PRIVACY: LEGITTIMO IL LICENZIAMENTO PER ILLECITO TRATTAMENTO DATI PERSONALI

La Cassazione, con la sentenza nº 2806 del 5 febbraio 2025, ha ribaltato le pronunce dei primi due gradi di giudizio stabilendo che “l’accesso abusivo ai conti correnti senza ragioni di servizio configura una grave violazione dell’obbligo di fedeltà e riservatezza, oltre che del codice in materia di protezione dei dati personali”.

La Corte di Cassazione ha accolto il ricorso presentato da un istituto bancario avverso la sentenza della Corte d’Appello di Trieste che aveva dichiarato illegittimo il licenziamento di un dipendente a seguito della violazione della normativa sulla privacy.

I FATTI

La Corte d’Appello di Trieste, con sentenza n. 39/2022, aveva rigettato il reclamo dell’istituto di credito avverso la sentenza di primo grado che aveva dichiarato l’illegittimità del licenziamento disciplinare intimato dalla banca a un lavoratore nel marzo 2017, sulla base, fra l’altro, della violazione della normativa della privacy per presunti accessi abusivi ai conti correnti di varie persone tramite il programma informatico aziendale, senza legittime ragioni di servizio.
La Corte territoriale aveva ritenuto insussistente l’illecito di trattamento indebito dei dati personali ai sensi dell’art. 167 del D.Lgs. 196/03 e aveva quindi disposto la reintegrazione del lavoratore nel posto di lavoro e il risarcimento dei danni.
La banca ha presentato ricorso in Cassazione.

LEGGI ANCHE Privacy: sanzione da 5 milioni di euro per una societa di rider

I MOTIVI DEL RICORSO

Con il primo motivo di ricorso proposto ai sensi dell’art. 360, comma 1, n. 3, c.p.c., la Banca ha dedotto la violazione e falsa applicazione degli artt. 2119, 2104, 2105, 2697, 2727 e 2729 c.c., dell’art. 1 della legge 604/66, degli artt. 1, 2, 4, 11, 30 del D.Lgs. 196/03 e dell’art. 18 della legge 300/70, nonché degli artt. 112, 115 e 116 c.p.c.
L’istituto bancario ha, infatti, sostenuto che:

la Corte d’Appello avrebbe erroneamente escluso la rilevanza disciplinare dell’accesso ai conti correnti di terzi da parte del lavoratore, effettuato in assenza di ragioni di servizio, interpretando in modo scorretto il regime di tutela dei dati personali. Avrebbe altresì errato la Corte ritenendo la “particolare tenuità” della violazione e qualificandola come irrilevante sotto il profilo disciplinare.

Con il secondo motivo di ricorso, ai sensi dell’art. 360, comma 1, n. 3, c.p.c., la ricorrente ha lamentato la violazione e falsa applicazione dell’art. 7 della legge 300/70 in cui sarebbe incorsa la Corte d’Appello

ritenendo erroneamente che, anche per condotte come quelle contestate, violative dei principi fondamentali di etica e di norme inderogabili di legge, a presidio del rispetto della privacy dei clienti della banca, assumesse rilievo l’affissione del codice disciplinare”.

Con il terzo motivo, la ricorrente ha denunciato “l’omesso esame di fatti decisivi per il giudizio oggetto di discussione”. La suprema Corte evidenzia che

la Corte d’Appello non avrebbe considerato adeguatamente le differenze temporali e di contenuto tra i comportamenti oggetto di contestazione, e precedenti condotte analoghe realizzatesi anni prima, che la Banca non aveva sanzionato con il licenziamento ma con sanzioni conservative, trascurando che le condotte contestate al lavoratore si collocano in un contesto normativo e sociale di maggiore sensibilità al tema della privacy rispetto ai precedenti analoghi episodi.

LE MOTIVAZIONI DELLA CASSAZIONE

La Suprema Corte ha ritenuto fondato il primo motivo di ricorso, relativo alla rilevanza disciplinare dell’accesso abusivo del dipendente mediante la banca dati aziendale ai conti correnti di soggetti estranei alla sfera di competenza lavorativa del dipendente e in assenza di necessità di servizio. Infatti, per giurisprudenza consolidata

il licenziamento per giusta causa può fondarsi su violazioni del “minimo etico” e su condotte che ledano la fiducia del datore di lavoro, anche in assenza della previa affissione del codice disciplinare, quando si tratta di violazione di norme di legge o di doveri fondamentali di lealtà e riservatezza (Cass. n. 6893/2018)”. Diversamente, la Corte territoriale aveva escluso la rilevanza del fatto ritenendo che l’illecito se vi è stato – deve essere considerato di particolare tenuità, con la conseguenza che la sanzione comminata, se fosse in sé legittima, risulterebbe del tutto spropositata.

Tuttavia

la giurisprudenza di legittimità ha chiarito che l’accesso al sistema informatico aziendale, non può essere considerato lieve quando realizzato per finalità personali o comunque non riconducibili a esigenze di servizio (Cass. n. 28928/2018; Cass. n. 19588/2021; Cass. 34717/21).

Inoltre, per la Cassazione

il potere di disporre di strumenti informatici volti al compimento delle operazioni finanziarie del dipendente di un istituto bancario non è di certo sinonimo di accesso indiscriminato a banche dati al di fuori della stretta necessità di compiere tali operazioni nell’interesse dell’istituto e dei clienti. L’accesso, privo di causa, deve essere valutato dal giudice di merito, in relazione al rapporto fiduciario tra datore e prestatore di lavoro, che concede l’utilizzo di tali strumenti ai propri dipendenti affinché operino in maniera lecita durante la prestazione lavorativa, senza avvalersi delle potenzialità di conoscenza al di fuori delle strette esigenze lavorative. Dunque, il fatto, nella sua materialità (il cui accertamento rientra ovviamente nel giudizio di merito) non può essere considerato lieve, allorché si concreti in una violazione degli obblighi di protezione dei dati personali previsti dal D.Lgs. 196/2003 soprattutto da parte di coloro che operano all’interno dell’istituto.

Ne consegue che la decisione della Corte d’Appello si pone in contrasto con i principi di diritto sopra richiamati.

Anche il secondo motivo è fondato, infatti,

come da tempo ha affermato la costante giurisprudenza di questa corte, la pubblicazione del codice disciplinare non è necessaria quando la condotta del lavoratore costituisca violazione di norme di legge o di principi fondamentali di correttezza e buona fede, immediatamente percepibili dal dipendente come illeciti (tra le molte, Cass. 3 ottobre 2013, n. 13906; Cass. 3 ottobre 2003, n. 22626, Cass. n. 6893/2018), poiché, in tali evenienze, questi non può non percepire ex ante che il proprio comportamento sia illecito e tale da pregiudicare anche il rapporto di lavoro in essere. Nel caso di specie, l’accesso abusivo ai conti correnti di clienti e colleghi senza ragioni di servizio configura una grave violazione dell’obbligo di fedeltà e riservatezza, oltre che del codice in materia di protezione dei dati personali. Pertanto, il datore di lavoro non era tenuto ad affiggere un codice disciplinare che sanzionasse espressamente un comportamento evidentemente illecito.

Per tali ragioni, la Corte di Cassazione ha accolto il ricorso.