Il Tribunale di Roma ha affermato che il datore di lavoro può trattare il dato giudiziario, relativo a una condanna, inerente a un proprio dipendente qualora sia necessario per la protezione, anche della sfera morale, di una dipendente vittima di molestie.
Il caso in esame ha ad oggetto una spiacevole vicenda che aveva visto la condanna, da parte del Tribunale Penale, di un lavoratore per molestie e violazione del sistema informatico a danno di una propria collega. Qualche anno dopo il condannato è stato assunto, con contratto di lavoro a tempo determinato, da altra società che vantava nell'organigramma proprio la persona che aveva subito...
Svolgimento del processo/Motivi della decisione
Con ricorso depositato il 20 agosto 2018 F. R. ha proposto opposizione avverso il provvedimento del 25.7.2018, protocollo n. (omissis), con il quale l’Autorità Garante per la Protezione dei Dati Personali ha respinto il reclamo dal medesimo presentato avverso il trattamento da parte del datore di lavoro Altran Italia s.p.a. di dati contenuti in una sentenza di condanna pronunciata contro di sè dal Tribunale di Milano il 2.6.2016 ({nel procedimento iscritto al n. (omissis)).
Ha esposto che l’allora datore di lavoro, nell’effettuare nel gennaio 2018, a mezzo raccomandata a mano. una contestazione disciplinare ai sensi dell’art. 7 della legge n. 300/70, aveva fatto indebitamente riferimento alla circostanza di avere appreso, pochi giorni prima, dell’esistenza della menzionata sentenza di condanna «alla pena di anni 4 e mesi 4 di reclusione per i delitti di cui agli artt. 110, 615 ter e 612 bis c.p. “per essersi introdotto abusivamente nel sistema informatico protetto da password in uso a L. G., sottraendo i dati personali e di lavoro in esso contenuti ... è successivamente — utilizzando abusivamente le password così acquisite — si introduceva ripetutamente ed abusivamente negli account in uso alla persona offesa (caselle email, profilo Facebook, etc. etc,) anche contattando suoi conoscenti e asportando ulteriori dati e fotografie” (cfr. sentenza) e perché “con condotte reiterate consistite in minacce., ingiurie e molestie perpetrate con il mezzo del telefono (telefonate e messaggi insistenti e denigratori) e con il mezzo informatico, nonché attraverso un'attività sistematica di spionaggio e persecuzione provocava in G. L. un perdurante stato di ansia e paura ingenerando altresì nella medesima fondato timore per la propria incolumità, costringendola ad alterare le proprie abitudini di vita” (ibidem)».
Ha lamentato che era stato realizzato un illecito trattamento di dati giudiziari da parte dell’ex datore di lavoro e che l’Autorità resistente aveva ingiustamente respinto il ricorso, infondatamente sostenendo nel provvedimento impugnato, che la sentenza utilizzata fosse un atto pubblico e che fosse stata utilizzata ai soli fini della gestione del rapporto di lavoro, oltre che acquisita da fonti accessibili a chiunque.
In particolare, nell’atto introduttivo ha evidenziato come la sentenza di condanna non potesse essere considerata un atto pubblico, accessibile a soggetti terzi, ma un “dato giudiziario”, In quanto tale soggetto alla disciplina del codice privacy (art. 21 e 27), secondo la quale il relativo trattamento “è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili”.
Ha quindi dedotto l’insussistenza dei presupposti per il trattamento del dato giudiziario da parte dell’ex datore di lavoro, con specifico riferimento a quanto previsto dall’autorizzazione del Garante n. 7/16 del 15.12.2016, secondo la quale nell’ambito del rapporto di lavoro il trattamento di tale tipologia di dato “deve essere indispensabile per: A. adempiere o esigere l'adempimento di specifici obblighi è eseguire specifici compiti previsti da leggi, dalla normativa dell'Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od onorario ”.
Ha quindi concluso chiedendo l’annullamento del provvedimento del Garante oggetto di opposizione, con accertamento dell’illiceità del trattamento del dato giudiziario in questione (sentenza n. 5522/16 del Tribunale di Milano) da parte della Altran Italia spa e conseguentemente imposizione alla società del blocco/divieto di trattamento con irrogazione di sanzione amministrativa di euro 15.000.,00 nei confronti della stessa ex art. 162. comma 2 bis d.lgs. n. 196/2003.
L’autorità resistente non si è costituita nonostante rituale notifica del ricorso introduttivo. la cui rinnovazione è stata disposta all’udienza del 5.2.2020.
Acquisita la documentazione allegata e ritenuta la causa matura per la decisione senza necessità di istruttoria come da provvedimento riservato del 13.4.2021, la stessa è stata decisa all’udienza del 27.10.2021 a seguito di discussione orale.
La domanda non è fondata e deve essere respinta alla luce delle considerazioni che seguono.
Occorre premettere che l’odierna fattispecie di asserito illecito utilizzo di dato giudiziario da parte dell’ex datore di lavoro del ricorrente risulta ratione temporis disciplinata dal codice privacy (d.lgs. n. 196/2003) nella sua formulazione antecedente all’entrata in vigore del d.lgs. n. 101/18: l’intera fattispecie si è infatti svolta e risulta definita dall’autorità resistente antecedentemente all’entrata in vigore della menzionata normativa, risalendo l’odierno provvedimento opposto al luglio 2018.
Ciò posto, dalla lettera di contestazione disciplinare della Altran Italia spa del 17.1.18 risulta, a fondamento della contestazione stessa che «Abbiamo appreso, in data 4 gennaio 2018, che (omissis) è stato condannato — con sentenza della 1 Sezione del Tribunale di Milano n. R.G. 5522/2016 del 2 Giugno 2016 - alla pena di anni 4 e mesi 4 di reclusione per i delitti di cui agli artt. 110, 615 ter e 612 bis c.p. “per essersi introdotto abusivamente nel sistema informatico protetto da password in uso a L. G., sottraendo i dati personali e di lavoro in esso contenuti ... e successivamente — utilizzando abusivamente le password così acquisite — si introduceva ripetutamente ed abusivamente negli account in uso alla persona offesa (caselle email, profilo Facebook, etc, etc,) anche contattando suoi conoscenti e asportando ulteriori dati e fotografie” (cfr. sentenza) e perché “con condotte reiterate consistite in minacce ingiurie e molestie perpetrate con il mezzo del telefono (telefonate e messaggi insistenti e (omissis) e con il mezzo informatico, nonché attraverso un'attività sistematica di spionaggio e persecuzione provocava in G. L. un perdurante stato di ansia e paura ingenerando altresì nella medesima fondato timore per la propria incolumità, costringendola ad alterare le proprie abitudini di vita ” (ibidem)».
Il ricorrente lamenta l’illecito trattamento del dato giudiziario da parte dell’allora datore di lavoro.
Non appare contestabile che il dato oggetto di trattamento da parte della società datrice di lavoro sia un dato giudiziario, definito dall’art. 4, lettera e), del codice privacy (formulazione antecedente al d.lgs. n. 101/18), secondo il quale sono "dati giudiziari", i “dati personali idonei a rivelare provvedimenti di cui all'articolo 3. comma 1, lettere da a) a o) e da r) a u), del d.P.K. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di S. indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”: non vi è dubbio che una sentenza penale di condanna. nella specie non passata in giudicato in quanto appellata come da documentazione in atti, contenga dati personali che rivelano la qualità di imputato del ricorrente in quel procedimento.
La disciplina cui soggiace il trattamento del dato giudiziario è dunque quella contenuta nell’art. 27 del vecchio codice privacy (Garanzie per i dati giudiziari), secondo il quale “1l trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili”.
In adempimento di tale previsione. l’autorità resistente ha emesso l’autorizzazione n. 7/2016 del 15.12.2016 con la quale ha disciplinato in via generale il trattamento dei dati giudiziari da parte dei privati, di enti pubblici economici e di soggetti pubblici; con particolare riferimento ai rapporti di lavoro l’art. 1 (Ambito di applicazione e finalità del trattamento) dispone, in maniera preventiva, che: “L’autorizzazione è rilasciata, anche senza richiesta, a persone fisiche e giuridiche, enti, associazioni ed organismi che: a) sono parte di un rapporto di lavoro” e che “Il trattamento deve essere indispensabile per: A. adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali. e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od onorario”.
Lamenta il ricorrente che nella specie non sussistessero tali presupposti da parte del datore di lavoro e che l’autorità resistente abbia errato nel motivare nel modo che segue il rigetto del reclamo: «La società ha pertanto utilizzato informazioni relative al reclamante, di natura giudiziaria. contenute in una sentenza del giudice penale - che è un atto pubblico, differentemente da altri documenti quali i certificati rilasciati dal casellario giudiziale — in quanto ritenute indispensabili per “adempiere 0 esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell'Unione europea, da regolamenti o da contratti collettivi. anche aziendali, e ai soli fini della gestione del rapporto di lavora” (v. Autorizzazione n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, Capo I, applicabile all’epoca dei fatti oggetto di reclamo: v. anche Capo VII, punto 2) relativamente ai casi “’nei quali la notizia è acquisita da fonti accessibili a chiunque”; si veda anche quanto stabilito dal Garante con Provv,. 13.12.2015. n. 683, in www.garanteprivacy.it, doc. web n. 4702910, con riferimento alla raccolta e successiva diffusione dei dati contenuti in una sentenza). Ciò alla luce della relazione — astrattamente configurabile — tra le condotte oggetto di sanzione penale in primo grado di giudizio e. da un lato, il contenuto delle mansioni assegnate al reclamante nell’ambito del contratto di lavoro (v. All. 4. reclamo 11.5.2018). dall’altra gli obblighi di protezione e tutela dei propri dipendenti che gravano sul datore di lavoro (in relazione alla dipendente della società a cui danno sono stati commessi i reati ascritti). Tale — seppur astratta — relazione (sotto il duplice profilo su esposto) peraltro esclude la prospettata configurabilità della violazione dell’art. 8 della 1. 20.5.1970. n. 300 (v., sul punto, Cass. civ., sez. lav., 3.4.1990, n. 2683)».
La motivazione posta da parte resistente a fondamento del rigetto del reclamo appare ad avviso del giudicante del tutto condivisibile.
Il trattamento del dato giudiziario deve infatti nella specie ritenersi avvenuto da parte del datore di lavoro privato nell’esercizio del suo potere disciplinare ed ai soli fini della gestione del rapporto di lavoro con lo scopo. da un lato, di esigere dal dipendente un comportamento rispettoso degli obblighi assunti e con l’obiettivo, dall’altro, di provvedere alla tutela di altra dipendente del medesimo datore di lavoro (persona offesa dalle condotte di stalking poste in essere dal ricorrente nel 2012, secondo la sentenza di primo grado oggetto di gravame).
In particolare, nella lettera di contestazione, dopo essere state riportate le condotte di cui al capo di imputazione. il datore di lavoro così prosegue l’addebito mosso nei confronti del ricorrente: «I fatti per cui è intervenuta sentenza penale di condanna costituiscono anche una forma di gravissima inosservanza dei doveri connessi al rapporto di lavoro. rinvenibili nelle disposizioni legali e contrattuali.
È infatti doveroso premettere che la scrivente Società garantisce con il massimo impegno l’osservanza dell’obbligo di sicurezza e di protezione dei lavoratori ex art, 2087 c.c..
In particolare. considerato che tale norma tutela anche la “personalità morale” del lavoratore, l’applicazione del generale principio generale del neminem luedere fa assumere a tale principio la forma giuridica di un’autonoma obbligazione contrattuale in capo al datore di lavoro.
Ai fini di prevenire ogni forma di deriva dell’organizzazione del lavoro, il datore di lavoro ha l’obbligo di adottare tutte le misure atte ad impedire il verificarsi o il protrarsi di qualsiasi attività persecutoria ai danni di una propria dipendente. (...)
Le molestie minacce ed ingiurie (cd. stalking) poste in essere in danno di una collega di lavoro, pur costituendo un comportamento estraneo all’esercizio delle mansioni, integrano sia mente che soggettivamente una lesione irrimediabile del rapporto fiduciario, per essere state realizzate sul luogo di lavoro ed in quanto di gravità estrema.
In secondo luogo. Ella ha riportato la menzionata condanna anche per “essersi introdotto abusivamente nel sistema informatico protetto da password in uso a L. G., sottraendo i dati personali e di lavoro in esso contenuti ’. ovvero per un reato informatico ai danni di terzi.
Anche tale circostanza riveste carattere di particolare gravità attesa l’attività principale della scrivente Società che consiste appunto nella consulenza informatica ad imprese.
E’ evidente la lesione del vincolo fiduciario nei confronti di un dipendente che è stato ritenuto responsabile di atti di pirateria informatica».
La riportata contestazione disciplinare, dunque. se da un lato risulta fondata sulla pretesa violazione da parte del dipendente degli obblighi e dei compiti al medesimo contrattualmente imposti (specie con riferimento alla connessione tra il tipo di reato ed il tipo di mansioni svolte. come da documentazione allegata, tra cui contratto individuale di lavoro e CCNL; cfr., contratto di lavoro a tempo determinato del 27.11.17, dal quale risulta assunto con la figura professionale di (omissis), occupandosi nello specifico di “(omissis)”; ed ancora, lo stesso contratto. che peraltro richiama specificamente il rispetto delle previsioni contenute nel contratto integrativo aziendale e nel documento aziendale di policy informatica consegnato al dipendente unitamente al pc pena l’irrogazione di sanzioni disciplinari, prevede espressamente ed analiticamente una serie di divieti al fine di proteggere e non compromettere la funzionalità dei sistemi informatici), dall’altro è basata sul dovere datoriale di tutela del lavoratore ex art. 2087 c.c. (in relazione alla circostanza che le condotte penalmente rilevanti sono state anni prima commesse ai danni di una dipendente della medesima società) ed in un’ottica preventiva, quanto in special modo alla tutela della “personalità morale” della dipendente del medesimo datore di lavoro rimasta in passato vittima di stalking. per essersi le condotte di molestia oggetto della sentenza verificate sul luogo di lavoro e proprio per il tramite dello strumento informatico.
Il trattamento del dato giudiziario relativo alla condanna pronunciata in primo grado per le condotte riportate nella lettera di contestazione disciplinare. nel contesto in cui è stato svolto, appare dunque lecito, per come effettuato, risultando avvenuto in quanto indispensabile per “adempiere o esigere l’adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro”.
Altro è, evidentemente. l’esito del procedimento disciplinare avviato con la menzionata contestazione sotto il profilo lavoristico e con riferimento alla legittimità dell’irrogata sanzione, valutazione che esula dall’oggetto del presente giudizio.
In conclusione, la domanda deve essere respinta, sebbene nulla debba essere disposto sulle spese di lite, considerata la contumacia di parte resistente.
P.Q.M.
1) rigetta il ricorso;
2) dispone che la cancelleria trasmetta copia della presente sentenza al Garante per la protezione dei dati personali, ai sensi dell’art. 154, comma 6, del d.lgs n. 196/2003;
3) nulla per le spese di lite.