Sentenza Sentenza Cassazione Civile n. 15161 del 31/05/2021

Cassazione civile sez. I, 31/05/2021, (ud. 24/03/2021, dep. 31/05/2021), n.15161

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. GENOVESE Francesco A. – Presidente –

Dott. DI MARZIO Mauro – Consigliere –

Dott. TRICOMI Laura – Consigliere –

Dott. TERRUSI Francesco – Consigliere –

Dott. LAMORGESE Antonio Pietro – rel. Consigliere –

ha pronunciato la seguente:

ORDINANZA

sul ricorso 13645/2018 proposto da:

S.P.C., elettivamente domiciliato in Roma, Piazzale delle

Belle Arti n. 2, presso lo studio dell’avvocato Pirocchi Gabriele,

che lo rappresenta e difende unitamente all’avvocato Ciccia Antonio

Messina, giusta procura in calce al ricorso;

– ricorrente –

contro

Servizio Sanitario Nazionale Regione Piemonte – Azienda Sanitaria

Locale Città di Torino, in persona del Direttore generale pro

tempore, elettivamente domiciliato in Roma, Via Attilio Regolo n.

12/d, presso lo studio dell’avvocato Fabbri Elena, rappresentato e

difeso dall’avvocato Polliotto Patrizia, giusta procura in calce al

controricorso;

– controricorrente –

contro

Autorità Garante per la Protezione dei Dati Personali, in persona

del legale rappresentante pro tempore, domiciliata in Roma, Via dei

Portoghesi n. 12, presso l’Avvocatura Generale dello Stato, che la

rappresenta e difende ope legis;

– intimata –

avverso la sentenza n. 5351/2017 del TRIBUNALE di TORINO, pubblicata

il 08/11/2017;

udita la relazione della causa svolta nella camera di consiglio del

24/03/2021 dal cons. LAMORGESE ANTONIO PIETRO.

Fatto

FATTI DI CAUSA

1.- Al signor S.P.C., dipendente dell’Azienda Sanitaria Locale ASL Città di Torino e segretario aziendale dell’organizzazione sindacale (OMISSIS), perveniva dall’Azienda, a seguito di segnalazione di uno dei partecipanti ( P.A., dirigente dell’ASL Torino) a una mailing list del sindacato (OMISSIS), una nota di contestazione disciplinare in relazione al contenuto offensivo di alcune email da lui inviate nella predetta mailing list nei confronti dei vertici aziendali, nella quale si discuteva del progetto di accorpamento delle ASL operanti nella Città di Torino in un’unica Azienda Sanitaria. Il procedimento disciplinare si concludeva con l’irrogazione della sanzione della censura, impugnata con ricorso in separata sede giurisdizionale.

2.- Il ricorrente, ravvisando nell’utilizzo della predetta corrispondenza di posta elettronica per fini disciplinari una violazione del codice della privacy (D.Lgs. 30 giugno 2003, n. 196), chiedeva il blocco dei dati trattati, ma il ricorso veniva ritenuto infondato dal Garante per la protezione dei dati personali con provvedimento del 20 aprile 2017. Ad avviso del Garante, le suddette comunicazioni di posta elettronica inerivano a “dati personali” e soggiacevano alla disciplina del codice, ma non erano illecite, essendo state trasmesse all’Azienda a corredo di una segnalazione effettuata da un altro partecipante alla mailing list, al fine di sollecitarne una valutazione in sede disciplinare; l’Azienda resistente non aveva avuto alcun ruolo nella raccolta dei dati ivi contenuti, nè aveva effettuato indagini o controlli sulle opinioni del lavoratore, ma li aveva trattati nell’ambito del potere disciplinare spettantegli.

3.- Avverso questo provvedimento il S. proponeva ricorso al Tribunale di Torino, deducendo che la normativa sul procedimento disciplinare nei confronti dei dipendenti pubblici non consente al datore di lavoro di conservare ed elaborare, cioè trattare, dati sensibili aventi ad oggetto le convinzioni sindacali espresse nelle comunicazioni di posta elettronica; che, analogamente, lo Statuto dei lavoratori non ammette il trattamento di tali dati per fini disciplinari; che l’Azienda datrice di lavoro non avrebbe dovuto utilizzare il contenuto delle email, essendo consapevole della natura sindacale delle stesse; che il trattamento dei propri dati personali era dunque illegittimo.

4.- Il Tribunale rigettava il ricorso, con sentenza dell’8 novembre 2017, avverso la quale il S. propone ricorso per cassazione, resistito dall’Azienda Sanitaria Locale “Città di Torino” anche con memoria; il Garante per la protezione dei dati personali non ha svolto attività difensiva.

Diritto

RAGIONI DELLA DECISIONE

1.- Il primo motivo denuncia violazione e falsa applicazione dell’art. 4, comma 1, lett. b) e d), artt. 7 e 11 del codice privacy, per avere il giudice di merito ritenuto non ascrivibili alla nozione di “dato personale” le dichiarazioni e le opinioni formulate da una persona per iscritto tramite l’indirizzo di posta elettronica privata, nel corso di uno scambio di corrispondenza elettronica, costituendo invece “dato personale” ogni forma di informazione che identifichi un credo, una convinzione o un’opinione personale.

1.1.- Il motivo è inammissibile per la ragione che si dirà, sebbene colga un errore di diritto in cui è incorso il tribunale, tuttavia ininfluente ai fini della decisione, che deve essere corretto ex art. 384 c.p.c., comma 4.

Il tribunale, dissentendo dal Garante, ha ritenuto che i messaggi di posta elettronica di cui si tratta non rientrano nella nozione di “dato personale”, di cui all’art. 4 codice privacy, non trattandosi di “un’informazione ovverosia di un elemento identificativo della persona, di un suo tratto o di un suo comportamento”, ma solo di “una dichiarazione che è invero la mera riproduzione del pronunciato o dello scritto”, “testimoniata proprio dal messaggio di posta elettronica”.

Tale opinione, tuttavia, travisa il dato normativo desumibile dall’art. 4, comma 1, lett. b), codice privacy, che considera come “dato personale” “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione (…)”, cui il codice assimila l'”dati identificativi” concernenti “i dati personali che permettono l’identificazione diretta dell’interessato”.

Il tribunale, pur individuando la nozione di “dato personale” in “un elemento identificativo della persona, di un suo tratto o di un suo comportamento”, giunge alla poco comprensibile e apodittica conclusione che “la dichiarazione resa dalla persona in una conversazione non è (mai) un elemento identificativo, bensì semplicemente quanto da essa dichiarato”.

Tale conclusione stride con l’ampiezza della nozione di “dato personale” cui è approdata la Corte di giustizia UE, secondo la quale “l’ambito di applicazione della direttiva 95/46 è molto ampio e i dati personali a cui si riferisce sono vari (sentenza del 7 maggio 2009, Rijkeboer, C-553/07, p. 59 e giurisprudenza ivi citata). Infatti, l’uso dell’espressione “qualsiasi informazione” nell’ambito della definizione della nozione di “dati personali”, di cui all’art. 2, lett. a), della direttiva 95/46, riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano “concernenti” la persona interessata” (sentenza del 20 dicembre 2017, C-434/16, p. 33-34).

Analoghe indicazioni provengono dal Parere n. 4/2007 reso, sul concetto di dato personale, dal “Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali” (WP29), organismo consultivo indipendente istituito ai sensi dell’art. 29 della direttiva 95/46/CE. In tale parere “L’espressione “qualsiasi informazione” nella direttiva segnala chiaramente la volontà del legislatore di definire un ampio concetto di dati personali. La formulazione richiede un’ampia interpretazione. Dal punto di vista della natura dell’informazione, il concetto di dati personali comprende qualsiasi tipo di affermazione su una persona; può quindi includere informazioni “oggettive” come la presenza di una data sostanza nel sangue di una persona, ma anche informazioni “soggettive” come opinioni o valutazioni (poichè) il loro impiego può avere un impatto sui diritti e sugli interessi di quella persona, tenendo conto di tutte le circostanze del caso di specie”.

1.2.- Tuttavia, il predetto motivo che concerne la configurabilità di “dati personali” nei messaggi di posta elettronica inviati dal S. nella mailing list – se accolto – non potrebbe determinare la cassazione della sentenza impugnata, questa restando validamente fondata sull’altra ratio decidendi – vanamente attinta dai restanti motivi – concernente comunque la non illiceità del “trattamento” di tali dati. La duplicità di rationes è enunciata dallo stesso tribunale laddove riferisce di volere accedere “allo schema teorico della doppia motivazione”. Per questa ragione il motivo è inammissibile.

2.- Venendo all’esame degli altri motivi di ricorso, il secondo denuncia omesso esame di fatti decisivi per il giudizio, non avendo il tribunale esaminato nè il contenuto del provvedimento disciplinare assunto nei confronti del S., da cui risulta che il carteggio incolpato reca “considerazioni e valutazioni sull’operato del Direttore Generale” svolte nell’esercizio della libertà sindacale, nè i regolamenti aziendali ASL che stabiliscono che le comunicazioni effettuate tramite posta elettronica sono riservate e non possono essere oggetto di forme di verifica e controllo da parte dell’Azienda Sanitaria o di altri soggetti, essendo vietato l’uso della posta elettronica per fini disciplinari.

2.1.- Il motivo è infondato nella parte in cui si appunta sul profilo disciplinare, cioè sull’utilizzo del contenuto delle email per l’emissione del provvedimento assunto dall’Azienda Sanitaria nei confronti del S., del quale – come correttamente ritenuto dal tribunale compete al giudice del lavoro occuparsi in sede di valutazione della legittimità del provvedimento sanzionatorio, anche rispetto alle modalità di realizzazione dell’illecito, cui ineriscono le questioni della legittimità dell’utilizzo a fini disciplinari dei messaggi di posta elettronica inviati dal dipendente nella mailing list e della configurabilità di eventuali scriminanti nella condotta, qual è quella dell’esercizio della critica sindacale (cfr. le fattispecie esaminate da Cass., sez. lav., n. 18176 e 19092 del 2018, n. 1379 del 2019).

Il motivo, inoltre, non contiene censure specifiche idonee a scalfire la ratio decidendi con la quale il tribunale ha affermato che il trattamento dei dati da parte dell’Azienda non era illegittimo, non essendo diretto ad indagare sugli orientamenti sindacali o sulle opinioni del lavoratore (anche a proposito del progetto di accorpamento delle ASL della Città di Torino), ma esclusivamente a sanzionare gli apprezzamenti offensivi o inopportuni nei confronti del Direttore Generale.

Il Garante ha osservato che “l’Azienda resistente non ha avuto alcun ruolo attivo nella raccolta dei dati relativi al sig. S.. Questi ultimi, infatti, sono ad Essa pervenuti tramite la segnalazione di una dipendente dell’ASL medesima, la quale era stata inclusa dal sig. S. tra i destinatari delle comunicazioni da lui inviate. Pertanto, non vi è alcuna operazione di controllo e/o verifica della casella di posta elettronica dell’opponente”. A tali argomenti il tribunale ha aggiunto il rilievo – implicante una questione di fatto incensurabile (e comunque non specificamente censurata) in questa sede – che si trattava, in concreto, di sole quattro “conversazioni elettroniche”, rese in un unico contesto e non assurgenti a una “raccolta” di informazioni relative alla persona del ricorrente. La questione dei regolamenti aziendali, asseritamente allegati al ricorso introduttivo dinanzi al tribunale ma dei quali la sentenza impugnata non tratta, risulta carente sul piano della specificità (non ne è precisato il contenuto specifico e la rilevanza) e non è decisiva, concernendo l’uso dei dati presenti nella casella di posta aziendale e non di quella privata.

3.- Il terzo motivo denuncia omesso esame di un fatto decisivo per il giudizio, non avendo il tribunale considerato che il DPGR Piemonte n. 9 del 4 luglio 2016 – recante il Regolamento del trattamento dei dati sensibili e giudiziari della Regione Piemonte, invocato dal Garante quale base giustificativa del trattamento dei dati personali del S. – non reca alcuna disposizione che consenta il trattamento di dati sindacali ai fini disciplinari.

3.1.- Il motivo è inammissibile: prospetta una questione concernente il DPGR Piemonte – non trattata espressamente dal Garante (nel cui provvedimento, per come riportato dal tribunale, il suddetto DPGR è solo citato nelle premesse), non sottoposta specificamente alla valutazione del Tribunale, nè in questa sede illustrata in modo chiaro e autosufficiente. Si sostiene che “l’esame (di tale regolamento) avrebbe evidenziato (…) l’applicabilità del D.Lgs. n. 196 del 2003, art. 7” senza illustrare le ragioni di tale convincimento e senza precisare quale sia il contenuto specifico del suddetto regolamento.

4.- Con il quarto motivo, che denuncia violazione e falsa applicazione degli artt. 4, 7, 18 e 20 codice privacy, L. 20 maggio 1970, n. 300, artt. 1 e 8 (Statuto dei lavoratori), D.Lgs. 30 marzo 2001, n. 165, artt. 42 e 51 (Norme generale sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche) e del DPGR Piemonte n. 9 del 4 luglio 2016, il ricorrente imputa al giudicante di non avere compreso che si tratta di “dati sensibili”, il cui trattamento richiede il consenso dell’interessato ed è condizionato all’emissione di un apposito atto regolamentare, nella specie mancante, nel rispetto dei principi generali della materia e in relazione alle specifiche finalità del trattamento.

4.1.- Il motivo non scalfisce la ratio decidendi, neppure censurata specificamente, con la quale il tribunale ha affermato che il trattamento dei dati in questione, seppure in ipotesi configurabili come “sensibili” (art. 4, comma 1, lett. d, codice privacy), non richiede il consenso dell’interessato, quando sia necessario per adempiere ad un obbligo imposto dalla legge, come nella specie, rientrando nei compiti di istituto connessi all’esercizio del potere disciplinare dell’Azienda Sanitaria, quale pubblica amministrazione, nei confronti dei propri dipendenti.

A conferma di questa impostazione si richiamano le disposizioni concernenti il trattamento dei dati sensibili che siano “indispensabili per svolgere attività istituzionali” da parte di soggetti pubblici (cfr. l’art. 22, comma 3, in relazione all’art. 18, comma 2, codice privacy).

Ed è rilevante, sul piano sistematico, anche la disposizione di cui all’art. 2 sexies, comma 2, lett. dd), del codice, in tema di “Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante” – sebbene inapplicabile ratione temporis (in quanto inserita dal D.Lgs. 10 agosto 2018, n. 101, contenente “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016”) – la quale “considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri (…)” in determinate materie, tra le quali sono comprese quella sindacale, quella relativa alla “instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo” e alla “responsabilità civile (e) disciplinare”.

5.- In conclusione, il ricorso è rigettato. Le spese sono compensate, in considerazione della complessità e novità delle questioni controverse.

PQM

La Corte rigetta il ricorso, compensa le spese.

Dà atto della sussistenza dei presupposti processuali per il versamento, da parte del ricorrente, ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater, nel testo introdotto dalla L. n. 228 del 2012, art. 1, comma 17, di un ulteriore importo a titolo di contributo unificato, in misura pari a quello, ove dovuto, per il ricorso, a norma del comma 1 bis dello stesso art. 13.

In caso di diffusione del presente provvedimento, omettere le generalità e gli altri dati identificativi.

Così deciso in Roma, il 24 marzo 2021.

Depositato in Cancelleria il 31 maggio 2021