La registrazione occulta di una riunione aziendale e illecito trattamento di dati personali

Con sentenza n. 2286 del 2/12/2021, il Tribunale di Venezia ha confermato che le conversazioni registrate sul posto di lavoro sono soggette alla normativa prevista da Reg. UE n. 2016/679 (c.d. GDPR).

Ribaltando la precedente decisione emessa dal Garante Privacy, il Tribunale ha dichiarato che conservare per anni la registrazione occulta di una riunione aziendale e cederla ad altri colleghi costituisce un illecito trattamento di dati personali.  

Il caso affrontato dal Tribunale riguardava la registrazione di una riunione di lavoro effettuata di nascosto da un dipendente e poi ceduta ad altri due colleghi, non presenti alla riunione stessa. A distanza di due anni dallo svolgimento della riunione, i due colleghi avevano intrapreso un contenzioso nei confronti dell’azienda e, nell’ambito della causa di lavoro, avevano prodotto proprio la registrazione di cui erano venuti in possesso.

Quindi, dopo aver scoperto di essere stati registrati a loro insaputa, i partecipanti alla riunione si rivolgevano al Garante Privacy, denunciando sia la condotta del collega autore della registrazione sia la condotta degli altri due colleghi, che avevano utilizzato in giudizio copia della registrazione.

Tuttavia, l’Autorità Garante non ravvisava alcun illecito, ritenendo che la registrazione fosse stata effettuata per finalità “strettamente personali” e che, quindi, tale trattamento non fosse soggetto alle previsioni contenute nel GDPR in materia di dati personali.

Contro la decisione del Garante veniva proposta opposizione dinanzi al Tribunale di Venezia, che ha invece dichiarato l’illiceità delle condotte denunciate, riconoscendo espressamente l’applicabilità del GDPR anche al caso in questione.

Infatti, il Tribunale ha ricordato che l’inapplicabilità del GDPR ai trattamenti di dati effettuati “per l’esercizio di attività a carattere esclusivamente personale o domestico” riguarda esclusivamente quei trattamenti che non hanno alcuna connessione con l’attività professionale. Al contrario, nel caso della registrazione della riunione di lavoro, il GDPR è senz’altro applicabile perché non si è in presenza di un’attività attinente alla sfera strettamente privata e familiare.

Dopo aver affermato l’applicabilità del GDPR, il Tribunale ha escluso che la conservazione e la cessione della registrazione aziendale fosse legittima.

Infatti, come già affermato da altre pronunce giurisprudenziali, perché una registrazione occulta aziendale sia considerata lecita, è necessario che la registrazione sia eseguita al fine di tutelare la propria posizione all’interno dell’azienda, oppure per precostituirsi un mezzo di prova, ma sempre a condizione che detta registrazione sia pertinente e proporzionata alle esigenze difensive del lavoratore.

Nel caso in questione, invece, la registrazione era stata effettuata da un dipendente che non aveva nessuna esigenza difensiva nei confronti del datore di lavoro, neppure potenziale, dal momento che all’epoca della riunione non c’era nessun contesto litigioso che lo vedeva coinvolto o pregiudicato. Tale registrazione, invece, era stata conservata e ceduta per essere utilizzata a “tempo debito”, ovvero a distanza di due anni e da parte dei due colleghi impegnati in un loro personale contenzioso con l’azienda, ma non presenti alla riunione stessa.

Pertanto, il Tribunale ha ritenuto che le condotte di tutti e tre i dipendenti costituissero un illecito trattamento di dati personali, sia perché mancava un’esigenza difensiva che giustificasse il trattamento, sia perché i dati erano stati conservati per un periodo temporale che non era quello strettamente necessario alla difesa.

Ilaria Feriti