È illegittimo il licenziamento di un lavoratore che ha installato sul personal computer assegnatogli dalla società un software non autorizzato dedicato alla condivisione file (nella specie, si trattava del noto programma “eMule”), e lo abbia utilizzato in violazione della policy aziendale e del codice di comportamento, mettendo a rischio la riservatezza dei dati. Lo ha stabilito qualche giorno fa la Cassazione con sentenza n. 26397 del 26/11/2013. Già i giudici di merito avevano valutato “benevolmente” la condotta del lavoratore, ritenendo sproporzionata la sanzione del licenziamento in considerazione del fatto che l’indebita utilizzazione della rete da parte del lavoratore non aveva comportato alcun danno effettivo per il datore di lavoro, e anche in considerazione del fatto che il Contratto collettivo nazionale di lavoro di settore sussumeva la fattispecie dell’utilizzo improprio degli strumenti di lavoro aziendali tra i comportamenti che potevano essere puniti con una sanzione meramente conservativa.



Nel confermare la sentenza della Corte di Appello di Roma, la Cassazione ha rilevato anche la genericità della contestazione nella parte relativa all’utilizzazione indebita del programma da parte del lavoratore, enunciata solo astrattamente e, come tale, non idonea a consentire un’adeguata valutazione dell’effettiva gravità sul piano disciplinare. In sostanza, la Cassazione ha confermato la valutazione della Corte di Appello di Roma secondo cui la mera installazione del software non è idonea di per sé a legittimare il licenziamento e la contestazione relativa all’indebita utilizzazione del programma era stata formulata troppo genericamente.



Ben diversa è infatti la gravità del comportamento del lavoratore che non si sia limitato a installare illegittimamente un programma sul personal computer aziendale, ma che lo abbia anche utilizzato sottraendo tempo prezioso all’attività lavorativa. A questo riguardo, è dell’ottobre scorso una sentenza della Cassazione (n. 25069/2013) che ha confermato la legittimità del licenziamento intimato a un lavoratore che, durante il normale orario di lavoro, aveva utilizzato il computer aziendale per attività ludiche, impiegando un tempo pari a 260-300 ore nell’arco di oltre un anno. In questo caso, la legittimità del licenziamento è stata accertata anche in considerazione del danno economico e di immagine provocato all’azienda.



La Cassazione ha rilevato altresì che l’addebito mosso al lavoratore di utilizzare il computer in dotazione a fini ludici non poteva essere ritenuto logicamente generico per la sola circostanza della mancata indicazione delle singole partite giocate abusivamente dal lavoratore, essendo quest’ultimo in grado di approntare le proprie difese anche con la generica contestazione di utilizzare in continuazione, e non in episodi specifici isolati, il computer aziendale.

Un problema di rilevante entità, nell’accertamento degli eventuali abusi da parte del lavoratore nell’utilizzo del computer aziendale, attiene al doveroso rispetto della normativa sulla privacy (D.lgs 196 del 2003) da parte del datore di lavoro. La normativa in questione prescrive infatti che il trattamento di dati sensibili – idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale – avvenga con il consenso dell’interessato e, in ogni caso, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite.

Su questa materia, si è pronunciata di recente la Cassazione con sentenza n. 18443 dell’1/08/2013. In particolare, la Cassazione è stata chiamata a pronunziarsi sul ricorso proposto da una casa di cura contro il provvedimento del Garante della Privacy che aveva vietato il trattamento dei dati personali di un dipendente addetto all’accettazione e al banco referti.

Questi i fatti. Il lavoratore, avendo ricevuto dalla casa di cura presso cui prestava servizio una contestazione disciplinare relativa ad accessi internet non autorizzati effettuati sul luogo di lavoro, aveva chiesto il blocco e la cancellazione dei dati personali che lo riguardavano, ai sensi dell’art. 7 del Codice della privacy. La società aveva documentato gli accessi producendo numerose pagine – allegate alla contestazione disciplinare – recanti, in particolare, informazioni relative ai “file” temporanei e ai “cookie” originati, sul computer utilizzato dal dipendente, dalla navigazione in rete avvenuta durante sessioni di lavoro avviate con la password del dipendente.

Non avendo ricevuto riscontro dalla società, il lavoratore ha presentato ricorso al Garante ai sensi dell’art. 145 e ss. del Codice, ritenendo illecito il trattamento. In particolare, il lavoratore ha richiamato il fatto che tra i dati in questione comparivano anche alcune informazioni di carattere sensibile idonee a rilevare convinzioni religiose, opinioni sindacali, nonché gusti e tendenze sessuali, posto che numerosi file facevano riferimento a siti internet a contenuto pornografico. A suo dire, la casa di cura avrebbe trattato tali dati senza alcun consenso e senza informare preventivamente circa la possibilità di effettuare controlli sui terminali di ufficio.

Con il provvedimento impugnato dinanzi al Tribunale, il Garante aveva accolto il ricorso del lavoratore, osservando che la società, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, aveva esperito dettagliati accertamenti in assenza di una previa informativa all’interessato relativa al trattamento dei dati personali, nonché in difformità dall’art. 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite. Il ricorso proposto dalla società è stato rigettato dal Tribunale; come pure è stato rigettato il ricorso proposto davanti alla Cassazione.

La Cassazione ha precisato anzitutto che sono dati personali idonei a rivelare la vita sessuale – “da intendersi come complesso delle modalità di soddisfacimento degli appetiti sessuali di una persona” (Cass. Pen., n. 4654 del 2008) – quelli relativi alla navigazione in internet con accesso ai siti pornografici. La Cassazione ha poi accertato che il trattamento dei dati sensibili era avvenuto in modo eccedente rispetto allo scopo dello stesso: la società avrebbe potuto dimostrare l’illiceità del comportamento del dipendente limitandosi a provare in altro modo l’esistenza di navigazione indebita sulla rete e i relativi tempi di collegamento, mediante accesso a file di backup e non al computer aziendale del lavoratore.

La Cassazione ha quindi rilevato che la società aveva violato a la disciplina posta a tutela della riservatezza dei dati personali. Secondo i giudici, infatti, è stato effettuato un trattamento diffuso di dati sensibili eccedente rispetto alle finalità perseguite, in quanto – sebbene i dati fossero stati raccolti nell’ambito di controlli informatici volti a verificare l’esistenza di un comportamento illecito – le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso del lavoratore solo quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile”.