Cassazione Civile: i dati di navigazione Internet con accesso a siti pornografici rivelano la vita sessuale.

È indubbio che sono dati personali idonei a rivelare la vita sessuale – “da intendersi come complesso delle modalità di soddisfacimento degli appetiti sessuali di una persona” (Sezione V Penale, Sentenza n.46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici”.

Lo ha stabilito la Cassazione che ha confermato la pronuncia del Tribunale di Palermo che aveva rigettato il ricorso della titolare di una casa di cura contro il provvedimento del Garante privacy che le aveva vietato di trattare i dati personali del proprio dipendente addetto alla ricezione e al banco referti, relativi alla navigazione del medesimo sul web.

Secondo la Cassazione, “va rilevato che con congrua e logica motivazione, anche mediante illustrazione dei corretti metodi di ricerca e neutralizzazione di virus informatici, il Tribunale ha accertato in fatto che il trattamento dei dati sensibili era avvenuto in modo eccedente rispetto alla finalità del medesimo. In particolare, sempre con accertamento in fatto insuperabile in questa sede, il Tribunale ha condiviso le argomentazioni del Garante secondo cui la ricorrente avrebbe potuto dimostrare l’illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro, limitandosi a provare in altro modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. Essa, per contro, ha operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando – in modo peraltro non trasparente – un trattamento di dati eccedente rispetto alle finalità perseguite, tenuto conto che, sebbene i dati personali siano stati raccolti nell’ambito di controlli informatici volti a verificare l’esistenza di un comportamento illecito, le informazioni di natura sensibili possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” e tale indispensabilità, non ricorre nel caso di specie”.

La Cassazione ha tra l’altro ricordato che: “pure con accertamento in fatto adeguatamente giustificato, il giudice del merito ha accertato che la “scoperta” del virus informatico è stata la “conseguenza” del controllo operato sul computer e non la ragione del controllo”.

Vale la pena di ricordare due passaggi del provvedimento del Garante, che chiariscono le modalità che il datore nel caso di specie avrebbe potuto seguire per rimanere nella legittimità del controllo:

- la società, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, ha esperito dettagliati accertamenti in assenza di una previa informativa all’interessato relativa al trattamento dei dati personali, nonché in difformità dall’articolo 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite;

- la raccolta da parte del datore di lavoro dei dati relativi alle navigazioni in Internet è avvenuta mediante accesso al terminale in uso all’interessato (con copia della cartella relativa a tutte le operazioni poste in essere su tale computer durante le sessioni di lavoro avviate con la sua password, come si desume dalla stringa riportata in apice all’elenco dei file prodotti dalla resistente “c:copiaDocuments and settingsx-y”), anziché mediante accesso a file di backup della cui esistenza il personale della società è informato mediante il “manuale della qualità ” accessibile agli stessi sul proprio terminale;

- la resistente avrebbe potuto quindi dimostrare l’illiceità del suo comportamento in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando – in modo peraltro non trasparente – un trattamento di dati eccedente rispetto alle finalità perseguite.

Giova ricordare che, come precisato dal Garante: “non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni”.

È vero infatti che i controlli aziendali sono possibili, purché si seguano le direttive del Garante.

La sentenza è integralmente consultabile sul sito della Cassazione.

(Corte di Cassazione – Sezione Prima Civile, Sentenza 1 agosto 2013, n.18443)

(Fonte: Sito web Filodiritto - Titolarità dei contenuti: Inforomatuica S.r.l.).