Online illegittimamente a lavoro, con accesso anche a siti porno: quelli sono ‘dati sensibili’, non utilizzabili dall’azienda

Legittima la contestazione disciplinare nei confronti del dipendente, ma l’azienda si sarebbe dovuta limitare a dimostrare gli accessi colla relativa dura illegittimi ad internet, utilizzando il computer a disposizione a lavoro. Da valutare come abuso, e come trattamento illecito di dati personali, l’impiego dei contenuti di quegli accessi, inclusi i dati relativi alle navigazioni in siti a carattere pornografico.

Non solo orientamenti in materia di politica, sindacalismo e religione anche le opzioni sessuali espresse attraverso l’accesso – illegittimo, per giunta, e compiuto sul luogo di lavoro – a siti web pornografici vanno catalogate come ‘dati sensibili’. Pure su questo fronte, quindi, si può parlare, a ragion veduta, di diritto alla privacy. Nessun dubbio per il Garante per la protezione dei dati personali, nessun dubbio per la Cassazione così viene catalogato come illegittimo il trattamento dei dati realizzato da un’azienda contestando l’operato di un proprio dipendente. Cassazione, sentenza numero 18443, Prima sezione Civile, depositata oggi Rottura. Ad andare in frantumi è il rapporto tra una società – titolare di una casa di cura – e un dipendente, «addetto all’accettazione». E decisivo è, da parte del lavoratore, l’utilizzo illegittimo di internet, con «accessi non autorizzati ed effettuati sul luogo di lavoro». Questo l’appiglio fondamentale per la «contestazione disciplinare» prima e per il «licenziamento» poi, messi in pratica dall’azienda. Scelta legittima, quella praticata dalla società, ma il casus belli è l’utilizzo dei «dati concernenti l’accesso ad internet» effettuato dal dipendente. Secondo l’uomo, sono stati trattati illegittimamente, da parte dell’azienda, «dati sensibili, perché relativi a convinzioni religiose e politiche, nonché alle tendenze sessuali». E questa visione viene ritenuta legittima prima dal Garante per la protezione dei dati personali e poi dal Tribunale in sostanza, i dati trattati dall’azienda sono valutabili come «sensibili», e per giunta tale monitoraggio è avvenuto «senza il consenso» del dipendente. Tale ‘abuso’ sarebbe stato ammissibile solo se «il trattamento» si fosse rivelato «necessario per far valere o difendere un diritto in sede giudiziaria». E invece Abuso. Proprio sulle ragioni dell’azione compiuta dall’azienda si soffermano i giudici della Cassazione, dando per scontata la legittimità della «contestazione disciplinare relativa ad accessi ad internet non autorizzati effettuati» dal dipendente «»sul luogo di lavoro», ma chiarendo che l’azienda «avrebbe potuto dimostrare l’illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro, limitandosi a provare l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento». Assurda, illogica, vero e proprio abuso, invece, è la scelta dell’azienda di ‘scavare’ per recuperare addirittura i ‘contenuti’ degli accessi web illegittimi. E, in questo quadro, viene chiarito, ‘dati sensibili’ sono non solo quelli «relativi all’accesso a siti web ricollegabili a diverse associazioni sindacali, ovvero riconducibili ad organizzazioni di carattere religioso», bensì anche «le scelte» relative alla vita sessuale di un individuo desumibili dalla «‘navigazione’ in internet con accesso a siti pornografici» Ciò comporta, in sostanza, e in chiusura della vicenda, la conferma della illegittimità dell’azione compiuta dall’azienda percorso netto, così, dalla decisione del Garante della privacy fino alla Corte di Cassazione.

Corte di Cassazione, sez. I Civile, sentenza 19 giugno - 1° agosto 2013, numero 18443 Presidente Salmè – Relatore Didone Ritenuto in fatto e in diritto 1. - La s.p.a. M., titolare di una casa di cura, ricorre per cassazione formulando quattro motivi - contro la sentenza del Tribunale di Palermo del 26.6.2008 con la quale è stato respinto il suo ricorso, presentato ai sensi dell’articolo 152 d.lgs. numero 196/2003, contro il provvedimento in data 2.2.2006 con il quale il Garante per la protezione dei dati personali le aveva vietato il trattamento dei dati personali di G.F., proprio dipendente, dal cui computer erano stati estratti dati concernenti l’accesso ad internet, tali da configurare “dati sensibili” perché relativi a convinzioni religiose e politiche nonché alle tendenze sessuali. Resistono con controricorso G.F. e il Garante della protezione dei dati personali. 2. - La vicenda oggetto del ricorso può essere così riassunta. G.F. avendo ricevuto dalla casa di cura ricorrente, presso cui prestava servizio come addetto all’accettazione e al banco referti, una contestazione disciplinare relativa ad accessi ad Internet non autorizzati effettuati sul luogo di lavoro, ha chiesto il blocco e la cancellazione dei dati personali che lo riguardano relativi a tali accessi, ai sensi dell’articolo 7 Codice. La s.p.a. M. li aveva documentati producendo numerose pagine - allegate alla contestazione disciplinare - recanti, in particolare, informazioni relative ai “file” temporanei e ai “cookie” originati, sul computer utilizzato dal ricorrente, dalla navigazione in rete avvenuta durante sessioni di lavoro avviate con la password del ricorrente medesimo. Non avendo ricevuto riscontro, il ricorrente ha presentato ricorso al Garante ai sensi degli articolo 145 e s. del Codice, ritenendo illecito il trattamento. Il ricorrente ha sostenuto che tra i dati in questione comparivano anche alcune informazioni di carattere sensibile idonee a rivelare, in particolare, convinzioni religiose, opinioni sindacali, nonché gusti e tendenze sessuali posto che numerosi file fanno riferimento a siti Internet a contenuto pornografico. La resistente avrebbe trattato tali dati senza alcun consenso e senza informare preventivamente circa la possibilità di effettuare controlli sui terminali d’ufficio né l’interessato, né il “sindacato interno all’azienda , in aperto spregio all’articolo 4 dello Statuto dei lavoratori che prevede che tale attività può avvenire solo previo consenso del sindacato o dell’ispettorato del lavoro”. 2.1. - Con il provvedimento impugnato dinanzi al Tribunale il Garante ha osservato quanto segue «Considerato il collegamento diretto ed univoco che la società ha rappresentato ai fini della contestazione disciplinare, del licenziamento per giusta causa e della querela sporta tra la persona del ricorrente e i dati desunti sia dai file temporanei, sia dai cookie prodotti in giudizio, il ricorrente stesso assume la qualità di “interessato” articolo 4, camma 1, lett. a , del Codice, secondo cui è tale “la persona fisica cui si riferiscono dati personali” ed è, pertanto, legittimato ad esercitare i diritti di cui all’articolo 7 del Codice e a presentare ricorso al Garante. Per ciò che concerne il merito va rilevato che la società, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, ha esperito dettagliati accertamenti in assenza di una previa informativa all’interessato relativa al trattamento dei dati personali, nonché in difformità dall’articolo 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite. Dalla documentazione in atti si evince che la raccolta da parte del datore di lavoro dei dati relativi alle navigazioni in Internet è avvenuta mediante accesso al terminale in uso all’interessato con copia della cartella relativa a tutte le operazioni poste in essere su tale computer durante le sessioni di lavoro avviate con la sua password, come si desume dalla stringa riportata in apice all’elenco dei file prodotti dalla resistente “c copiaDocuments and settingsx-y” , anziché mediante accesso a file di backup della cui esistenza il personale della società è informato mediante il “manuale della qualità” accessibile agli stessi sul proprio terminale. A parte la circostanza che l’interessato non era stato, quindi, informato previamente dell’eventualità di tali controlli e del tipo di trattamento che sarebbe stato effettuato, va rilevato sotto altro profilo che non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La resistente avrebbe potuto quindi dimostrare l’illiceità del suo comportamento in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli aspetti specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando - in modo peraltro non trasparente - un trattamento di dati eccedente rispetto alle finalità perseguite. La raccolta di tali informazioni ha comportato, altresì, il trattamento di alcuni dati sensibili idonei a rivelare convinzioni religiose, opinioni sindacali, nonché gusti attinenti alla vita sessuale ciò, stante l’elevato numero di informazioni valutate in rapporto ad un lungo arco di tempo, gli specifici contenuti risultanti da alcuni indirizzi web e il contesto unitario in cui il complesso di tali dati è stato valutato , rispetto ai quali la disciplina in materia di dati personali pone peculiari garanzie che non sono state integralmente rispettate nel caso di specie articolo 26 del Codice aut. genumero del Garante numero 1/2004 . Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti nell’ambito di controlli informatici volti a verificare l’esistenza di un comportamento illecito che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento , le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” articolo 26, comma 4, lett. c , del Codice autorizzazione numero 1/2004 del Garante . Tale indispensabilità, anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie. Inoltre, riguardando anche dati “idonei a rivelare lo stato di salute e la vita sessuale”, il trattamento era lecito solo per far valere o difendere in giudizio un diritto di rango pari a quello dell’interessato ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. Anche tale circostanza non ricorre nel caso di specie, nel quale sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro cfr. articolo 26, comma 4, lett. c , del Codice punto 3, lett. d , della citata autorizzazione cfr. Provv. Garante 9 luglio 2003 . Alla luce delle considerazioni sopra esposte e considerato l’articolo 11, comma 2, del Codice secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, l’Autorità dispone quindi, ai sensi dell’articolo 150, comma 2, del Codice, quale misura a tutela dei diritti dell’interessato, il divieto per la società resistente di trattare ulteriormente i dati personali raccolti nei modi contestati con il ricorso». 2.2. - Il Tribunale, nel rigettare il ricorso della s.p.a. M. ha condiviso le argomentazioni del Garante e, in particolare, ha disatteso l’eccezione di difetto di legittimazione del G., ha ritenuto dati “sensibili” quelli trattati dalla ricorrente e ha accertato, inoltre, che il trattamento era avvenuto senza consenso dell’interessato, fuori dalle ipotesi di cui all’ articolo 24 del Codice e in modo eccedente. 3.1. - Con il primo motivo di ricorso la ricorrente denuncia violazione e falsa applicazione degli articolo 4, 141 e 145 d.lgs. numero 169/2003, 12 disp. prel. c.comma nonché vizio di motivazione. Deduce che la nozione di interessato ai sensi degli articolo 4 e 141 d.lgs. numero 196/2003, alla luce dell’articolo 12 delle preleggi, non può essere interpretata nel senso di conferire legittimazione attiva ai fini del ricorso ex articolo 145 d.lgs. cit., anche al soggetto che abbia negato ogni relazione tra sé ed i dati medesimi. 3.2. - Con il secondo motivo la ricorrente denuncia violazione e falsa applicazione degli articolo 4 comma 1 lett. c d.lgs. numero 196/2003, 12 e 14 disp. prel. c.comma nonché vizio di motivazione. Deduce che, ai sensi dell’articolo 4 comma 1 lett. c d.lgs. numero 196/2003 nonché degli articolo 12 e 14 disp. prel. c.c., la visitazione di differenti siti web ricollegabili a diverse associazioni sindacali non costituisce un dato idoneo a rivelare le opinioni sindacali dell’utente Internet, così come la visitazione di molteplici siti web riconducibili ad organizzazioni di carattere religioso non costituisce un dato idoneo a rivelare le convinzioni religiose dell’utente Internet. Né, infine, la visitazione di molteplici siti web a contenuto pornografico integra un dato attinente alla “vita sessuale” dell’utente Internet. 3.3. - Con il terzo motivo la ricorrente denuncia violazione e falsa applicazione degli articolo 13 comma 5 lett. a , 24 comma 1 lett. a , b e g , 26 comma 4, lett. b c e d e 40 del d.lgs. numero 196/2003 violazione e falsa applicazione degli articolo 1, 2 e 5 della 1. numero 604/1966, come modificata dalla legge 108/90 nonché degli articolo 7 e 18 della legge numero 300/70 statuto dei lavoratori nonché delle disposizioni articolo da 38 a 41 del CCFNL per il personale dipendente delle strutture sanitarie associate AIOP, ARIS e FDG parte normativa 2002-2005, biennio economico 2002-2003 , che disciplina il rapporto, in ordine ai procedimenti disciplinari violazione e falsa applicazione dell’articolo 112 c.p.c. violazione e falsa applicazione dell’autorizzazione generale del Garante per la protezione dei dati personali numero 1 del 2004 al trattamento dei dati sensibili nei rapporti di lavoro, sub 3, lett. A nonché vizio di motivazione. Lamenta che la sentenza impugnata abbia omesso di motivare in relazione alla circostanza che il provvedimento autorizzatorio numero 1 del 2004 del Garante per la protezione dei dati personali al trattamento dei dati sensibili nei rapporti di lavoro fosse riferibile all’odierna ricorrente e ne legittimasse il comportamento nonché sulla circostanza che l’attività gestita da L.M. S.p.A. fosse destinataria del regime speciale disposto dall’articolo 34, comma 4, lett. b , in virtù del fatto di essere soggetto accreditato presso il servizio sanitario regionale della Sicilia. Deduce che - ai sensi degli articolo 13, comma 5, lett. a , 24, comma 1, lett. a , b e g , 26, comma 4, lett. b , e e d , e 40 del D.lgs. numero 196/2003 degli articolo 1, 2 e 5 della l. numero 604/1966, come modificata dalla legge 108/90, nonché degli articolo 7 e 18 della legge numero 300/70 Statuto dei lavoratori , nonché delle disposizioni articolo da 38 a 41 del CCNL per il personale dipendente delle strutture sanitarie associate aiop, aris e fdg parte normativa 2002-2005, biennio economico 2002-2003 e dell’Autorizzazione Generale del Garante per la Protezione dei Dati Personali numero 1 del 2004 al trattamento dei dati sensibili nei rapporti di lavoro - il rispetto degli obblighi imposti al datore di lavoro per procedere alla legittima risoluzione del rapporto esclude la necessità della previa acquisizione del consenso dell’interessato”. La ricorrente, inoltre, deduce che la sentenza impugnata è viziata – ex articolo 112 c.p.comma - nella parte in cui ha omesso di pronunciarsi sull’idoneità degli obblighi imposti dalla legge e dal CCNL per il licenziamento disciplinare, a sollevare il datore di lavoro dall’obbligo di previa acquisizione del consenso al trattamento di dati riferibili all’interessato-prestatore di lavoro. Deduce, ancora, la violazione dell’articolo 40 del d.lgs. numero 196 del 2003 perché il tribunale ha qualificato come trattamento illecito di dati una condotta che, ai sensi dell’autorizzazione generale, costituisce trattamento lecito. Deduce, infine, l’erroneità della sentenza nella parte in cui non proporziona il giudizio sulla congruenza, proporzionalità e non eccedenza del trattamento alle finalità che, con esso, il titolare ha voluto ed aveva l’obbligo di perseguire. 3.4. - Con il quarto motivo la ricorrente denuncia violazione e falsa applicazione dell’articolo 112 c.p.c. articolo 360 numero 3 nullità della sentenza ex articolo 156 c.p.comma articolo 360, numero 4 c.p.c. . Deduce che l’articolo 112 c.p.comma impone che la sentenza contenga, anche in dispositivo, le conclusioni circa l’accoglimento o il rigetto, già espressamente contenute nella motivazione, in relazione a ciascuna delle domande proposte nel giudizio dalla stessa definito e lamenta la nullità della sentenza perché non contiene, in dispositivo, alcuna menzione del rigetto della domanda di danni formulata dal G. 4.1. - Ai sensi dell’articolo 4 lett. i d.lgs. numero 169/2003 è “interessato”, la persona fisica cui si riferiscono dati personali oggetto di un determinato trattamento. Avendo il G. ricevuto dalla casa di cura ricorrente una contestazione disciplinare relativa ad accessi ad Internet non autorizzati effettuati sul luogo di lavoro, egli era certamente legittimato, ai sensi dell’articolo 7 Codice, a chiedere il blocco e la cancellazione dei dati personali che gli venivano imputati. Il tribunale, dunque, ha correttamente applicato principi espressi dalla giurisprudenza di questa Corte secondo la quale «ai fini del trattamento dei dati personali, come disciplinato dalla legge 31 dicembre 1996, numero 675 e quindi dal d.lgs. 30 giugno 2003, numero 196 , e dell’esperibilità della tutela predisposta dagli articolo 1 e seguenti, perchè una persona assuma la qualità di “interessato” è necessario che i dati di cui si controverta riguardino la persona giuridica o l’ente o l’associazione che si dolga proprio del loro trattamento, non essendo richiesto che i dati appartengano, con certezza, alla persona che si duole delle operazioni compiute su di essi, atteso che quel che rileva è la loro attribuzione o la loro esclusione rispetto a colui che, al riguardo, accampi un diritto alla titolarità ovvero all’estraneità dei dati . Pertanto, anche l’inesatto trattamento dei dati consente di invocare, presso la competente autorità di garanzia la tutela apprestata dalla legge, il cui disegno è funzionale alla difesa della persona e dei suoi fondamentali diritti e tende ad impedire che l’uso, astrattamente legittimo, del dato personale avvenga con modalità tali da renderle lesivo di quei diritti qualora, perciò, si contesti l’attribuzione alla propria persona di determinate immagini, non ci si spoglia, per ciò stesso, della qualità di “interessato”, perché prorio il fatto che il soggetto intenda escludere l’attribuzione a sé di quei dati iconici comporta che egli abbia assunto, a ragione, quella qualificazione e, in forza di essa, possa chiedere nella specie, al Garante e quindi al Tribunale l’adozione di provvedimenti Sez. 1, Sentenza numero 14390 del 08/07/2005 . Talché il primo motivo è infondato. 4.2. - Il D.Lgs. numero 196/2003 definisce all’articolo 4, comma 1, lett. d i «dati sensibili» come quei «dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale». In dottrina, in proposito, si è rilevato che la consapevolezza dei rischi insiti in un atteggiamento improntato ad un’eccessiva restrizione delle ipotesi in cui la tutela rafforzata debba essere riconosciuta, è ben chiara nella mente del legislatore, che ha adottato, sin dal 1996, una definizione di dato sensibile più ampia rispetto a quella comunitaria, posto che, diversamente dall’articolo 8 della Direttiva 95/46/CE, l’articolo 4 comma 1 lett. d del codice così come il precedente articolo 22, comma 1 utilizza la formula “dato idoneo a rivelare”, piuttosto che quella di “dato che rivela”, estendendosi l’attributo della sensibilità anche a quelle informazioni che, seppur di per sé neutre, possano sulla scorta di un procedimento logico condurre a rivelare dati peculiari, in relazione al particolare contesto in cui avviene il trattamento. Allo stesso fine è stato valorizzato il riferimento alle “convinzioni di altro genere”, contenuto nella norma interna ma assente in quella europea, ritenendosi che con esso si è inteso costituire una clausola di chiusura per qualsiasi informazione che identifichi un credo, una convinzione o un’opinione personale. Credo, convinzione o opinione personale indubbiamente desumibili anche dai dati relativi all’accesso a siti web ricollegabili a diverse associazioni sindacali ovvero riconducibili ad organizzazioni di carattere religioso da parte dell’utente Internet. Invero, già da tempo il competente gruppo di lavoro della Commissione Europea - dopo avere ribadito che «un principio fondamentale in materia di protezione dei dati vedi articoli 6 1 c e 7 della direttiva 95/46/CE è che i dati personali raccolti in qualsiasi situazione debbano limitarsi a quanto è strettamente necessario e attinente alla finalità in questione» e che «ogni tipo d’informazione personale costituisce una minaccia potenziale alla riservatezza di una persona ed è quindi necessario fare in modo che, quando tali informazioni vengono raccolte, ciò avvenga per una finalità legittima e che la quantità d’informazioni raccolte sia limitata al minimo indispensabile» - ha evidenziato che rischi alla riservatezza personale risiedono non solo nell’esistenza di grandi quantitativi di dati personali su Internet, ma anche nello sviluppo del software capace di esplorare la rete e mettere assieme tutti i dati disponibili relativi a una determinata persona, essendo possibile «compilare una biografia dettagliata di una persona», « utilizzando tale software e sfruttando le informazioni provenienti da tutti i gruppi di discussione a cui la persona ha partecipato» Commissione Europea, Raccomandazione 3/97, Anonimato su Internet, 3 dicembre 1997 . Quanto al profilo della censura relativo alla vita sessuale, va evidenziato che “pornografia” è la «trattazione o rappresentazione attraverso scritti, disegni, fotografie, film, spettacoli, ecc. di soggetti o immagini ritenuti osceni, fatta con lo scopo di stimolare eroticamente il lettore o lo spettatore» e l’erotismo e «l’insieme delle manifestazioni dell’istinto sessuale sia sul piano psicologico e affettivo sia su quello comportamentale» . Secondo le sezioni penali di questa Corte «la pornografia è compresa nel più ampio concetto di oscenità, e si identifica con “la descrizione o illustrazione di soggetti erotici, mediante scritti, disegni, discorsi, fotografie, ecc., che siano idonei a far venir meno il senso della continenza sessuale e offendano il pudore per la loro manifesta licenziosità”» Cass. Sez. 3°, numero 1197 del 6.11.1970, Bianco, mass. 116647 . In sessuologia si afferma che nell’uomo la sessualità appare strettamente legata a fattori di ordine psicologico, culturale e sociale che in ogni individuo prevalgono sui fattori biologici, costituendo la base della cosiddetta vita sessuale o comportamento sessuale, teso non solo alla finalità riproduttiva ma anche alla ricerca del piacere. Questa Corte in sede penale ha già avuto modo di precisare che la circostanza che oggetto di tutela da parte del d.lgs. numero 196/2003 «non siano solo i gusti sessuali di un individuo astrattamente e genericamente considerati , ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare, è chiaramente evincibile dalla stessa lettera del citato articolo 4, laddove comma 1, lett. d definisce i dati sensibili con riferimento ai dati personali idonei a rivelare lo stato di salute e la vita sessuale non semplicemente le tendenze o le aspirazioni in tale campo » Sez. 5 penale, Sentenza numero 44940 del 2011 . Pertanto, è indubbio che sono dati personali idonei a rilevare la vita sessuale - «da intendersi come complesso delle modalità di soddisfacimento degli aspetti sessuali di una persona» Sez. 5 penale, Sentenza numero 46454 del 2008 - quelli relativi alla “navigazione” in internet con accesso a siti pornografici. Il secondo motivo, dunque, è infondato. 4.3. - Quanto alle numerose censure compendiate nel terzo motivo va evidenziato che ai sensi dell’articolo 11 d.lgs. numero 196/2003, i dati oggetto del trattamento devono - tra l’altro - essere «pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati» e la stessa autorizzazione numero 1 del 2004 del Garante, invocata a più riprese dalla ricorrente, precisa al § 5 che «fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità». Ciò posto, va rilevato che con congrua e logica motivazione, anche mediante illustrazione dei corretti metodi di ricerca e neutralizzazione di virus informatici, il Tribunale ha accertato in fatto che il trattamento dei dati sensibili era avvenuto in modo eccedente rispetto alla finalità del medesimo. In particolare, sempre con accertamento in fatto incensurabile in questa sede, il tribunale ha condiviso le argomentazioni del Garante secondo cui la ricorrente avrebbe potuto dimostrare l’illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro, limitandosi a provare in altra modo l’esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. Essa, per contro, ha operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici “contenuti” degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando - in modo peraltro non trasparente un trattamento di dati eccedente rispetto alle finalità perseguite, tenuto conto che, sebbene i dati personali siano stati raccolti nell’ambito di controlli informatici volti a verificare l’esistenza di un comportamento illecito, le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia “indispensabile” e tale indispensabilità, non ricorre nel caso di specie. Infine, pure con accertamento in fatto adeguatamente giustificato, il giudice del merito ha accertato che la “scoperta” del virus informatico è stata la “conseguenza” del controllo operato sul computer e non la ragione del controllo. Per converso, le censure di cui al terzo motivo sono del tutto aspecifiche e generiche rispetto alla menzionata ratio decidendi, sì che il motivo è inammissibile. 4.4.- E’ del pari inammissibile, infine, il quarto motivo per evidente carenza di interesse in quanto lamenta l’omessa pronuncia su domanda non accolta formulata dalla controparte. Il ricorso, pertanto, deve essere rigettato. Le spese del giudizio di legittimità - liquidate in dispositivo - seguono la soccombenza. P.Q.M. La Corte rigetta il ricorso e condanna il ricorrente al pagamento delle spese del giudizio di legittimità, liquidate in euro 5.000,00 per ciascuna parte resistente oltre le spese prenotate a debito per l’Avvocatura e, quanto G., oltre euro 200,00 per esborsi nonché gli accessori di legge.