Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la sentenza

Privacy aziendale violata: confermato licenziamento per giusta causa

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La Corte di Appello di Milano conferma il licenziamento di un dipendente che aveva utilizzato illecitamente dati personali trovati durante il lavoro per contattare una candidata per motivi personali estranei all’attività aziendale

Pubblicato il 17 lug 2025
Antonio Orsini

avvocato DLA Piper

licenziamento per uso improprio di dati personali

Il licenziamento per uso improprio dati personali trova conferma nella giurisprudenza milanese con una sentenza che chiarisce i limiti invalicabili nel trattamento delle informazioni riservate da parte dei dipendenti.

Una decisione della Corte di Appello stabilisce principi fondamentali per la gestione aziendale della privacy e le responsabilità dei lavoratori.

Rischi da violazione dei dati personali: guida pratica e normativa

Il caso concreto e la conferma della giusta causa di licenziamento

Con Sentenza n. 302 del 24 aprile 2025, la Corte di Appello di Milano ha ritenuto legittimo il licenziamento per giusta causa di un dipendente che aveva utilizzato, in modo illecito e inappropriato, dati personali acquisiti durante lo svolgimento delle proprie mansioni.

Il caso trae origine, in particolare, dalla vicenda di un lavoratore addetto alla gestione e all’archiviazione della posta e della corrispondenza presso la sede amministrativa di un’azienda della grande distribuzione.

Nel corso delle operazioni di smistamento, il lavoratore aveva trovato un curriculum vitae proveniente da un punto vendita e, incuriosito dal nominativo femminile ivi riportato, aveva annotato il numero di cellulare della candidata.

In seguito, lo stesso lavoratore tramite WhatsApp aveva contattato la donna per motivi personali, totalmente estranei all’attività aziendale e in alcun modo correlati a finalità di recruiting.

Della vicenda veniva immediatamente informato un Area Manager della Società che, alla luce di quanto occorso, dava avvio a un’indagine interna per far chiarezza sull’accaduto.

All’esito di tali accertamenti, la Società decideva di avviare nei confronti del dipendente uno specifico procedimento disciplinare che, a seguito di giustificazioni confessorie e comunque inidonee a giustificare i fatti contestati, si concludeva con il licenziamento per giusta causa.

Avverso tale provvedimento, il dipendente agiva giudizialmente dinanzi al Tribunale di Milano, sostenendo che il licenziamento fosse da ritenersi illegittimo in ragione dell’asserita sproporzionalità tra la condotta posta in essere e la sanzione adottata dalla società.

Nel corso dei primi due gradi di giudizio, sia il Tribunale di Milano che la Corte d’Appello hanno ritenuto il licenziamento pienamente legittimo, in quanto proporzionato alla gravità dei fatti oggetto di contestazioni, anche in considerazione dello specifico contesto e delle modalità con cui tale condotta era stata posta in essere.

Fiducia aziendale e privacy: una relazione inscindibile

I Giudici di merito hanno infatti evidenziato che l’utilizzo improprio di dati personali – soprattutto in presenza di una specifica formazione in materia di privacy e di responsabilità funzionali connesse, come avvenuto nel caso di specie – rappresenti un abuso intollerabile della fiducia aziendale, tale da ledere irrimediabilmente il vincolo fiduciario tra datore di lavoro e lavoratore.

Nel confermare la legittimità del licenziamento, la Corte d’Appello di Milano ha ritenuto che la condotta del lavoratore integrasse una violazione grave e consapevole degli obblighi di riservatezza, correttezza e buona fede, nonché della normativa sul trattamento dei dati personali.

Violazione della privacy e uso personale del dato: i profili giuridici

In particolare, i Giudici milanesi hanno valorizzato alcuni elementi chiave della vicenda, tra cui:

  • lo specifico ruolo ricoperto dal dipendente in azienda, che gli consentiva l’accesso ad informazioni riservate e dati personali;
  • la sua specifica formazione in materia di privacy, comprovata dalla partecipazione a periodici corsi di aggiornamento in tale materia;
  • la consapevolezza dell’illiceità della condotta, trattandosi di dati per i quali non sussisteva alcuna finalità lavorativa concreta.

Secondo il Collegio, la violazione si è perfezionata nel momento stesso in cui il dato personale è stato utilizzato per finalità private, senza alcun collegamento con esigenze aziendali e in assenza del consenso dell’interessata.

La Corte ha altresì evidenziato l’irrilevanza del fatto che il numero di telefono dell’interessata non fosse stato divulgato a terzi, nonché l’irrilevanza del fatto che l’azione non avesse avuto sviluppi molesti o recato un danno documentabile alla persona coinvolta.

L’uso distorto e illecito delle informazioni, unito al ruolo fiduciario ricoperto dal lavoratore e all’inadeguatezza della tesi difensiva sviluppata (incentrata sulla minimizzazione del fatto), ha indotto i Giudici a ritenere irrimediabilmente compromesso quel vincolo fiduciario che deve invece necessariamente sussistere tra ogni lavoratore e il proprio datore di lavoro.

Parametri di valutazione per la giusta causa nel trattamento dei dati

In conformità con il consolidato orientamento della giurisprudenza, tanto di merito quanto di legittimità, la Corte ha quindi ribadito che, ai fini della sussistenza di una giusta causa di licenziamento, occorre considerare l’insieme delle circostanze soggettive e oggettive, la qualità del rapporto, la posizione del lavoratore e la sua affidabilità complessiva.

Nella vicenda in commento, secondo la Corte, ogni elemento deponeva per la sussistenza di una giusta causa di licenziamento, vista la gravità del fatto e il contesto professionale in cui la condotta era stata posta in essere.

Responsabilità delle aziende nella gestione della privacy interna

La pronuncia rappresenta un chiaro avvertimento per le imprese, che devono essere consapevoli del rischio che l’uso improprio dei dati personali da parte dei dipendenti può comportare non solo sul piano della responsabilità verso terzi, ma anche sul versante reputazionale e fiduciario.

È fondamentale che le aziende si dotino di policy interne aggiornate, che specifichino in modo puntuale chi può accedere ai dati, per quali finalità, con quali limiti e con quali responsabilità. Tali policy devono essere effettivamente conosciute dai lavoratori, attraverso una formazione continua e una maggiore sensibilizzazione dei dipendenti, affinché gli stessi siano pienamente consapevoli delle responsabilità connesse alla gestione di dati anche solo apparentemente “minori”, come un numero di cellulare.

La pronuncia offre quindi l’occasione per ribadire un principio consolidato ma spesso sottovalutato nella prassi aziendale: il lavoratore, anche al di fuori di ipotesi penalmente rilevanti, è tenuto a un comportamento improntato a correttezza e buona fede, con l’obbligo di astenersi da qualsiasi iniziativa che possa ledere, anche in modo indiretto, gli interessi, l’immagine e la reputazione dell’azienda o, in ogni caso, minare la fiducia del datore di lavoro.

Principi di correttezza e buona fede nel rapporto di lavoro

L’utilizzo improprio di dati personali, pur in assenza di divulgazioni massive o finalità dolose, rappresenta in sé una violazione grave del dovere di correttezza e buona fede, tanto più se il soggetto è chiamato a trattare informazioni riservate nell’ambito delle proprie mansioni.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Antonio Orsini
avvocato DLA Piper
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • metriche DORA – devops tiber-eu 2.0 compliance DORA

  • sicurezza

    Metriche DORA: una guida strategica per la cybersecurity nei processi DevOps

    17 Feb 2025

    di Riccardo Sanna

    Condividi
  • privacy, G7 Garanti privacy 2024 (1) Verticale sulla privacy

  • Garante italiano

    Imprese, come rendere la privacy un vantaggio competitivo

    08 Set 2025

    di Nicola Manzi

    Condividi