Il dipendente acquisisce illegittimamente il numero di telefono di una candidata dal CV e lo utilizza per fini personali: è legittimo il licenziamento?

Massima

Costituisce giusta causa di licenziamento la condotta del dipendente che abbia estratto dal curriculum di una candidata all’assunzione il numero di telefono della stessa e l’abbia utilizzato per finalità personali, estranee a quelle strettamente aziendali.

Il caso

Il Giudice del Lavoro del Tribunale di Milano confermava la legittimità del licenziamento intimato per giusta causa a Tizio, dipendente di una società cooperativa, al quale era stato contestato che nello svolgimento delle sue mansioni di gestione della posta interna presso la direzione amministrativa, aveva illegittimamente acquisito il numero di cellulare privato di una candidata all’assunzione, ricavandolo dal suo Curriculum Vitae, ed aveva inviato a quest'ultima una serie di messaggi WhatsApp. Il Tribunale giudicava il licenziamento per giusta causa legittimo, ritenendo il descritto comportamento come idoneo a integrare una grave violazione degli obblighi di diligenza di cui al Ccnl e del GDPR e incompatibile con il permanere del vincolo fiduciario; in particolare, rilevava che Tizio, il quale aveva abusato della posizione professionale rivestita, avendo utilizzato in modo improprio il numero di telefono della giovane candidata per finalità estranee a quelle strettamente aziendali, aveva consapevolmente violato la normativa vigente in materia di trattamento dei dati personali, integrando altresì con tale condotta una violazione degli obblighi contrattuali e collettivi discendenti dal rapporto di lavoro, compromettendo in modo significativo il vincolo fiduciario alla base dello stesso. Avverso tale decisione Tizio ha proposto appello, lamentando l’omessa valutazione della proporzionalità tra il fatto contestato e la sanzione irrogata, sul presupposto che lo stesso non avesse divulgato il dato personale della candidata a terzi ma si fosse "limitato" a brevi messaggi telefonici immediatamente sospesi allorché la destinataria aveva intimato l'immediata cessazione della molestia.

La questione

Il dipendente adibito alla gestione della posta interna può visualizzare i dati di un CV, ricavare il numero di telefono di una candidata e inviare dei messaggi? Cosa comporta tale condotta?

Le soluzioni giuridiche

La Corte d’Appello ha ritenuto infondate le doglianze del lavoratore, giudicando sussistente, nel caso di specie, la giusta causa alla base dell'intimato licenziamento e proporzionata ai fatti contestati la misura espulsiva. I giudici di appello hanno condiviso le argomentazioni del giudice di prime cure, secondo cui, nel caso in esame, il lavoratore, facendo un uso illecito dei dati personali della candidata per finalità diverse da quelle aziendali, aveva violato le disposizioni datoriali in base alle quali egli avrebbe dovuto avere accesso a quei dati la cui conoscenza fosse strettamente necessaria per adempiere ai compiti attribuitigli nell'ambito della funzione. Un siffatto uso dei dati personali, da parte di un soggetto adeguatamente formato in materia di privacy nonché consapevole del trattamento da riservare agli stessi, aveva una significativa valenza negativa, traducendosi in una lesione irreparabile del vincolo fiduciario nella misura in cui esso incideva intrinsecamente sugli obblighi di collaborazione e fedeltà cui è tenuto il dipendente nei confronti della datrice. Tale contegno si rivelava incompatibile con il permanere di quel vincolo fiduciario sul quale il rapporto di lavoro stesso si fonda. A nulla rilevava, inoltre, ai fini della valutazione della proporzione della sanzione irrogata, l'avere il lavoratore ammesso il fatto e l'avere impiegato il numero di telefono della candidata per soli fini personali, senza divulgarlo a terzi. Tali circostanze risultavano, infatti, prive del carattere di decisività, rilevando invece la condotta contraria alla buona fede nei confronti del datore di lavoro, che aveva sopportato comunque una lesione dell'affidamento da lui riposto nel medesimo. A riguardo, la Corte ha sottolineato che, in materia disciplinare, l'apprezzamento della giusta causa di recesso rientra nell'attività sussuntiva e valutativa del giudice che è tenuto a valorizzare elementi concreti, di natura oggettiva e soggettiva, della fattispecie, coerenti con la scala valoriale del contratto collettivo, oltre che con i principi radicati nella coscienza sociale, idonei a ledere irreparabilmente il vincolo fiduciario. Ebbene, come emerse in sede di giudizio, le violazioni compiute dal lavoratore erano molteplici e tali da integrare giusta causa di recesso; il dipendente risultava essere già stato sanzionato in passato per precedenti violazioni che, ancorché non richiamate nella contestazione, possono essere comunque valutate ai fini della proporzionalità della sanzione.

La datrice di lavoro aveva reputato la gravità della condotta sia in considerazione del peculiare elemento soggettivo, rapportato alla funzione e al grado di fiducia attribuito al dipendente con la nomina a persona autorizzata al trattamento dei dati personali, sia in relazione al danno all'immagine e alla reputazione della società.

Sul punto, la condotta del lavoratore, seppur pregressa, all'inizio del rapporto di lavoro ed emersa solo successivamente, può costituire giusta causa di licenziamento, qualora comprometta irrimediabilmente il vincolo fiduciario con il datore di lavoro.

La Corte ha, inoltre, stabilito che non valesse la circostanza secondo cui la condotta contestata sarebbe stata solo in parte riconducibile alle previsioni del Ccnl, dal momento che l’elencazione delle ipotesi di giusta causa di licenziamento contenuta nel contratto collettivo nazionale ha valenza meramente esemplificativa (diversamente dall’elencazione prevista per le sanzioni conservative), e non preclude un’autonoma valutazione del giudice di merito in ordine all’idoneità di un grave inadempimento o di un grave comportamento contrario alle norme della comune etica o del comune vivere civile, a far venire meno il rapporto fiduciario.

Osservazioni

Un'organizzazione che tratta dati personali deve spiegare ai propri dipendenti, attraverso informative, policy e procedure ad hoc, quali sono le modalità operative da intraprendere in merito al trattamento e alla corretta gestione dei dati personali, fornendo delle misure di sicurezza tecniche ed organizzative adeguate al contesto di riferimento. Nel caso analizzato, un siffatto uso illecito dei dati personali, da parte di un soggetto adeguatamente formato in materia di privacy nonché consapevole del trattamento da riservare agli stessi, ha avuto una significativa valenza negativa, traducendosi in una lesione irreparabile del vincolo fiduciario. A tal proposito è essenziale approfondire la fattispecie di illecito trattamento dei dati personali, già prevista nel vecchio Codice della Privacy, la quale ha subito un radicale mutamento rispetto alla formulazione precedente. Al fine di evitare una duplicazione degli illeciti amministrativi di cui all’art. 83 del GDPR, il legislatore ha limitato il numero di disposizioni normative, la cui violazione è idonea ad integrare la condotta tipica, con conseguente abrogatio delle precedenti fattispecie penali.

Le condotte idonee ad integrare l’illecito trattamento dei dati personali sono delineate nei primi tre commi dell’art. 167 ed attengono, rispettivamente, alla violazione delle disposizioni in materia di servizi di comunicazione elettronica, alla violazione delle norme dettate per i dati sensibili e giudiziari e, infine, alla violazione della normativa per il trasferimento internazionale dei dati.

In particolare, il primo comma punisce la condotta di chi al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 del Codice della Privacy (trattamento dei dati personali relativi al traffico e alla ubicazione trattati dal fornitore di una rete pubblica di comunicazione o di un servizio di comunicazione elettronica accessibile al pubblico) o dal provvedimento di cui all’articolo 129 del citato Codice (inserimento e utilizzo degli elenchi dei contraenti), arreca danno all’interessato.

Il secondo comma, punisce con la pena della reclusione da uno a tre anni il medesimo fatto, commesso procedendo al trattamento dei dati personali giudiziari, sanitari, e, in genere, quelli sensibili, di cui agli articoli 9 e 10 del GDPR, in violazione delle disposizioni di cui agli art. 2-sexies e 2-octies (trattamento di categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante o relativi a condanne penali e reati), o delle misure di garanzia di cui all’articolo 2-septies (misure relative al trattamento dei dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate dal Garante privacy ai sensi dell’articolo 2- quinquiesdecies (misure relative ai trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 35 del GDPR).

Il terzo comma, infine, punisce con la medesima pena di cui al secondo comma, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti agli articoli 45, 46 o 49 del GDPR.

Le fattispecie sopra analizzate sono accomunate dalla clausola di riserva posta all’incipit di ciascun comma, che, nel fare salva l’applicazione di ipotesi delittuose generali più gravi, fa rientrare le fattispecie di illecito trattamento dei dati personali nella categoria del reato sussidiario.

Analogo è altresì il soggetto attivo ossia “chiunque” commetta un illecito trattamento dei dati secondo le modalità previste dall’art. 167.

Per la configurazione del reato de quo la norma richiede il dolo specifico, ossia, “il fine di trarre per sé o per altri profitto ovvero arrecare danno all’interessato” e che le condotte illecite tipizzate cagionino un’effettiva lesione dei diritti dell’interessato.

In merito all’elemento soggettivo, va rilevato come, a differenza della precedente versione, il danno che il reo intenda cagionare, debba riguardare soltanto il soggetto titolare dei dati, e non terzi individui estranei. Ciò nonostante, la mancata indicazione dell’ingiustizia del danno o del profitto ha di fatto ampliato l’area del penalmente rilevante, venendo oggi ad essere sanzionate anche quelle violazioni compiute per ottenere un mero ritorno in termini di immagine.

Quanto invece alla previsione del nocumento quale evento del reato, va osservato come, essendosi trasformato da reato di pericolo concreto a reato di evento di danno, il delitto di trattamento illecito di dati potrà ritenersi integrato soltanto quando si realizzi un reale pregiudizio agli interessi dell’interessato, con conseguente esclusione dall’area del penalmente rilevante di quelle semplici violazioni formali ed irregolarità procedimentali non idonee a cagionare all’interessato alcun danno apprezzabile né dal punto di vista patrimoniale né dal punto di vista morale.

Il legislatore nazionale, nei successivi commi 4 e 5 dell’art. 167 del Codice della Privacy, ha disciplinato le forme di collaborazione tra il P.M. e il Garante della Privacy in merito all’accertamento di tale delitto, richiamate anche dalle successive fattispecie di cui agli artt. 167-bis e 167-ter.

Infine, sempre nell’ottica di garantire il rispetto del principio del ne bis in idem, ha stabilito che nel caso in cui a carico dell’imputato o, addirittura, dell’ente sia imposta e riscossa una sanzione pecuniaria per lo stesso fatto, la pena da infliggere per il delitto deve essere diminuita. Anche tale disposizione viene poi richiamata dalle successive disposizioni di cui agli artt. 167-bis e 167-ter.