Non c’è violazione della normativa privacy nel caso di utilizzo a fini disciplinari dei dati presenti in una mailing list sindacale, consegnati al datore da uno dei destinatari della comunicazione

Corte di cassazione, sez. I, ordinanza 31 maggio 2021, n.15161

Il caso riguarda il dipendente di un’azienda sanitaria locale e segretario aziendale di un’organizzazione sindacale a cui, a seguito di segnalazione all’azienda da parte di uno dei partecipanti alla mailing list del sindacato, perveniva una nota di contestazione disciplinare in relazione al contenuto offensivo di alcune e-mail da lui inviate ai componenti della mailing-list nei confronti dei vertici aziendali.
Il dipendente si rivolgeva al Garante privacy per il blocco dei dati trattati, ravvisando nell’utilizzo della predetta corrispondenza di posta elettronica per fini disciplinari una violazione del codice della privacy da parte del datore di lavoro.
Il ricorso veniva ritenuto infondato dal Garante, ad avviso del quale, infatti, «le suddette comunicazioni di posta elettronica inerivano a “dati personali” e soggiacevano alla disciplina del codice, ma non erano illecite, essendo state trasmesse all’azienda a corredo di una segnalazione effettuata da un altro partecipante alla mailing list, al fine di sollecitarne una valutazione in sede disciplinare; l’azienda resistente non aveva avuto alcun ruolo nella raccolta dei dati ivi contenuti, né aveva effettuato indagini o controlli sulle opinioni del lavoratore, ma li aveva trattati nell’ambito del potere disciplinare spettantegli».
Avverso tale provvedimento il dipendente proponeva ricorso giudiziale.
Il Tribunale rigettava il ricorso ed il dipendente proponeva così ricorso in Cassazione.
Per gli Ermellini «i messaggi di posta elettronica rientrano nella nozione di dato personale». L’art 4, comma 1, lett. b), codice privacy, considera, infatti come dato personale «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione (…), cui il codice assimila i dati identificativi concernenti i dati personali che permettono l’identificazione diretta dell’interessato».
E così, «l’uso dell’espressione “qualsiasi informazione” nell’ambito della definizione della nozione di “dati personali”, di cui all’art. 2, lett. a), della direttiva 95/46, riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano “concernenti” la persona interessata” (sentenza del 20 dicembre 2017, C-434/16, p. 33-34)».
L’espressione “qualsiasi informazione”, prosegue la Corte di cassazione, «nella direttiva segnala chiaramente la volontà del legislatore di definire un ampio concetto di dati personali». Dal punto di vista «della natura dell’informazione, il concetto di dati personali comprende qualsiasi tipo di affermazione su una persona; può quindi includere informazioni “oggettive” come la presenza di una data sostanza nel sangue di una persona, ma anche informazioni “soggettive” come opinioni o valutazioni (poiché) il loro impiego può avere un impatto sui diritti e sugli interessi di quella persona, tenendo conto di tutte le circostanze del caso di specie».
E così la Corte di Cassazione dopo aver chiarito che si tratta di dati personali non ravvisa, tuttavia, nel caso di specie «alcun illecito trattamento di tali dati», poiché l’azione dell’azienda «non era diretta ad indagare sugli orientamenti sindacali o sulle opinioni del lavoratore, ma esclusivamente a sanzionare gli apprezzamenti offensivi o inopportuni nei confronti del direttore generale dell’Azienda sanitaria locale».
La Corte ricorda poi come «il Garante ha osservato che l’azienda resistente non ha avuto alcun ruolo attivo nella raccolta dei dati relativi al sig. S.. Questi ultimi, infatti, sono ad Essa pervenuti tramite la segnalazione di una dipendente dell’ASL medesima, la quale era stata inclusa dal sig. S. tra i destinatari delle comunicazioni da lui inviate. Pertanto, non vi è alcuna operazione di controllo e/o verifica della casella di posta elettronica dell’opponente».