1.- Preliminarmente in rito.

Sulla ammissibilità del ricorso incidentale adesivo proposto dal Garante, si osserva che con ordinanza interlocutoria del 14 settembre 2023 questa Corte ha preso atto che esso è tardivo, ma che si tratta di una impugnazione adesiva, e che -sia pure con riferimento a processi di natura diversa- la questione della ammissibilità di siffatti ricorsi era stata rimessa alle sezioni unite, la cui decisione poteva quindi avere incidenza sul presente procedimento. Di conseguenza la causa è stata rinviata nuovo ruolo.

Le sezioni unite di questa Corte si sono pronunziate con sentenza n. 8486/2024, in continuità con il precedente orientamento dato dalla sentenza a sezioni unite n. 24627/2007 ed in difformità rispetto al più restrittivo orientamento dato dalla sentenza, sempre a sezioni unite, n. 23903 del 29/10/2020, affermando che l’impugnazione incidentale tardiva è ammissibile anche quando riveste le forme dell’impugnazione adesiva rivolta contro la parte destinataria dell’impugnazione principale, in ragione del fatto che l’interesse alla sua proposizione può sorgere dall’impugnazione principale o da un’impugnazione incidentale tardiva.

1.2.- I dirigenti della società deducono che questo principio, in quanto relativo alla posizione dei coobbligati solidali, non troverebbe applicazione nel caso di specie, posto che il Garante non è obbligato in solido con il soggetto sanzionato e pertanto la impugnazione del Garante sarebbe inammissibile, con conseguente passaggio in giudicato della sentenza, così come resa inter partes, trattandosi di cause scindibili in un contenzioso di tipo litisconsortile facoltativo.

L’argomentazione non convince, poiché non tiene conto né della effettiva questione dubbia come delimitata della precedente ordinanza interlocutoria – e cioè se la impugnazione incidentale adesiva tardiva possa essere esperita soltanto dalla parte “contro” la quale è stata proposta l’impugnazione principale, o da quella chiamata ad integrare il contraddittorio a norma dell’art. 331 cod. proc. civ., ovvero anche quando rivesta le forme dell’impugnazione adesiva rivolta contro la parte investita dell’impugnazione principale, in ragione del fatto che l’interesse alla sua proposizione sorge dall’impugnazione principale- né della natura peculiare del giudizio di opposizione ai provvedimenti del Garante e della legittimazione di quest’ultimo ad intervenirvi.

2.- Il Garante per la protezione dei dati personali, i cui compiti sono definiti dal Regolamento (UE) 2016/679 (GD.P.R.) e dal Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196 cd. codice della privacy), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il D.Lgs. 10 agosto 2018, n. 101, è un organo amministrativo competente all’emanazione di provvedimenti di natura preventiva, inibitoria o conformativa, che può sospendere, modificare o far cessare il trattamento illegittimo dei dati, nonché irrogare sanzioni; esso esercita le sue funzioni modo “imparziale ed equo” (considerando 129 e art. 52 del d GDPR) ma non è tuttavia in posizione di terzietà (Cass. n. 13151 del 25/05/2017). La sua partecipazione al giudizio è prevista dall’art. 10 del D.Lgs. n. 150/2011 come modificato dall’art. 17 del D.Lgs. 101/2018, il quale dispone che il ricorso in opposizione sia notificato anche al Garante, accordandogli la facoltà di presentare osservazioni, con riferimento ai profili relativi alla protezione dei dati personali, anche quando non sia parte in giudizio.

Nella vigenza del codice della privacy, prima della entrata in vigore del GDPR, si è consolidata nella giurisprudenza di questa Corte l’affermazione che il Garante partecipa al giudizio per far valere il medesimo interesse pubblico specifico che la legge ha affidato a detta Autorità predisponendo, dinanzi ad essa, un procedimento che, per quanto strutturalmente caratterizzato dal contraddittorio dei soggetti coinvolti (il titolare, il responsabile e l’interessato) e funzionalmente proteso alla tutela dei diritti della persona, si connota come amministrativo e non pone il Garante in una posizione di terzietà assimilabile a quella del giudice nel processo (Cass. n. 7341 del 20/05/2002; Cass. n. 11864 del 25/06/2004). Questo principio può essere confermato anche nell’attuale quadro normativo, che attribuisce al Garante, tra gli altri, il compito di sorvegliare ed assicurare l’applicazione della normativa vigente in tema di trattamento dei dati personali (art. 57 GDPR) e di assicurare, anche d’ufficio, la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al regolamento UE e al codice protezione dei dati personali (art. 154 del D.Lgs. 196/2003).

L’attribuzione di poteri ufficiosi rende evidente che il Garante rappresenta interessi pubblici e -di conseguenza- ad esso è attribuita anche la legittimazione ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali, ai sensi dell’art. 154 ter del D.Lgs. 196/2003. Peraltro, che il Garante assuma la qualità di parte innanzi al giudice è previsto anche dall’art. 78 del GDPR, il quale traccia le linee del ricorso giurisdizionale, al quale ogni persona fisica o giuridica ha sempre diritto, come un ricorso “avverso” la decisione – o l’inerzia- della autorità di controllo, ma anche specificando che il ricorso si propone “nei confronti” della autorità di controllo e nello Stato ove questa autorità è stabilita.

2.1.- Nella regolamentazione del trattamento dei dati personali si intrecciano interessi pubblici e privati, venendo in rilievo non solo i diritti fondamentali della persona ma anche l’esigenza che la comunità in cui viviamo, altamente tecnologica e fondata anche sullo scambio dei dati personali tra attori pubblici e privati, persone fisiche, associazioni e imprese, mantenga la sua connotazione di spazio di libertà, sicurezza e giustizia. Ed infatti nel considerando 6 del GDPR si osserva che la tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.

In questo contesto, la legittimazione processuale del Garante non si riconnette ai diritti disponibili delle parti private, quale quello di opporsi ad una sanzione comminata ai sensi dell’art. 58 del GDPR(in questo caso dal Tribunale, in esito al giudizio di opposizione al provvedimento del Garante), ma ai pubblici interessi che vengono in rilievo nella fattispecie.

2.2.- Il caso di specie è certamente diverso da quello del coobbligato solidale cui fa riferimento parte controricorrente, ma nondimeno si può applicare, in termini generali, il principio affermato dalle sezioni unite con la sentenza n. 8486/2024, attes che si tratta di ricorso incidentale adesivo, proposto da soggetto diverso della parte destinataria dell’impugnazione principale e rivolto contro quest’ultima.

Il Garante è immune dalle conseguenze patrimoniali negative della irrogazione di una sanzione, ma interviene a tutela di interessi pubblici, se ed in quanto siano messi in gioco dalla iniziativa processuale del privato; di conseguenza per valutare la ammissibilità della sua impugnazione tardiva, dal momento che è adesiva, si deve verificare se sussista un interesse proprio del Garante e se esso possa reputarsi sorto per effetto dell’impugnazione principale. Sul punto deve rilevarsi che il ricorso di A.A., come appresso meglio si vedrà, si fonda essenzialmente sull’affermazione che il suo comportamento è legittimo e non ha in alcun modo violato la normativa vigente in tema di trattamento dei dati personali. La impugnazione, se accolta, comporterebbe una modifica dell’assetto delle situazioni giuridiche come disegnate dalla sentenza del Tribunale, non solo in ordine alla questione se la ricorrente debba pagare o meno una sanzione, ma in primo luogo sul presupposto di tale sanzione e cioè se ella abbia fatto o meno illecito trattamento di dati personali. La parte obbligata alla sanzione mette in discussione la lettura della normativa sul trattamento dati personali data dalla sentenza del Tribunale e quindi sorge, inevitabilmente, l’interesse del Garante ad interloquire sul punto, anche con proprie ragioni di censura, posto che la sua funzione -come sopra si diceva- è anche quella di assicurare la corretta applicazione della normativa vigente in materia.

Il ricorso proposto dalla Avvocatura di Stato nell’interesse del Garante è quindi da ritenersi ammissibile.

2.3.- Quanto al controricorso depositato dai dirigenti della società Veritas per rispondere al ricorso incidentale adesivo del Garante, deve osservarsi che la notifica si perfeziona nel momento in cui viene generata la ricevuta di avvenuta consegna e che, dopo la segnalazione dell’errore che impediva la elaborazione da parte del sistema del controricorso depositato, la parte ha provveduto a nuovo deposito andato a buon fine unitamente alla istanza di restituzione in termini, già positivamente valutata nella ordinanza interlocutoria del 14 settembre 2023 che ha considerato i dirigenti della società resistenti ad entrambi i ricorsi.

Il contraddittorio pertanto deve ritenersi validamente instaurato anche sul ricorso della Avvocatura dello Stato.

3.- Nel merito, con il primo motivo del ricorso la parte ricorrente lamenta ai sensi dell’art 360 n. 3 c.p.c. la violazione dell’art art 2 del Reg. UE 679/2016 (GD.P.R.).

La ricorrente rileva in primo luogo che nel processo penale contro G.G., A.A. e F.F. ai sensi dell’articolo 615 bis e seguenti il GIP ha escluso la sussistenza di qualunque nocumento all’azienda. Osserva che A.A. e F.F. non hanno mai divulgato la suddetta registrazione al di fuori della cause civili che li riguardavano; invoca l’applicazione dell’art. 5 del D.Lgs. 196/2003 rilevando che sotto la vigenza di tale normativa e dunque sino al settembre 2018 si era formata una giurisprudenza uniforme secondo cui il soggetto che effettua il trattamento dei dati personali non è soggetto all’applicazione di queste disposizioni normative se non sono destinate alla comunicazione sistematica e alla diffusione trattandosi di attività a carattere esclusivamente personale; rileva che la disciplina generale in tema di trattamento dei dati personali subisce deroghe ed eccezioni laddove si tratti di far valere in giudizio la difesa di diritti di rango primario. Con l’analogo motivo del ricorso incidentale adesivo, l’Avvocatura dello Stato rileva che la riunione di lavoro durante la quale G.G. ha registrato la conversazione poi utilizzata in giudizio da F.F. e A.A. si è tenuta in data 25 novembre 2016 epoca in cui era vigente il D.Lgs. 196/2003 dal momento che il regolamento Europeo è diventato applicabile solo a far data da 25 maggio 2018. Si rileva che questa registrazione è legittima in quanto i dati non erano destinati a una comunicazione sistematica o alla diffusione poiché il carattere professionale che esclude il trattamento per fini personali deve riferirsi alla finalità del trattamento dati e non alle circostanze di luogo e di tempo in cui viene effettuato.

3.1.- Con il secondo motivo del ricorso si lamenta ai sensi dell’art 360 n. 3 c.p.c. la violazione degli artt. 5,6,9,21 regolamento UE (GD.P.R.) 679/2016 di diretta applicazione nello Stato e comunque recepito dal D.Lgs.101/2018 in particolare dall’art. 2 comma 1 lett. d”. La ricorrente osserva che il giudizio del Tribunale è erroneo perché la registrazione avvenuta in una conversazione tra presenti essa è legittima così come è legittima la consegna a terzi perché in questo caso si perseguiva un legittimo interesse a tutela di un diritto fondamentale dell’interessato e cioè la difesa giurisdizionale. Analogamente anche l’Avvocatura dello Stato nel secondo motivo del suo ricorso adesivo osserva che è costante l’orientamento della giurisprudenza di legittimità secondo cui l’utilizzo fini difensivi di registrazioni i colloqui fra dipendente e colleghi sul luogo del lavoro non necessita del consenso dei presenti.

3.2.- Con il terzo motivo del ricorso si lamenta ai sensi dell’art 360 n. 5 c.p.c. la falsa ed erronea interpretazione ed applicazione dell’ art 115 c.p.c. per aver omesso l’esame della integrale registrazione e trascrizione della conversazione intervenuta nella riunione del 25 novembre 2016 presso gli uffici della società Veritas ed in particolare le espressioni proferite dalla dott. B.B., nonché per omesso esame e valorizzazione dei documenti prodotti in primo grado dai dipendenti della società. La ricorrente lamenta che il giudice non abbia interamente ascoltato la registrazione contenuta nel supporto informatico e trascritta nella relazione a firma del consulente; da questa registrazione risulta che vi erano già alcune cause in corso tra la società e i dipendenti e cioè un contenzioso già in essere e che le misure organizzative erano correlate alla presenza di questo contenzioso. Deduce di aver dimostrato in giudizio e che di ciò non si è tenuto conto che al momento in cui si era tenuta la riunione esisteva già un contenzioso promosso sia da F.F. che da A.A. 3.3. – Con il quarto motivo del ricorso si lamenta la violazione dell’art. 360 co 1 n. 3 c.p.c. per falsa ed erronea applicazione dell’art. 91 e 97 co 1 c.p.c e del DM 37/2018 che ha modificato i precedenti decreti ministeriali in tema di parametri forensi per aver condannato in solido la A.A. rimasta contumace in primo grado e per aver statuito oltre i limiti dei parametri senza motivazione.

4.- I primi tre motivi sono fondati nei termini di cui appresso.

Il Tribunale ha ritenuto che la registrazione audio in questione, pacificamente eseguita da G.G. durante una riunione con i dirigenti della Veritas in data 25 novembre 2016, costituisca trattamento dati cui trova applicazione il regolamento UE 679/2016 escludendo che ricorra l’ipotesi prevista dall’art 2 lett. C) del GDPR secondo il quale il regolamento non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” in quanto ciò indicherebbe solo le attività attinenti alla sfera strettamente privata e familiare.

Ciò premesso il Tribunale ha ritenuto non rispettati i canoni di liceità del trattamento dei dati personali previsti dal GDPR, escludendo che nella specie si prospettassero delle esigenze di tutela poiché si trattava di una riunione di lavoro per la risoluzione di difficoltà organizzative interne all’azienda; il Tribunale ha rilevato che la registrazione fu effettuata da G.G. che non poteva vantare esigenze difensive o pre -difensive nei confronti della datrice di lavoro; fu ceduta da G.G. ad altri colleghi non presenti alla riunione tra cui A.A. i quali la produssero due anni dopo nelle rispettive cause di lavoro contro l’azienda. Secondo il Tribunale la condotta dei lavoratori è esterna al perimetro di liceità di cui al regolamento UE sia per quanto riguarda la mancanza di una propria esigenza difensiva sia con riferimento al “difetto della pertinenza sul piano temporale dei tempi di conservazione dei dati a quanto strettamente necessario alla difesa”.

5.- La sentenza, in larga parte affidata a affermazioni perplesse e di scarsa chiarezza, oltre che alla mera trascrizione di parti del ricorso dei dirigenti della società, rende una lettura erronea della normativa applicabile al caso di specie.

E’ assodato che la registrazione è avvenuta nel novembre 2016; meno chiaro quando esattamente sia avvenuta la utilizzazione in giudizio (secondo la sentenza impugnata a distanza di due anni, senza ulteriori specificazioni); pacifico comunque che è stata utilizzata da A.A. e F.F. in un contenzioso di lavoro, che essi deducono fosse già pendente alla data della riunione.

Alla data in cui è avvenuta la registrazione non era ancora in vigore il GDPR, vigente dal 25 maggio 2018, e il conseguente D.Lgs. n. 101/2018, entrato in vigore il 19 settembre 2018; registrazioni del tipo di quella eseguita da G.G. in data 25 novembre 2016 erano consentite, integrando la fattispecie di cui all’art. 24, lettera f) del D.Lgs. 196/2003, che escludeva l’esigenza del consenso dell’interessato, qualora le registrazioni venissero utilizzate al fine di “far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale”.

In termini, la giurisprudenza di questa Corte, la quale ha precisato che il diritto di difesa in giudizio consente, ai sensi dell’art. 24, lett.

f), del D.Lgs. n. 196 del 2003, di prescindere dal consenso della parte interessata, a condizione che i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario al suo perseguimento, e non è limitato alla pura e semplice sede processuale, ma si estende a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata (Cass. n. 33809 del 12/11/2021). Ciò che rileva pertanto non è come e da chi sia stata eseguita la registrazione, né se vi fossero esigenze difensive del suo autore materiale, ma per quali scopi sia stata utilizzate la conversazione registrata e le informazioni in essa contenute e segnatamente per quale finalità le abbia utilizzate la odierna ricorrente. E’ poi evidente che per poter utilizzare dei dati in giudizio è necessaria una preventiva attività di ricerca e raccolta degli stessi, la cui liceità si valuta, appunto, in ragione dell’uso fattone. In linea generale, la utilizzazione dei dati pur senza il consenso dell’interessato è ritenuta lecita quando si tratti di difendere un diritto fondamentale e inoltre, quando i dati siano stati utilizzati in giudizio, come nella specie, è il giudice di quel giudizio a dover bilanciare gli interessi in gioco ed ammettere o meno le prove che comportano il trattamento di dati di terzi, posto che la titolarità del trattamento spetta in questo caso all’autorità giudiziaria e in tal sede vanno composte le diverse esigenze, rispettivamente, di tutela della riservatezza e di corretta esecuzione del processo (Cass. n. 9314 del 04/04/2023)

5.1.- Né a conclusioni diverse si giunge ove si consideri il quadro normativo dato dal GDPR.

Occorre tenere presente, in particolare, quanto esposto nel considerando 4 del regolamento UE, laddove si legge che “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Ancora, il considerando 47 precisa che “i legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.

Altresì deve tenersi presente il considerando 20 il quale così si esprime: “Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale”.

5.2.- Deve quindi osservarsi che difendersi in giudizio, specie ove la controversia attenga a diritti della persona strettamente connessi alla dignità umana -e quindi i diritti dei lavoratori, secondo quanto dispone l’art. 36 Cost.- è un diritto fondamentale e che nella relazione tra il datore di lavoro e i dipendenti si creano legittime aspettative e tra queste quella delle reciproca lealtà e del rispetto dei diritti del dipendente. Gli artt. 17 e 21 del GDPR rendono palese che nel bilanciamento degli interessi in gioco il diritto a difendersi in giudizio può essere ritenuto prevalente sui diritti dell’interessato al trattamento dei dati personali. In particolare l’art. 17 comma 3 lettera e) del regolamento dispone che i paragrafi 1 e 2 (diritto alla cancellazione) non si applicano nella misura in cui il trattamento sia necessario per l’accertamento l’esercizio o la difesa di un diritto in sede giudiziaria e l’art. 21 (diritto di opposizione) consente al titolare del trattamento di dimostrare “l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.

Più specificamente la Corte di giustizia UE con sentenza del 2 marzo 2023, (C-268/21 – Norra Stockholm Bygg AB contro Per Nycander AB) ha chiarito che qualora dati personali di terzi vengano utilizzati in un giudizio è il giudice nazionale che deve ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco e che “tale valutazione può, se del caso, indurlo ad autorizzare la divulgazione completa o parziale alla controparte dei dati personali che gli sono stati così comunicati, qualora ritenga che una siffatta divulgazione non ecceda quanto necessario al fine di garantire l’effettivo godimento dei diritti che i soggetti dell’ordinamento traggono dall’articolo 47 della Carta” (par. 58).

In termini, anche la giurisprudenza nazionale è consolidata nel ritenere che l’uso di dati personali non è soggetto all’obbligo di informazione ed alla previa acquisizione del consenso del titolare quando i dati stessi vengano raccolti e gestiti nell’ambito di un processo; in esso, infatti, la titolarità del trattamento spetta all’autorità giudiziaria e in tal sede vanno composte le diverse esigenze, rispettivamente, di tutela della riservatezza e di corretta esecuzione del processo, per cui, se non coincidenti, è il codice di rito a regolare le modalità di svolgimento in giudizio del diritto di difesa (Cass. n. 9314 del 04/04/2023; Cass. s.u. n. 3034 del 08/02/2011) Si è così affermato che il trattamento dei dati personali in ambito giudiziario, anche nel vigore della disciplina di cui al D.Lgs. n. 196 del 2003, non è soggetto all’obbligo di informazione ed alla previa acquisizione del consenso purché i dati siano inerenti al campo degli affari e delle controversie giudiziarie che ne scrimina la raccolta, non siano utilizzati per finalità estranee a quelle di giustizia in ragione delle quali ne è avvenuta l’acquisizione e sussista il provvedimento autorizzatorio (Cass. n. 1263 del 17/01/2022 ; v. Cass. n. 39531 del 13/12/2021).

Inoltre, questa Corte ha ritenuto che anche nella vigenza del GPR vadano confermati i consolidati principi in ordine alla legittimità del trattamento di dati personali senza il consenso dell’interessato, purché effettuato nel rispetto del criterio della “minimizzazione” ove sia indispensabile per la tutela di interessi vitali della persona che li divulga o della sua famiglia (Cass. n. 9922 del 28/03/2022).

6.- Ha quindi errato il Tribunale, una volta accertato che della registrazione si era fatto uso in un processo, a ritenere che tale comportamento violasse la normativa sul trattamento dei dati personali sovrapponendo così indebitamente la propria valutazione a quella del giudice del processo ove questi dati erano stati utilizzati; peraltro facendo riferimento a parametri inconferenti come la circostanza che la registrazione fosse stata effettuata da un soggetto diverso da quelli che l’avevano utilizzata, senza tenere conto che al momento in cui la registrazione fu effettuata vigeva una normativa diversa da quella richiamata nella sentenza impugnata e che la successiva utilizzazione era avvenuta per finalità difensive, peraltro in un contezioso di lavoro, che in linea tendenziale è improntato alla rimozione degli ostacoli di ordine economico e sociale alla tutela giurisdizionale del lavoratore subordinato.

Ne consegue, in accoglimento per quanto di ragione dei primi tre motivi del ricorso, assorbito il quarto, la cassazione della sentenza impugnata e non essendo necessari ulteriori accertamenti in fatto può decidersi nel merito respingendo l’originario ricorso di B.B., E.E., C.C. e D.D., in conformità al provvedimento assunto dal Garante.

In considerazione del complessivo sviluppo processuale e di taluni profili di novità delle questioni agitate nell’odierno procedimento ricorrono giusti motivi per compensare tra tutte le parti le spese dell’intero giudizio.

P.Q.M.