Con sentenza n. 28398 del 29 settembre 2022, la Corte di Cassazione, sezione Lavoro, si è espressa circa l’utilizzabilità, a fini difensivi, di registrazioni di colloqui tra il dipendente ed i colleghi sul luogo di lavoro.
Nel caso sottoposto all’attenzione della Suprema Corte, una dipendente era stata licenziata per giusta causa per avere violato alcune procedure aziendali di conservazione dei dati. Il licenziamento era stato ritenuto illegittimo dai giudici di merito sul presupposto che gli addebiti contestati alla lavoratrice fossero privi del carattere di gravità e non giustificassero l’irrogazione della sanzione espulsiva, essendo al più sanzionabili con una misura conservativa, secondo le previsioni del contratto collettivo applicato.
La Corte d’Appello di Salerno aveva tuttavia escluso il carattere ritorsivo del licenziamento (invocato dalla lavoratrice), ritenendo che, il carattere ritorsivo non potesse ritenersi provato in base alle deposizioni testimoniali raccolte né attraverso le “abusive, illegittimamente captate e registrate conversazioni” tra la lavoratrice e alcuni propri colleghi.
Nell’ambito del ricorso per la cassazione della sentenza proposto dalla società datrice di lavoro, la lavoratrice proponeva ricorso incidentale, censurando la sentenza impugnata per avere escluso la ritorsività del licenziamento sulla base di un presupposto errato e cioè la non utilizzabilità delle registrazioni dei colloqui tra presenti, in contrasto con l’orientamento di legittimità e sebbene controparte non avesse in alcun modo contestato lo svolgimento dei colloqui registrati e il relativo contenuto.
Nell’accogliere il ricorso incidentale proposto dalla lavoratrice, la Suprema Corte coglie l’occasione per fare il punto sui limiti e le condizioni di utilizzabilità delle registrazioni come mezzi di prova in sede giudiziale.
In primo luogo, si legge nella sentenza in commento, la registrazione su nastro magnetico di una conversazione può costituire fonte di prova, ex articolo 2712 c.c., se colui contro il quale la registrazione è prodotta non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro, e sempre che almeno uno dei soggetti, tra cui la conversazione si svolge, sia parte in causa.
L’art. 24 del Codice della Privacy prevede inoltre la legittimità delle registrazioni effettuate all’insaputa dell’interlocutore e la possibilità di un loro utilizzo in sede giudiziale, quando il loro utilizzo sia necessario per far valere o difendere un diritto e a condizione che, i dati raccolti siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
Pertanto, prosegue la Corte, l’utilizzo a fini difensivi di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro non necessita del consenso dei presenti, in ragione dell’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio.
È dunque legittima la condotta del lavoratore che abbia effettuato tali registrazioni per tutelare la propria posizione all’interno dell’azienda e per precostituirsi un mezzo di prova, rispondendo la stessa, se pertinente alla tesi difensiva e non eccedente le sue finalità, alle necessità conseguenti al legittimo esercizio di un diritto.
Sulla base di tali premesse, la Corte di Cassazione, accoglie il ricorso incidentale proposto dalla lavoratrice, rinviando la causa alla Corte d’appello di Salerno con invito a provvedere ad un nuovo esame della fattispecie alla luce dei principi di diritto richiamati.
Anche l’errore umano è riconducibile alla sfera di responsabilità del titolare del trattamento dei dati
L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022 , ha comminato all’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul
Lavoro (l'”INAIL” o l'”Istituto”), una sanzione di 50.000 euro, per aver subito 3 incidenti informatici
che hanno consentito ad alcuni utenti di accedere ai dati relativi ad altri utenti.
In particolare, l’INAIL, in qualità di Titolare di trattamento, aveva notificato al Garante, ai sensi
dell’art. 33 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”), tre
diverse violazioni di dati personali avvenute tra il 2019 e il 2020.
Violazioni queste che avevano riguardato il servizio online “Sportello Virtuale Lavoratori”, che
consente ai dipendenti incorsi in infortunio o vittime di malattie professionali di visualizzare lo stato
di avanzamento delle proprie pratiche ed i provvedimenti emanati dall’Istituto.
Dall’istruttoria avviata dal Garante è emerso, infatti, che lo “Sportello Virtuale Lavoratori” aveva
permesso ad alcuni lavoratori di consultare accidentalmente le pratiche di altri lavoratori e
visualizzare così sia informazioni personali (quali ad es. nome, cognome) che dati relativi allo stato di
salute (c.d. “dati particolari”). È stato, peraltro, verificato che una delle tre violazioni segnalate era
stata determinata da un “errore umano” il quale, come si legge nel provvedimento, “è comunque
riconducibile alla sfera di responsabilità del titolare”.
Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.
Per una corretta gestione di un sistema di whistleblowing è indispensabile prestare la dovuta attenzione alla protezione dei dati personali trattati.
Nel realizzare il necessario bilanciamento tra l’esigenza di riservatezza del segnalante e della segnalazione, la necessità di accertamento dell’illecito e il diritto del segnalato alla difesa e al contraddittorio, l’adozione di misure adeguate a garantire la tutela e la sicurezza delle informazioni personali rappresentano un fattore determinante per il raggiungimento di tale equilibrio.
Vittorio De Luca, Managing Partner dello Studio De Luca & Partners commenta: “Il recente provvedimento adottato dall’Autorità Garante per la privacy è solo l’ultimo dei provvedimenti adottati sul tema che, come ricorda la stessa Autorità, si inserisce in un più ampio piano ispettivo dedicato a verificare il massimo rispetto della tutela della protezione dei dati personali nell’ambito della gestione delle segnalazioni di condotte illecite. Fermo ciò, è opportuno evidenziare come una corretta gestione del «sistema whistleblowing» si inserisce anche all’interno di una efficace strategia di compliance aziendale. Implementare modelli di organizzazione, gestione e controllo costruiti a partire dai risultati di quanto emerge da una preliminare analisi dei rischi permette di ridurre sia il pericolo di commissione di reato sia il rischio di incorrere nelle pesanti sanzioni previste dalla normativa oggi applicabile. In tale contesto, occorre, quindi, adottare specifiche procedure aziendali e adeguate misure tecniche ed organizzative a tutela della protezione e della sicurezza delle informazioni di tutti i soggetti coinvolti; senza trascurare l’importanza della sensibilizzazione e della formazione tanto degli utilizzatori di tali sistemi tanto di coloro che sono incaricati di gestire e verificare le segnalazioni effettuate. Raggiungere un alto livello di consapevolezza e cultura tra la popolazione aziendale deve rappresentare uno dei primi obiettivi da raggiungere”.
Negli ultimi giorni servizi on line e siti italiani, tra cui i siti web del Senato e del Ministero della Difesa, hanno subito un attacco informatico da parte di un gruppo di cyber criminali russi. Vittorio De Luca, dello Studio De Luca & Partners commenta:
“Quanto accaduto dimostra come gli attacchi informatici siano all’ordine del giorno e che nessuno può considerarsi esente da rischi. Gli attacchi alle istituzioni, infatti, fanno scalpore, ma ormai da anni, ogni giorno sono centinaia le aziende oggetto di attenzione da parte dei cybercrimers. Gli attacchi hanno notevoli ripercussioni sulla produttività, comportano furti di dati e interruzione di servizi, oltre a causare danni all’immagine. Una solida sicurezza informatica è essenziale per tutelare il patrimonio di conoscenze dell’azienda e la sua continuità operativa. Non solo, il GDPR in materia di privacy impone alle aziende – sia di piccole che di grandi dimensioni – di effettuare un censimento dei principali rischi informatici a cui sono esposte e gli impatti che questi rischi potrebbero avere sul proprio business. All’esito, occorre predisporre un piano di risposta agli “incidenti”, adottando specifiche politiche e misure di sicurezza, atte a proteggere il sistema informatico, ed eseguendo periodicamente degli audit. È fondamentale, altresì, sensibilizzare, mediante apposite sessioni formative, i propri dipendenti sul tema della cybersicurezza affinché possano riconoscere e fronteggiare le varie minacce. La protezione dagli attacchi informatici agisce, in sostanza, in due fasi: una fase di prevenzione ed una fase di protezione. È appena il caso di ricordare che, in caso di attacco riuscito, le imprese devono informare il garante della privacy, attivando la procedura del cosiddetto data breach entro 72 ore da quando ne sono venute a conoscenza”.
Da una parte l’esigenza di salvaguardare la salute pubblica, a maggior ragione ora che una nuova ondata pandemica va prendendo piede, dall’altra il diritto alla riservatezza garantito dal sistema normativo comunitario e nazionale. È lo scenario nel quale si trovano a fare i conti molte aziende a fronte dell’obbligo per i lavoratori di possedere ed esibire il green pass. A partire da oggi il certificato si sdoppia, distinguendo, da un lato, il c.d. green pass “rafforzato” (ossia la certificazione che spetta solo a coloro che hanno concluso l’iter vaccinale e a coloro che sono guariti dal Covid-19) dall’altro il green pass “base” (che si ottiene a fronte di un tampone con esito negativo).
Il punto di partenza, ricorda Vittorio De Luca, Managing Partner dello Studio Legale De Luca & Partners, è l’articolo 32 della Costituzione, in virtù del quale “la Repubblica tutela la salute come fondamentale diritto dell’individuo e interesse della collettività, e garantisce cure gratuite agli indigenti”. Tale disposizione deve essere letta congiuntamente all’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea che sancisce il diritto alla riservatezza quale diritto fondamentale dell’individuo. “Dunque, il delicato bilanciamento tra diritti fondamentali effettuato dal nostro legislatore è legittimo nella misura in cui il compromesso individuato, cioè l’obbligo di esibizione della certificazione verde per accedere ai luoghi di lavoro introdotto per finalità di tutela della salute pubblica, è quello che comporta il minor sacrificio degli interessi concorrenti, vale a dire quelli privacy”, spiega l’avvocato Vittorio De Luca. Guardando a tale obbligo, anche l’Autorità Garante per la protezione dei dati personali aveva espresso parere favorevole in merito allo schema di decreto con il quale è poi stato introdotto l’obbligo di green pass nei luoghi di lavoro, evidenziando come lo stesso fosse legittimo poiché teneva conto, nel rispetto della libertà di scelta in ambito vaccinale, della disciplina della protezione dei dati personali e della disciplina in vigore in materia di certificazioni verdi.
Questo vale anche per la facoltà di consegnare al datore di lavoro copia del proprio green Pass, ottenendo in cambio l’esenzione dai controlli per tutta la durata di validità del documento? Su questo l’esperto ricorda che: “Secondo l’Autorità Garante, che si è espressa con segnalazione al Parlamento e al Governo lo scorso 11 novembre, la conservazione di una copia delle certificazioni è in primo luogo in contrasto con la normativa comunitaria (Considerando n. 48 del Regolamento (UE) 2021/953), secondo la quale, qualora la certificazione non venga utilizzata per scopi medici, non ne ammette la conservazione. Inoltre, tale trattamento di dati personali, si legge nella Segnalazione, violerebbe il principio di esattezza delle informazioni oggetto di trattamento nonché il principio di riservatezza da riconoscere al lavoratore. L’Autorità avverte che la conservazione del green pass non può essere ritenuta legittima sulla base giuridica del consenso del lavoratore e l’adozione, da parte datoriale, di misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, potrebbe causare un incremento importante di oneri, anche sotto un profilo economico”. Di conseguenza, ricorda De Luca, anche se lo scopo di questa misura è meritorio (l’intento è infatti quello di semplificare la vita in azienda, evitando controlli giornalieri), “i datori di lavoro nell’applicazione concreta potrebbero trovarsi a dover porre in essere una serie di adempimenti privacy che potrebbero avere quale conseguenza proprio quella di vanificare l’intento della previsione legislativa”.
Per altro, la legge n. 165 del 19 novembre 2021 di conversione del decreto-legge 21 settembre 2021, n. 127 è intervenuta sulla verifica del green pass per i lavoratori in somministrazione, precisando che nei loro confronti il controllo viene effettuato solo dall’utilizzatore, fermo restando l’onere in capo al somministratore di informare i lavoratori circa l’obbligo del possesso e ed esibizione del green pass. “Questa precisazione, senz’altro utile, era già stata oggetto d’attenzione da parte di Assolavoro”, ricorda l’avvocato, “con riferimento a una circolare che aveva chiarito come “l’onere dell’utilizzatore sarà […] quello di verificare il possesso del Green Pass da parte del lavoratore”, rimettendo così in capo all’utilizzatore (presso cui la prestazione viene effettivamente resa) l’onere di verificare il possesso e la validità della certificazione”. La legge di conversione non si è preoccupata invece di disciplinare un’altra ipotesi, maggiormente dibattuta, relativa a chi debba controllare il green pass dei lavoratori subordinati inviati in trasferta presso soggetti terzi, quantomeno nelle ipotesi in cui tale trasferta avvenga senza il preventivo transito presso la sede di appartenenza, lasciando in tale ipotesi ancora margini di opinabilità”, conclude De Luca.
