la Cassazione conferma la linea rigorosa del Garante.
Di Michele Mavino
Con la sentenza n. 15626 del 21 maggio 2026, la Corte di Cassazione affronta la questione del trattamento e della diffusione dei dati personali di un dipendente nell’ambito di attività istruttorie finalizzate ad accertare eventuali condotte disciplinarmente rilevanti.
La vicenda trae origine da un’iniziativa del Comune di Falconara Marittima. A seguito della ricezione di una lettera anonima contenente giudizi negativi nei confronti di un appartenente alla Polizia Locale, il Comandante aveva trasmesso tale documento agli operatori del Corpo, allegando anche un questionario volto a raccogliere opinioni e valutazioni sul contenuto delle accuse formulate. Il Garante per la protezione dei dati personali aveva ritenuto illecito il trattamento dei dati personali così effettuato, contestando la violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati previsti dal GDPR e irrogando una sanzione amministrativa di 10.000 euro.
La pronuncia è interessante perché la Cassazione non mette in discussione un principio che, soprattutto nella gestione del personale pubblico, appare difficilmente contestabile, e cioè che il datore di lavoro può svolgere attività istruttorie preliminari prima dell’avvio di un procedimento disciplinare. Anzi, la Corte riconosce espressamente che il trattamento dei dati personali nella fase prodromica all’azione disciplinare può essere legittimo e che gli addebiti disciplinari devono necessariamente essere preceduti da un’attività di accertamento sufficientemente specifica.
Il punto centrale della decisione, tuttavia, non riguarda la legittimità dell’indagine in sé, bensì le modalità concrete con cui essa è stata condotta.
La Corte evidenzia infatti che, anche quando esiste una base giuridica che consente il trattamento dei dati personali, rimane fermo l’obbligo di rispettare i principi fondamentali del GDPR, tra i quali assume un ruolo centrale il principio di minimizzazione. Tale principio impone che i dati personali trattati siano adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità perseguite. Non è quindi sufficiente che il trattamento sia astrattamente consentito: occorre anche che le modalità operative risultino proporzionate e non eccedenti rispetto allo scopo perseguito.
Ed è proprio sotto questo profilo che la condotta dell’amministrazione viene censurata. Secondo la Cassazione, trasmettere a tutto il personale del Corpo una lettera anonima contenente valutazioni negative riferite a un collega e chiedere successivamente agli operatori di esprimere il proprio grado di condivisione di tali giudizi non rappresenta uno strumento adeguato per accertare fatti specifici suscettibili di rilievo disciplinare. Una simile modalità operativa rischia piuttosto di trasformarsi in una sorta di sondaggio interno sulla persona del dipendente interessato, con evidente sacrificio della sua riservatezza.
Interessane è anche il passaggio in cui la Corte respinge l’argomentazione difensiva del Comune secondo cui la lettera era già conosciuta informalmente all’interno del Corpo. I giudici osservano che la diffusione di un documento tramite una comunicazione ufficiale dell’amministrazione attribuisce a quel contenuto una valenza completamente diversa rispetto alla semplice circolazione informale di voci o informazioni tra colleghi. L’inserimento della lettera in un procedimento formalizzato dall’ente costituisce infatti un ulteriore trattamento di dati personali che deve essere autonomamente valutato alla luce delle regole del GDPR.
La sentenza offre inoltre uno spunto molto utile per gli enti locali sotto il profilo organizzativo. La Cassazione ribadisce infatti che il concetto di “dato personale” deve essere interpretato in senso ampio. Non rileva soltanto il nome del dipendente coinvolto, ma anche tutte le informazioni che consentono di formulare giudizi, valutazioni o ricostruzioni della sua condotta lavorativa. Ne consegue che anche documenti apparentemente innocui possono assumere una rilevanza significativa sotto il profilo della protezione dei dati quando vengono diffusi all’interno dell’organizzazione.
