GUIDA NORMATIVA

Sottrazione di dati dai PC aziendali: norme e regole per attivare i controlli difensivi

La sottrazione di dati dai PC aziendali è una condotta illecita, resa più semplice dalla diffusione di e-mail e servizi cloud, punibile con il licenziamento del dipendente infedele. Ecco come l’impresa può controllare e tutelare i propri documenti informatici

02 Apr 2020
F

La sottrazione di dati e documenti informatici dai PC aziendali da parte di un lavoratore per uso personale o futuro, anche di concorrenza con il datore, o anche solo creando il pericolo di una diffusione di notizie riservate attinenti all’attività aziendale, è una condotta punibile con il licenziamento.

Una tale condotta viola il dovere di fedeltà sancito dall’art. 2105 c.c., che si sostanzia nell’obbligo del lavoratore di astenersi da attività contrarie agli interessi del datore di lavoro, tali dovendosi considerare anche quelle che, sebbene non attualmente produttive di danno, siano dotate di potenziale lesività.

Era già così prima dell’avvento dei computer e di internet: “la sottrazione, da parte del dipendente, di documenti aziendali riservati costituisce violazione dei doveri di lealtà e correttezza impostigli dall’art. 2105 c.c., e può quindi integrare gli estremi della giusta causa (o del giustificato motivo) di licenziamento; né rileva in contrario l’intento del lavoratore di fare di detta documentazione un uso meramente processuale, atteso che il contrasto fra il diritto del dipendente alla tutela giurisdizionale (con la produzione di quei documenti) di proprie pretese e il diritto del datore di lavoro alla riservatezza non può essere risolto unilateralmente dal lavoratore, ma deve essere valutato in sede giudiziaria, nella quale il datore di lavoro, a fronte dell’eventuale ordine d’ispezione o di esibizione impartito dal giudice, può resistere a tale comando, rimanendo esposto alle conseguenze che il giudice può trarre da tale suo comportamento“. (Cass. 2 marzo 1993, n. 2560, in Mass. giur. lav., 1993, 475).

Sottrazione di dati dai PC aziendali: una condotta illecita

Il caso, però, era piuttosto raro prima dell’avvento dell’era digitale, in quanto sottrarre documenti dall’azienda comportava faticosi trasporti di plichi ingombranti. Ora, invece, tutto è stato reso più facile da e-mail e cloud.

È rimasto tuttavia immutato il principio di proprietà industriale della documentazione in capo all’impresa con il risultato che la sottrazione di un documento, anche informatico, costituisce un grave inadempimento, come affermato costantemente dalla Cassazione.

Infatti, la condotta tenuta dal lavoratore consistente nella duplicazione di file dal sistema informatico della società, al quale il dipendente aveva accesso in ragione della sua qualifica, giustifica il licenziamento se è connotata dallo scopo perseguito di sottrarre dati ed informazioni, per la cui realizzazione correttamente è stata ritenuta non essenziale la distruzione o rimozione dal sistema del dato stesso, laddove invece la sanzione più lieve era comminata in relazione ad usi impropri e non autorizzati quali ad esempio l’invio di mail per ragioni personali o l’archiviazione di dati o informazioni strettamente personali (fotografie, musica ecc.). (Cass. 24 ottobre 2017, n. 25147, in Foro it. 2017, I, 3612).

Ai fini del perfezionamento della condotta, non era essenziale l’avvenuta divulgazione a terzi dei dati di cui si il lavoratore si sia indebitamente appropriato, essendo a tal fine sufficiente la mera sottrazione dei dati stessi, mentre resta neutra ai fini della valutazione della condotta la circostanza che i dati sottratti fossero o meno protetti da specifiche password.

La circostanza che per il dipendente l’accesso ai dati fosse libero non lo autorizzava ad appropriarsene creandone copie idonee a far uscire le informazioni al di fuori della sfera di controllo del datore di lavoro. (cfr. Cass. 30 gennaio 2017, n. 2239, Foro it., Le banche dati, archivio Cassazione civile)

Come l’impresa può tutelare i propri documenti

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

Come è noto, l’art. 4 Stat. Lav. prevede un divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori.

Ma il controllo vietato è solo quello che riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione del divieto i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti “controlli difensivi”), quali, ad esempio, i sistemi di controllo dell’accesso ad aule riservate o gli apparecchi di rilevazione di telefonate ingiustificate (v. Cass. 3 aprile 2002, n. 4746).

Sono stati ritenuti legittimi, ad esempio, il controllo della posta elettronica aziendale del dipendente effettuato dal datore di lavoro quando lo stesso non è diretto ad accertare l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro ma, piuttosto, la condotta illecita del lavoratore che integri lesione del patrimonio aziendale (Cass. 23 febbraio 2012, n. 2722, in Foro it., 2012, I, 1421), nonché i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet salvo il caso in cui, in ragione delle loro caratteristiche, queste consentano al datore di lavoro di controllare a distanza ed in via continuativa l’attività lavorativa.

Da ultimo, il datore di lavoro può legittimamente controllare il comportamento del lavoratore durante l’orario e licenziarlo se utilizza abusivamente i social network, ad esempio creando, al fine di raccogliere prove, un falso profilo Facebook, (Cass. 27 maggio 2015, n. 10955, id., 2015, I, 2316).

Oggi, infatti, la riformulazione dell’art. 4 dello statuto dei lavoratori ha riconosciuto espressamente la legittimità dei controlli «per la tutela del patrimonio aziendale», previa autorizzazione sindacale o amministrativa e stabilito anche che sono leciti, senza previo atto autorizzativo, i controlli insiti nell’utilizzo, da parte del lavoratore, di «strumenti per rendere la prestazione lavorativa» e «strumenti di registrazione degli accessi e delle presenze» (sulle discussioni scaturite dalla bozza di decreto, v. P. ICHINO, Controlli a distanza: l’incoerenza di una protesta, 19 giugno 2015).

www.riccardofratini.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5