La Corte di Appello di Milano, con sentenza del 24 aprile 2025, n. 302 si è pronunciata sulla legittimità del licenziamento di un dipendente, addetto allo smistamento della corrispondenza, che, venuto in possesso di un curriculum vitae di una candidata, ha estratto i dati personali della stessa, contattandola nei giorni successivi.
Il Tribunale aveva accertato la legittimità del licenziamento, intimato per giusta causa, ritenendo che l’utilizzo, da parte di un lavoratore adeguatamente formato in materia di privacy, dei dati personali di un soggetto terzo per finalità diverse da quelle aziendali, ha “una significativa valenza negativa, traducendosi in lesione irreparabile del vincolo fiduciario nella misura in cui esso incide intrinsecamente sugli obblighi di collaborazione e fedeltà cui è tenuto il dipendente nei confronti della datrice”.
Ha proposto appello il lavoratore ribadendo di non aver commesso alcuna violazione disciplinare – “dal momento che non aveva divulgato il dato a terzi ma si era "limitato" a brevi messaggi telefonici immediatamente sospesi” – e censurando la sentenza di primo grado per non avere congruamente motivato circa la proporzionalità della sanzione espulsiva.
La Corte d’Appello muove dal richiamo all’orientamento in forza del quale per valutare la proporzionalità della sanzione disciplinare “occorre accertare in concreto se - in relazione alla qualità del singolo rapporto intercorso tra le parti, alla posizione che in esso abbia avuto il prestatore d'opera e, quindi, alla qualità e al grado del particolare vincolo di fiducia che quel rapporto comportava - la specifica mancanza commessa dal dipendente, considerata e valutata non solo nel suo contenuto obiettivo, ma anche nella sua portata soggettiva, specie con riferimento alle particolari circostanze e condizioni in cui è posta in essere, ai suoi modi, ai suoi effetti e all'intensità dell'elemento psicologico dell'agente, risulti obiettivamente e soggettivamente idonea a ledere in modo grave, così da farla venir meno, la fiducia che il datore di lavoro ripone nel proprio dipendente” (cfr. Cass. sez Lav. n.12798 del 23/05/2019).
La Corte condivide le conclusioni del primo Giudice circa la proporzionalità della sanzione, desumendo la gravità della condotta contestata:
- dalle mansioni assegnate al lavoratore, consistenti nella gestione della posta interna e comportanti l'accesso a informazioni personali;
- dalle “plurime violazioni degli obblighi della normativa in materia di trattamento dei dati personali, di cui al GDPR ed anche delle istruzioni aziendali in materia di applicazione della normativa privacy”;
- dalla specifica formazione che il dipendente aveva ricevuto in materia di privacy e applicazione delle disposizioni contenute nel GDPR;
- dalla consapevolezza che il lavoratore avrebbe dovuto avere della illiceità della condotta posta in essere.
Il Collegio sottolinea poi che non assume rilievo, al fine di escludere la proporzionalità della sanzione, la mancata divulgazione a terzi del numero di telefono, essendo invece decisiva “la condotta contraria alla buona fede nei confronti del datore di lavoro, che ha sopportato comunque una lesione dell'affidamento da lui riposto nel medesimo”. La violazione disciplinare, infatti, si è concretizzata “nel momento in cui il dipendente ha utilizzato il numero di telefono per finalità diverse da quelle per le quali era stato comunicato dalla candidata e assolutamente estranee alle esigenze aziendali”. La Corte condivide, dunque, il giudizio del datore di lavoro di gravità della condotta sia “in considerazione del peculiare elemento soggettivo, rapportato alla funzione e al grado di fiducia attribuito al dipendente con la nomina a persona autorizzata al trattamento dei dati personali, sia in relazione al danno all'immagine e alla reputazione della società”.
Anche la circostanza che la condotta contestata non fosse riconducibile alle ipotesi cui il CCNL riconnette la sanzione espulsiva, atteso che l’elencazione delle ipotesi di licenziamento per giusta causa ha valenza meramente esemplificativa e “non preclude un'autonoma valutazione del giudice di merito in ordine all'idoneità di un grave inadempimento, o di un grave comportamento del lavoratore contrario alle norme della comune etica o del comune vivere civile, a far venire meno il rapporto fiduciario tra datore di lavoro e lavoratore" (su tutte, Cass. 19/01/2022, n. 1665).
Sul tema, si veda anche ordinanza n. 2806 del 5 febbraio 2025 (commentata sul nostro sito, L’accesso abusivo del lavoratore alla banca dati aziendale non può essere considerato un fatto lieve), che ha accertato la legittimità della sanzione disciplinare irrogata ad un lavoratore, dipendente di un istituto di credito, che era stato licenziato (anche) per aver violato la normativa della privacy per accessi abusivi ai conti correnti di varie persone effettuati tramite il programma informatico aziendale e senza legittime ragioni di servizio