Privacy

Il datore di lavoro non può utilizzare le conversazioni private di Whatsapp ai fini disciplinari

Se una società, un’impresa, un’associazione non tratta i dati personali dei terzi in modo corretto e secondo le regole, commette un illecito penale

27 Lug 2020

Alessandra Tursi

avvocato

Mario Soggia

avvocato

L’uso sempre più smisurato e, spesso, improprio di internet, dei social network e soprattutto delle chat di messaggistica istantanea è ormai, da diversi anni, oggetto di copiosa giurisprudenza in materia di licenziamenti e sanzioni disciplinari.

Il caso del tribunale del Lavoro di Firenze

Il tribunale del Lavoro di Firenze con la sentenza del 16 ottobre 2019 n. 764 ha ritenuto illegittimo il recesso datoriale, motivato dall’inserimento da parte di un proprio dipendente in un gruppo chiuso di whatsapp di gravi frasi offensive e minacciose verso superiori e colleghi.

Il licenziamento in oggetto era stato intimato all’esito di un procedimento disciplinare con il quale la società datrice di lavoro aveva contestato a un lavoratore di avere registrato, su una chat di Whatsapp, alcuni messaggi vocali, riferiti al suo superiore gerarchico e ad altri colleghi, con contenuti offensivi, denigratori, minatori e razzisti.

Dal testo della sentenza non è possibile stabilire con quali modalità l’azienda sia venuta a sapere dell’accaduto ma, non essendovi stata alcuna contestazione su una eventuale illecita intromissione telematica, è presumibile che la conoscenza del fatto sia avvenuta a seguito della segnalazione di uno degli appartenenti al gruppo.

Il ricorrente non aveva contestato di essere l’autore dei messaggi vocali, ma aveva opposto la loro irrilevanza disciplinare in quanto questi erano stati registrati in una chat privata, le cui comunicazioni, a suo avviso, erano comprese nell’ambito della tutela garantita dall’art.15 della Costituzione in tema di libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione.

La recente giurisprudenza di legittimità (Cass. 10280/2018; Cass. 21965/2018) ha preso in esame la fattispecie di messaggi di contenuto offensivo o diffamatorio prodotti dal dipendente tramite strumenti informatici, distinguendo tra:

  • messaggi diffusi con strumenti potenzialmente idonei a raggiungere un numero indeterminato di persone (e.g. bacheca Facebook);
  • messaggi inviati tramite strumenti (come una chat Facebook privata) idonei a un accesso limitato, con esclusione della possibilità che le comunicazioni ivi inserite siano conoscibili da soggetti diversi dai partecipanti.

Nel primo caso, Cass. 10280/2018, ha ritenuto la natura diffamatoria, configurante pertanto giusta causa di licenziamento ex. art. 2119 c.c., delle affermazioni dispregiative formulate dal lavoratore nei confronti dell’azienda datrice di lavoro, per effetto della potenziale idoneità di essere lette da un numero indeterminato di persone.

Nella seconda ipotesi, invece, Cass. 21965/2018, ha escluso la sussistenza di rilievo disciplinare della condotta, rilevando che l’invio di messaggi riservati ai soli partecipanti a una chat è logicamente incompatibile con i requisiti propri della condotta diffamatoria, che presuppone la destinazione delle comunicazioni alla divulgazione nell’ambiente sociale.

Nell’ipotesi sopra riportata e decisa dal Tribunale fiorentino, i messaggi del lavoratore erano stati realizzati all’interno di una chat riservata ai soli partecipanti e, pertanto, secondo quanto previsto dalla Cass. 21965/2018 sopra citata, configurano comunicazioni diffuse in un ambiente ad accesso limitato, con esclusione della possibilità che quanto detto in quella sede potesse essere veicolato all’esterno (…) il che porta a escludere qualsiasi intento di diffusione denigratoria.

Ne consegue che i messaggi vocali del caso che ci occupa, pur recanti affermazioni diffamatorie e discriminatorie non sono inquadrabili nella fattispecie di frasi ingiuriose, discriminatorie e minacciose indirizzati a superiori o colleghi. Quindi, anche se la comunicazione con più persone avviene in un ambito privato, cioè all’interno di una cerchia di persone, non solo non si parla più di diffamazione ma è necessario tutelare la libertà e segretezza della comunicazione stessa.

Viceversa, il comportamento del datore di lavoro di utilizzare, per fini disciplinari, messaggi privati del lavoratore all’interno di una chat è configurabile come reato.

La chat in un gruppo chiuso di Facebook o di whatsapp è equiparata alla corrispondenza privata che, in quanto tale, non può essere divulgata all’esterno.

La Costituzione, infatti, all’articolo 15 sancisce il diritto alla segretezza della corrispondenza:

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

“La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge.”

È principio consolidato ormai che per “comunicazione” debba necessariamente includersi anche quella telematica.

Chat privata come una lettera sigillata

La tutela della segretezza presuppone, oltre che la determinatezza del destinatario e l’intento del mittente di escludere terzi dalla conoscibilità del messaggio, anche l’uso di uno strumento che denoti il carattere di segretezza e riservatezza della comunicazione. Tale è, appunto, la chat privata di facebook o il gruppo chiuso su WhatsApp. Infatti, i messaggi di Whatsapp, se inoltrati a una cerchia chiusa di partecipanti, come appunto le chat private, devono essere considerati alla stregua della corrispondenza privata, chiusa e inviolabile.

Pertanto chi rivela a terzi il contenuto della chat o del gruppo WhatsApp commette un reato, quello di violazione del segreto della corrispondenza, comportamento che è appunto punito penalmente dal codice Artt. 616 , 617, 617- septies del codice penale.

Diverso e più grave è il caso in cui è il datore stesso a procurarsi illecitamente eventuali messaggi o registrazioni denigratorie nei suoi confronti o nei confronti dell’azienda o di altri dipendenti all’interno di chat di gruppo o di chat private di whatsapp.

Infatti ci troviamo di fronte a profili importanti di violazione della privacy del lavoratore e al reato di accesso abusivo a sistema informatico, ex articolo 615 del Codice Penale: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”

Al di fuori dei casi che integrano le fattispecie incriminatrici sopra elencate (cioè nel caso in cui manchi l’animus diffamandi o la rappresentazione della possibilità che la diffusione crei un pregiudizio alla vittima, o nel caso in cui difetti uno degli elementi materiali richiesti dagli articoli suddetti), l’invio a terzi di uno screenshot raffigurante una chat privata o estratti di essa, da parte di uno dei partecipanti alla conversazione, potrebbe violare il diritto alla riservatezza degli altri interlocutori, e conseguentemente comportare per l’autore il risarcimento dell’eventuale danno cagionato, nel caso in cui da esso si possano dedurre dati personali e sensibili, tutelati dal codice della Privacy, così come aggiornato dal Regolamento UE 679/2016, il cui art. 6 prevede che “il trattamento è lecito solo e nella misura in cui (…) l’interessato ha espresso il consenso al trattamento dei propri dati personali (…)”.

La violazione dei dati personali

La privacy è uno dei diritti fondamentali dell’uomo e consiste nella protezione dei dati personali (vale a dire si può scegliere a chi rivelare i propri dati personali e il soggetto destinatario delle proprie informazioni non può in nessun caso divulgare tali dati senza la propria autorizzazione)

Per “dato personale”, a norma dell’art. 4 del Regolamento UE N. 2016/679 si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità, fisiologia, genetica, psichica, economica, culturale o sociale”.

Il trattamento dei dati personali è rappresentato da qualsiasi operazione (o complesso di operazioni), effettuata anche senza l’ausilio di strumenti elettronici, che riguardi la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Le possibilità offerte al soggetto in causa

Nel caso analizzato in premessa, per far valere la violazione della privacy, il soggetto che si è visto comminare una sanzione disciplinare o nel caso più grave il licenziamento per giusta causa avrà due diverse possibiltà:

  1. Denuncia penale e richiesta del risarcimento del danno (autorità giudiziaria)

Il diritto alla protezione dei propri dati personali è riconosciuto sia a livello nazionale che internazionale e la sua violazione comporta una condanna penale che va dall’arresto (nei casi più lievi di contravvenzioni) alla reclusione (per i casi più gravi che costituiscono reato) e la condanna civile al risarcimento del danno derivato dalla sofferenza psico-fisica arrecata alla vittima, nonché dei danni economici, morali ed esistenziali a esso arrecati.

Quando una società, un’impresa, un’associazione non tratta i dati personali dei terzi in modo corretto e secondo le regole, commette un illecito penale. In particolare la violazione della privacy è punita con la reclusione da sei a diciotto mesi o (se il fatto consiste nella comunicazione o diffusione dei dati) con la reclusione da sei a 24 mesi (Art. 167 D.Lgs n. 196 del 20.6.2003) chiunque:

  • al fine di trarre per sé o per altri profitto o di recare ad altri un danno;
  • procede al trattamento di dati personali in violazione di quanto disposto dalla legge;
  • se dal fatto deriva un danno (…)

Risarcimento del danno

La gestione della privacy comporta anche una responsabilità civile ai sensi dell’art. 15 D.Lgs. n. 196 del 20.6.2003 “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazioni dell’art. 11”.

La violazione della normativa sulla privacy determina un danno economico, morale ed esistenziale per chi ha subito l’illegittimo trattamento dei propri dati personali. Ciò significa che chi viola la privacy dovrà anche risarcire:

  • il danno conseguente alla lesione del diritto alla riservatezza;
  • il danno patrimoniale;
  • quello morale ed esistenziale (consistente nella sofferenza psico-fisica del soggetto titolare dei dati, anche a causa dei pregiudizi subiti) non suscettibili di valutazione economica.
  1. Reclamo, segnalazione o ricorso al Garante della Privacy

Il reclamo (Art.142 e ss., D.Lgs., n. 196 del 20.6.2003) è un atto (che non prevede particolari formalità) con il quale l’interessato denuncia (dietro il pagamento di una somma) al Garante una violazione della disciplina in materia di protezione dei dati personali.

La segnalazione (Art.144, D. Lgs., n. 196 del 20.6.2003) è un atto generico e non circostanziato come il reclamo finalizzato a sollecitare l’esercizio dell’attività di controllo da parte del garante. La segnalazione è gratuita, non presenta particolari formalità e deve essere inviata al garante. A una o più segnalazioni possono seguire un’istruttoria preliminare e un procedimento amministrativo nel quale possono essere adottati vari provvedimenti (anche prima della definizione del procedimento).

Il ricorso (Art.145 e ss., D. Lgs., n. 196 del 20.6.2003) al garante è un atto formale, che deve essere presentato rispettando particolari formalità e unicamente nei seguenti casi:

  • in caso di risposta tardiva (quindi oltre i 15 o 30 giorni dalla richiesta) o non soddisfacente da parte del titolare del trattamento dei dati o del responsabile (se designato);
  • se il decorso dei termini relativi al riscontro dell’istanza esporrebbe l’interessato a un pregiudizio imminente e irreparabile.

Il ricorso non è gratuito: anche in questo caso (come per il reclamo) bisogna pagare 150 euro a titolo di diritti di segreteria.

ll Garante, se ritiene fondato il ricorso, può ordinare la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto (cosiddetto silenzio – diniego). Contro il provvedimento (espresso o tacito) del Garante è possibile proporre ricorso dinanzi al tribunale del luogo nel quale risiede il titolare del trattamento.

È importante precisare che il Garante non può disporre il risarcimento del danno in favore della parte vittoriosa e che vige il principio per cui, una volta che si è agito dinanzi al Garante, non è più possibile rivolgersi al tribunale per la medesima fattispecie.

Quindi, in base a quanto sopra analizzato è importante pensarci bene prima di utilizzare come mezzo di prova qualsiasi “informazione” presente all’interno di una chat privata o all’interno di un gruppo privato di una messaggistica istantanea o di un social network.

Nel caso che ci ha occupato, il tribunale di Firenze ha disposto l’applicabilità della tutela reintegratoria di cui all’art.3, II co., D.Lgs 23/2015 e la relativa condanna a reintegrare il lavoratore nel posto di lavoro pagandogli una indennità risarcitoria commisurata all’ultima retribuzione di riferimento per il calcolo del trattamento di fine rapporto dal giorno del licenziamento fino al giorno dell’effettiva reintegrazione.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA
T
Alessandra Tursi
avvocato
S
Mario Soggia
avvocato
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
G
GDPR

Articolo 1 di 5