Le prove raccolte dal datore di lavoro mediante un controllo capillare della posta elettronica aziendale in uso al dirigente, realizzato indistintamente su tutte le comunicazioni presenti nell’indirizzo di posta elettronica e senza limitazioni di tempo, costituiscono una ingiustificata violazione dei basilari diritti di dignità e corrispondenza presidiati (anche) dalla disciplina sul trattamento dei dati personali. La Cassazione (Cassazione civile sez. lav., 26/06/2023, ud. 08/06/2023, dep. 26/06/2023, n.18168) ha confermato in questi termini la sentenza della Corte d’appello di Milano, che aveva respinto l'impugnazione di un istituto di credito contro la decisione (assunta in primo grado) di ritenere inutilizzabili le prove raccolte attraverso il controllo massiccio e indiscriminato della posta elettronica in dotazione al dirigente.
Questi i principi affermati nella sentenza in oggetto:
-la Corte di Cassazione evidenzia, anzitutto, che la Corte territoriale ha accertato che la società datrice di lavoro non aveva "dedotto né tantomeno provato alcunché in ordine ai motivi" che avevano condotto all'indagine sul pc del dipendente, non trovandosi traccia agli atti neanche delle "circostanziate segnalazioni" genericamente dedotte nella relazione investigativa;
-“prosegue la suprema Corte: “Il rilievo che, per i controlli difensivi in senso stretto, non opera la disciplina speciale dettata dall'art. 4 dello Statuto, come novellato, non significa che, laddove sia comunque riscontrabile un trattamento di dati personali del lavoratore, non occorra rispettare la disciplina generale prevista per la protezione di qualsiasi cittadino dal Codice della privacy, vigente all'epoca dei fatti della presente causa, e, a partire dal 25 maggio 2018, dal Regolamento UE 2016/679 e dallo stesso Codice, come modificato dal D.Lgs. n. 101 del 2018 entrato in vigore il 19 settembre 2018”;
-“Pertanto, il complesso dei principi espressi nel Codice della privacy e nel Regolamento Europeo 2016/679 (GDPR) deve orientare il giudice nella delicata opera di bilanciamento e di delimitazione del confine tra l'interesse del lavoratore e l'interesse del datore di lavoro, con un contemperamento che non può prescindere dall'apprezzamento di tutte le circostanze del caso concreto”;
-“Guidano, in ogni caso, nella valutazione del caso concreto, i principi di minimizzazione e di proporzionalità, di pertinenza e di non eccedenza rispetto ad uno scopo che sia legittimo, di trasparenza e correttezza, ricavabili dal Codice della privacy e dal Regolamento UE n. 2016/679”.
*
La sentenza in parola si innesta nel solco della giurisprudenza di tutela il dipendente quanto alla corrispondenza relativa al suo account di posta elettronica assegnato dall’azienda in forza dell'art. 15 della Costituzione, sulla libertà e segretezza della corrispondenza. Si possono evocare, pure a tutela del dipendente, l'art. 616 c.p., che sanziona la violazione, sottrazione e soppressione della corrispondenza, e l'art. 4 della Legge n. 300/1970, che norma le modalità di controllo a distanza delle attività dei lavoratori. Da ultimo, le Linee guida del Garante per posta elettronica e internet, Provvedimento generale 1° marzo 2007, n. 13.
In particolare, sul versante penale Cass. pen, sez. V, sentenza 19 dicembre 2007, n. 47096, sulla base della estensione della tutela ex art. 616 c.p. alla corrispondenza informatica o telematica, ha ribadito la distinzione della disposizione codicistica tra corrispondenza 'chiusa' e corrispondenza 'aperta', l'accesso a quest'ultima essendo lecito “da parte di tutti coloro che legittimamente dispongono della chiave informatica di accesso” .
V’è quindi la assoluta inaccessibilità dell'account di posta elettronica personale del lavoratore da parte del datore, pena la (verosimile) commissione di un reato.
Differente regime vale per l'account di posta elettronica aziendale assegnato al lavoratore, rispetto al quale l'accesso del datore al quale è subordinato a determinate condizioni, quali- senza intenti di ricomprenderle tutte- la informativa del lavoratore tramite contratto di lavoro e/o policy aziendale; controlli sull'account rispettosi e non eccedenti rispetto alle finalità perseguite e tracciabili; controlli consentiti solo per finalità di sicurezza nei limiti individuati dal Garante Privacy o qualora sussistano fondati sospetti nei confronti del dipendente infedele e sempre che il lavoratore sia al corrente della potenziale conservazione dei dati e della loro duplicazione etc. Si richiamano le Linee guida del Garante per posta elettronica e internet, Provvedimento generale 1° marzo 2007, n. 13.
Nel caso si specie, la S.C. perviene alla conclusione che nessuna di queste circostanze ricorra.
E’ appena il caso di evidenziare che secondo l’articolo 2 decies Codice della privacy (D.lgs. 30 giugno 2003, n. 196) i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall'articolo 160 bis.
Sulla scorta di questi principi, la Corte ha ritenuto “inutilizzabili le prove raccolte attraverso il controllo massiccio e indiscriminato della posta elettronica in dotazione al dirigente”
*
Per il risarcimento del danno, si afferma sulla scorta dei principi generali che, in tema di violazione delle norme della privacy va rigettata la domanda di risarcimento del danno in mancanza di specificazione delle conseguenze negative del trattamento illecito dei dati personali (Cass. Civ. sez. I. 10.06.2021 n. 16402, che ha ritenuto insufficiente la mera allegazione da parte del ricorrente che l’illecito uso dei dati personali riguardanti la sua vita lavorativa gli avrebbe procurato una sofferenza costitutiva un’asserzione generica ed apodittica inidonea anche solo a far comprendere i motivi di tale turbamento). In altri termini, il danno non viene considerato in re ipsa, ma va allegato e provato.