) un’importante sentenza resa dalla Suprema Corte di Cassazione

Fonte e Link: http://ilblog.fplex.it/2013/08/illecito-indagare-su.-contenuto-dei-siti-internet-visitati-dai-dipendenti.html

 Illecito indagare sul contenuto dei siti internet visitati dai dipendenti

Pubblichiamo la sentenza n. 18443 dell’1 agosto 2013 della Suprema Corte di cassazione. La pronuncia, lungi dal legittimare l’utilizzo a fini privati dei beni aziendali, chiarisce che sono dati personali idonei a rivelare la vita sessuale “quelli relativi alla navigazione in internet con accesso a siti pornografici“.

In altri termini, come chiaramente segnalato dall’Autorità garante per la protezione dei dati personali nel provvedimento che ha originato la vicenda, per contestare l’indebito utilizzo dei beni aziendali sarebbe stato sufficiente verificare gli avvenuti accessi alla rete ed i tempi di connessione, senza indagare sul contenuto dei siti.

Il datore di lavoro, invece, ha operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando – in modo peraltro non trasparente – un trattamento di dati eccedente rispetto alle finalità perseguite, tenuto conto che, sebbene i dati personali siano stati raccolti nell’ambito dì controlli informatici volti a verificare l’esistenza dì un comportamento illecito, le informazioni di natura sensibile possono essere trattate dal datore dì lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” e tale indispensabilità, non ricorre nel caso di specie.

Ritenuto in fatto e in diritto

1.- La s.p.a. Omissis, titolare di una casa di cura, ricorre per cassazione –  formulando quattro motivi contro la sentenza del Tribunale di Palermo del 26.6.2008 con la quale è stato respinto il suo ricorso, presentato ai sensi dell’art. 152 d.lgs. n. 196/2003, contro il provvedimento in data 2.2.2006 con il quale il Garante per la protezione dei dati personali le aveva vietato il trattamento dei dati personali di Omissis, proprio dipendente, dal cui computer erano stati estratti dati concernenti l’acceso ad internet, tali da configurare “dati sensibili” perché relativi convinzioni religiose e politiche nonché alle tendenze sessuali.

Resistono con controricorso Omissis e il Garante della protezione dei dati personali.

2.- La vicenda oggetto del ricorso può essere così riassunta.

Omissis avendo ricevuto dalla casa di cura ricorrente, presso cui prestava servizio come addetto all’accettazione e al banco referti, una contestazione disciplinare relativa ad accessi ad Internet non autorizzati effettuati sul luogo di lavoro, ha chiesto il blocco e la cancellazione dei dati personali che lo riguardano relativi a tali accessi, ai sensi dell’art. 7 Codice.

La s.p.a. Omissis li aveva documentati producendo numerose pagine – allegate alla contestazione disciplinare – recanti, in particolare, informazioni relative ai “file” temporanei e ai “cookie” originati, sul computer utilizzato dal ricorrente, dalla navigazione in rete avvenuta durante sessioni di lavoro avviate con la password del ricorrente medesimo.

Non avendo ricevuto riscontro, il ricorrente ha presentato ricorso al Garante ai sensi degli art. 145 e s. del Codice, ritenendo illecito il trattamento. Il ricorrente ha sostenuto che tra i dati in questione comparivano anche alcune informazioni di carattere sensibile idonee a rivelare, in particolare, convinzioni religiose, opinioni sindacali, nonché gusti e tendenze sessuali posto che numerosi file fanno riferimento a siti Internet a contenuto pornografico. La resistente avrebbe trattato tali dati senza alcun consenso e senza informare preventivamente circa la possibilità dì effettuare controlli sui terminali d’ufficio né l’interessato, né il “sindacato interno all’azienda (…), in aperto spregio all’articolo 4 dello Statuto dei lavoratori che prevede che tale attività può avvenire solo previo consenso del sindacato o dell’ispettorato del lavoro”.

omissis

3.1.- Con il primo motivo di ricorso la ricorrente denuncia violazione e falsa applicazione degli artt. 4, 141 e 145 d.lgs. n. 169/2003, 12 disp. prel. c.c. nonché vizio di motivazione.

Deduce che la nozione di interessato ai sensi degli artt. 4 e 141 d.lgs. n. 196/2003, alla luce dell’art. 12 delle preleggi, non può essere interpretata nel senso di conferire legittimazione attiva ai fini del ricorso ex art. 145 d.lgs. cit., anche al soggetto che abbia negato ogni relazione tra sé ed i dati medesimi.

3.2.- Con il secondo motivo la ricorrente denuncia violazione e falsa applicazione degli artt. 4 comma 1 lett. c) d.lgs. n. 196/2003, 12 e 14 disp. prel. c.c. nonché vizio di motivazione.

Deduce che, ai sensi dell’art. 4 comma 1 lett. c) d.lgs. n. 196/2003 nonché degli artt. 12 e 14 disp. prel. c.c., la visitazione di differenti siti web ricollegabili a diverse associazioni sindacali non costituisce un dato idoneo a rivelare le opinioni sindacali dell’utente Internet, così come la visitazione di molteplici siti web riconducibili ad organizzazioni di carattere religioso non costituisce un dato idoneo a rivelare le convinzioni religiose dell’utente Internet. Né, infine, la visitazione di molteplici siti web a contenuto pornografico integra un dato attinente alla “vita sessuale” dell’utente Internet.

3.3.- Con il terzo motivo la ricorrente denuncia violazione e falsa applicazione degli artt. 13 comma 5 lett. a), 24 comma 1 lett. a), b) e g), 26 comma 4, lett. b) c) e d) e 40 del d.lgs. n. 196/2003; violazione e falsa applicazione degli artt. 1, 2 e 5 della L. n. 604/1966, come modificata dalla legge 108/90 nonché degli artt. 7 e 18 della legge n. 300/70 (statuto dei lavoratori) nonché delle disposizioni (artt. da 38 a 41) del CCFNL per il personale dipendente delle strutture sanitarie associate AIOP, ARIS e FDG (parte normativa 2002-2005, biennio economico 2002-2003), che disciplina il rapporto, in ordine ai procedimenti disciplinari; violazione e falsa applicazione dell’art. 112 c.p.c; violazione e falsa applicazione dell’autorizzazione generale del Garante per la protezione dei dati personali n. 1 del 2004 al trattamento dei dati sensibili nei rapporti di lavoro, sub 3, lett. A); nonché vizio dì motivazione.

Lamenta che la sentenza impugnata abbia omesso di motivare in relazione alla circostanza che il provvedimento autorizzatolo n. 1 del 2004 del Garante per la protezione dei dati personali al trattamento dei dati sensibili nei rapporti di lavoro fosse riferibile all’odierna ricorrente e ne legittimasse il comportamento nonché sulla circostanza che l’attività gestita da La M. S.p.A. fosse destinataria del regime speciale disposto dall’art. 34, c. 4, lett. b), in virtù del fatto di essere soggetto accreditato presso il servizio sanitario regionale della Sicilia.

Deduce che – ai sensi degli artt. 13, c. 5, lett. a), 24, c. 1, lett. a), b) e g), 26, c. 4, lett. b), c) e d), e 40 del D. Igs. n. 196/2003; degli artt. 1, 2 e 5 della L. n. 604/1966, come modificata dalla legge 108/90, nonché degli artt. 1 e 18 della legge n. 300/70 (Statuto dei lavoratori), nonché delle disposizioni (artt. da 38 a 41) del CCNL per il personale dipendente delle strutture sanitarie associate aiop, aris e fdg (parte normativa 2002-2005, biennio economico 2002-2003) dell’Autorizzazione Generale del Garante per la Protezione dei Dati Personali n. 1 del 2004 al trattamento dei dati sensibili nei rapporti di lavoro -il rispetto degli obblighi imposti al datore di lavoro per procedere alla legittima risoluzione del rapporto esclude la necessità della previa acquisizione del consenso dell’interessato.

La ricorrente, inoltre, deduce che la sentenza impugnata è viziata – ex art. 112 c.p.c. – nella parte in cui ha omesso di pronunciarsi sull’idoneità degli obblighi imposti dalla legge e dal CCNL per il licenziamento disciplinare, a sollevare il datore di lavoro dall’obbligo di previa acquisizione del consenso al trattamento di dati riferibili all’interessato-prestatore di lavoro.

Deduce, ancora, la violazione dell’art. 40 del d. Igs. n. 196 del 2003 perché il tribunale ha qualificato come trattamento illecito di dati una condotta che, ai sensi dell’autorizzazione generale, costituisce trattamento lecito.

Deduce, infine, l’erroneità della sentenza nella parte in cui non proporziona il giudizio sulla congruenza, proporzionalità e non eccedenza del trattamento alle finalità che, con esso, il titolare ha voluto (ed aveva l’obbligo di) perseguire.

Omissis

4.1. Ai sensi dell’art. 4 lett. i) d.lgs n. 196/2003 è “interessato” la persona fisica cui si riferiscono i dati personali oggetto di un determinato trattamento.

Avendo Omissis ricevuto dalla casa di cura ricorrente una contestazione disciplinare relativa ad accessi ad internet non autorizzati effettuati sul luogo dì lavoro, egli era certamente legittimato, ai sensi dell’art. 7 Codice, a chiedere il blocco e la cancellazione dei dati personali che gli venivano imputati.

omissis

4.2.- Il D.Lgs, n. 196/2003 definisce all’art. 4, comma 1, lett. d) i «dati sensibili» come quei «dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato dì salute e la vita sessuale». In dottrina, in proposito, si è rilevato che la consapevolezza dei rischi insiti in un atteggiamento improntato ad un’eccessiva restrizione delle ipotesi in cui la tutela rafforzata debba essere riconosciuta, è ben chiara nella mente del legislatore, che ha adottato, sin dal 1996, una definizione di dato sensibile più ampia rispetto a quella comunitaria, posto che, diversamente dall’art. 8 della Direttiva 95/46/CE, l’art. 4 comma 1 lett. d) del codice (così come il precedente art. 22, comma 1) utilizza la formula “dato idoneo a rivelare”, piuttosto che quella di “dato che rivela”, estendendosi l’attributo della sensibilità anche a quelle informazioni che, seppur di per sé neutre, possano sulla scorta di un procedimento logico condurre a rivelare dati peculiari, in relazione al particolare contesto in cui avviene il trattamento.

Allo stesso fine è stato valorizzato il riferimento alle “convinzioni di altro genere”, contenuto nella norma interna ma assente in quella europea, ritenendosi che con esso si è inteso costituire una clausola di chiusura per qualsiasi informazione che identifichi un credo, una convinzione o un’opinione personale. Credo, convinzione o opinione personale indubbiamente desumibili anche dai dati relativi all’accesso a siti web ricollegabili a diverse associazioni sindacali ovvero riconducibili ad organizzazioni di carattere religioso da parte dell’utente Internet. 

Invero, già da tempo il competente gruppo dì lavoro della Commissione Europea – dopo avere ribadito che «un principio fondamentale in materia dì protezione dei dati (vedi articoli 6 (1) (c) e 7 della direttiva 95/46/CE) è che i dati personali raccolti in qualsiasi situazione debbano limitarsi a quanto è strettamente necessario e attinente alla finalità in questione>> e che <<ogni tipo d’informazione personale costituisce una minaccia potenziale alla riservatezza di una persona ed è quindi necessario fare in modo che, quando tali informazioni vengono raccolte, ciò avvenga per una finalità legittima e che la quantità d’informazioni raccolte sia limitata al minimo indispensabile>> – ha evidenziato che i rischi alla riservatezza personale risiedono non solo nell’esistenza di grandi quantitativi di dati personali su internet, ma anche nello sviluppo del software capace di esplorare la rete e mettere assieme tutti i dati disponibili relativi a una determinata persona, essendo possibile <<compilare una biografia dettagliata dì una persona>>, <<… utilizzando tale software e sfruttando le informazioni provenienti da tutti i gruppi di discussione a cui la persona ha partecipato>> (Commissione Europea, Raccomandazione 3/97, Anonimato su Internet, 3 dicembre 1997) .

Quanto al profilo della censura relativo alla vita sessuale, va evidenziato che “pornografia” è la <<trattazione o rappresentazione (attraverso scritti, disegni, fotografie, film, spettacoli, ecc.) di soggetti o immagini ritenuti osceni, fatta con lo scopo di stimolare eroticamente il lettore o lo spettatore>> e l’erotismo è <<l’insieme delle manifestazioni dell’istinto sessuale sia sul piano psicologico e affettivo sia su quello comportamentale>>. Secondo le sezioni penali di questa Corte «la pornografia è compresa nel più ampio concetto di oscenità, e si identifica con “la descrizione o illustrazione dì soggetti erotici, mediante scritti, disegni, discorsi, fotografie, e ce, che siano idonei a far venir meno il senso della continenza sessuale e offendano il pudore per la loro manifesta licenziosità”>> (Cass. Sez. 3A» n. 1197 del 6.11.1970, Bianco, mass. 116647).

In sessuologia si afferma che nell’uomo la sessualità appare strettamente legata a fattori di ordine psicologico, culturale e sociale che in ogni individuo prevalgono sui fattori biologici, costituendo la base della cosiddetta vita sessuale o comportamento sessuale, teso non solo alla finalità riproduttiva ma anche alla ricerca del piacere.

Questa Corte (in sede penale) ha già avuto modo di precisare che la circostanza che oggetto di tutela da parte del d.lgs. n. 196/2003 «non siano solo i gusti sessuali di un individuo (astrattamente e genericamente considerati), ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare, è chiaramente evincibile dalla stessa lettera del citato art. 4, laddove (comma 1, lett. d) ) definisce i dati sensibili con riferimento ai dati personali idonei a rivelare lo stato di salute e la vita sessuale (non semplicemente le tendenze o le aspirazioni in tale campo)>> (Sez. 5 penale, Sentenza n. 44940 del 2011).

Pertanto, è indubbio che sono dati personali idonei a rivelare la vita sessuale – <<da intendersi come complesso delle modalità di soddisfacimento degli appetiti sessuali di una persona>> (Sez. 5 penale, Sentenza n. 46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici.

Il secondo motivo, dunque, è infondato.

4.3.- Quanto alle numerose censure compendiate nel terzo motivo va evidenziato che ai sensi dell’art. 11 d.lgs. n. 196/2003, i dati oggetto del trattamento devono – tra l’altro – essere <<pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati» e la stessa autorizzazione n. 1 del 2004 del Garante, invocata a più riprese dalla ricorrente, precisa (al par. 5) che <<fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità>>.

Ciò posto, va rilevato che con congrua e logica motivazione, anche mediante illustrazione dei corretti metodi di ricerca e neutralizzazione dì virus informatici, il Tribunale ha accertato in fatto che il trattamento dei dati sensibili era avvenuto in modo eccedente rispetto alla finalità del medesimo. In particolare, sempre con accertamento in fatto incensurabile in questa sede, il tribunale ha condiviso le argomentazioni del Garante secondo cui la ricorrente avrebbe potuto dimostrare l’illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo dì lavoro, limitandosi a provare in altro modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. Essa, per contro, ha operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando – in modo peraltro non trasparente – un trattamento di dati eccedente rispetto alle finalità perseguite, tenuto conto che, sebbene i dati personali siano stati raccolti nell’ambito dì controlli informatici volti a verificare l’esistenza dì un comportamento illecito, le informazioni di natura sensibile possono essere trattate dal datore dì lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” e tale indispensabilità, non ricorre nel caso di specie. Omissis

IL NOSTRO COMMENTO: Auguriamoci che dopo questa importante sentenza resa dalla Suprema Corte di Cassazione il contenuto dei dati sensibili relativi alla persona sia posto in posizione primaria ed adeguatamente tutelato  rispetto ad altri dati secondari.



Categorie:Giustizia

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: