Dati privati del dipendente come prova in giudizio: quando è lecito

Dati privati del dipendente come prova in giudizio: quando è lecito

  • 14 Luglio 2026
  • Pubblicazioni
La Corte di Giustizia dell’Unione Europea, nella Sentenza 18 giugno 2026 C-484/24, affronta il tema del trattamento dei dati personali nell’ambito dell’attività giurisdizionale, con particolare riferimento all’utilizzabilità in giudizio di prove contenenti dati acquisiti in violazione del GDPR (Reg. UE 679/2016). La Corte è chiamata a chiarire il rapporto tra la disciplina del GDPR e le esigenze di amministrazione della giustizia, chiarendo come non vi sia un generale divieto di utilizzo in giudizio di dati ottenuti in modo illecito ma che questi possono essere presi in considerazione dal giudice solo qualora il loro trattamento sia necessario per garantire il diritto a un equo processo, nel rispetto del principio di minimizzazione e dei requisiti di necessità e proporzionalità, limitandosi ai dati strettamente funzionali alla decisione. Il procedimento trae origine da una controversia di lavoro tra una società tedesca e una sua ex dipendente, relativa alla presunta vendita non autorizzata, mediante una piattaforma online, di beni appartenenti al datore di lavoro. Dopo la cessazione del rapporto, la società aveva scoperto tali operazioni accedendo all’account personale della dipendente, utilizzando credenziali ottenute attraverso modalità contestate e potenzialmente illecite quali l’analisi della cronologia del computer aziendale o l’accesso a dispositivi e dati privati. La dipendente negava le accuse, sostenendo che i beni fossero stati ceduti gratuitamente e contestando la legittimità delle modalità con cui il datore era entrato in possesso dei dati utilizzati come prova. Il giudice nazionale, investito della controversia, evidenziava che tali dati costituivano un trattamento di dati personali ai sensi del GDPR e che la loro acquisizione poteva essere avvenuta in violazione della normativa sulla protezione dei dati. In questo contesto, il giudice del rinvio tedesco sollevava dubbi circa la possibilità di utilizzare in giudizio dati personali raccolti illecitamente, nonché sulla corretta individuazione della base giuridica del trattamento effettuato dall’autorità giudiziaria e sui criteri da applicare per valutarne la liceità. In particolare, chiedeva alla Corte di chiarire se e a quali condizioni un giudice possa tener conto di tali elementi probatori e come debbano essere bilanciati il diritto alla protezione dei dati personali e il diritto a un equo processo. La Corte di Giustizia dell’Unione Europea afferma, in via preliminare, che anche l’attività giurisdizionale rientra nell’ambito di applicazione della disciplina europea sulla protezione dei dati, con la conseguenza che il trattamento dei dati personali effettuato dal giudice nel corso del processo deve rispettarne i principi e le condizioni di liceità. Con riguardo alla questione centrale dell’utilizzabilità di dati acquisiti illecitamente, la Corte esclude l’esistenza, nel diritto dell’Unione, di un divieto generale e automatico di impiego in giudizio di tali dati. Essa riconosce che l’utilizzo di prove contenenti dati personali, anche se raccolti in violazione della normativa sulla protezione dei dati, può risultare necessario per garantire l’effettività della tutela giurisdizionale e il diritto a un equo processo. Tuttavia, la liceità del trattamento successivo non è incondizionata, ma deve essere valutata alla luce dei principi fondamentali del GDPR, in particolare del principio di minimizzazione dei dati. Ne consegue che il giudice è tenuto a verificare che i dati utilizzati siano adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità processuali perseguite. In tale prospettiva, egli deve altresì adottare, ove possibile, misure idonee a ridurre l’impatto sui diritti degli interessati, quali l’anonimizzazione o la limitazione della diffusione dei dati. La Corte chiarisce inoltre che la mera necessità di utilizzare i dati in giudizio non costituisce di per sé una giustificazione autonoma del trattamento. Il fatto che i dati siano rilevanti ai fini dell’accertamento o della difesa di un diritto comporta soltanto che non ne possa essere automaticamente richiesta la cancellazione, ma non esonera dall’onere di verificare che il loro utilizzo sia comunque fondato su un titolo giuridico adeguato. In altri termini, l’esigenza processuale può impedire la rimozione dei dati, ma non sostituisce il requisito generale della liceità del trattamento, che deve essere accertato autonomamente. Infine, viene ribadito che il giudice, nell’esercizio delle sue funzioni, è tenuto a garantire il rispetto della normativa europea anche con riferimento ai dati personali relativi a soggetti terzi. Ciononostante, il diritto dell’Unione non impone che le parti del procedimento possano far valere violazioni della disciplina in materia di protezione dei dati commesse nei confronti di tali terzi, trattandosi di profili rimessi all’autonomia processuale degli Stati membri. Nel complesso, la decisione evidenzia il necessario bilanciamento tra il diritto alla protezione dei dati personali e le esigenze della funzione giurisdizionale, riconoscendo la prevalenza di queste ultime nei limiti in cui il trattamento risulti strettamente necessario e proporzionato rispetto alla finalità di accertamento dei fatti e di decisione della controversia.

Fonte: QUOTIDIANO PIU' - GFL