Alfredo Naselli (Funzionario Amministrativo Senior ASL Napoli 1 Centro)

I dati contenuti nel PC aziendale in dotazione al dipendente ed utilizzati per lo svolgimento dell’attività lavorativa appartengono al patrimonio aziendale.

Di conseguenza, averne l’accesso, non si traduce nel poter disporre dei relativi dati arbitrariamente poiché le informazioni che in esso sono immagazzinate devono pur sempre essere utilizzate per fini lavorativi. Pertanto, il dipendente che cancelli, manipoli o trasferisca all’esterno tali dati, attua una condotta disciplinarmente rilevante, commettendo un illecito sia civile che penale oltre ad essere tenuto al risarcimento dei danni.

Tutto quanto testé esposto è stato più volte dichiarato a gran voce dalla giurisprudenza della Suprema Corte di Cassazione la quale, nella recente pronuncia 33809/2021, ha affrontato il tema anche sotto il profilo della privacy e dei controlli difensivi.

Nella fattispecie un dirigente con mansioni di Direttore Commerciale, dopo essersi dimesso, aveva restituito il PC aziendale non prima però di aver asportato e poi cancellato il contenuto relativo a indirizzi e-mail, contatti telefonici dei clienti, informazioni sui prodotti e metodi di produzione.

L’Azienda datrice, avvalendosi dell’opera di tecnici informatici ed operando tecnicamente sull’hard disk del PC, aveva recuperato i dati cancellati tra cui anche una password personale di cui poi si era avvalsa per accedere ai messaggi privati del medesimo Dirigente e dai quali si era scoperto che quest’ultimo, dopo essersi appropriato di informazioni riservate contenute nel PC aziendale, le aveva diffuse all’esterno.

Accertati i fatti, l’Azienda aveva convenuto in giudizio l’ex dipendente proponendo nei suoi confronti una domanda di risarcimento danni.

Il caso, finito in Cassazione, è emblematico per capire quali sono le conseguenze derivanti dalla sottrazione di dati aziendali da parte del dipendente.

Innanzitutto vi è da considerare il reato di danneggiamento per il dipendente che, avendo la disponibilità materiale del PC aziendale, al momento delle dimissioni formatta il PC, cancellando tutti i dati in suo possesso, anche se da lui stesso creati.

La Cassazione ha stabilito che tale condotta è atta a configurare il reato di “danneggiamento di informazioni, dati e programmi informatici” previsto dall’art.635 bis del Codice Penale e per il quale è prevista la pena della reclusione da 6 mesi a 3 anni. Il reato sussiste anche se la cancellazione dei dati non è definitiva potendo, questi ultimi, essere recuperati con software specifici.

Conseguenza del danneggiamento subìto dal datore di lavoro è la richiesta di risarcimento danni sia nell’ambito del medesimo procedimento penale (tramite la costituzione di parte civile), sia con un apposito giudizio civile. Inoltre il dipendente che cancella o sottrae i dati dal PC aziendale rischia il licenziamento per giusta causa avendo infranto gli obblighi di diligenza e fedeltà.

Sempre la Suprema Corte di Cassazione, con una interessante precedente sentenza (11959/2020), ha stabilito che il dipendente che scarica (download) dati contenuti nel PC aziendale, anche se in sua dotazione, e se ne appropri per ottenerne un vantaggio personale, commette il reato di appropriazione indebita.

La cosiddetta infedeltà del dipendente può essere provata dall’azienda, secondo la Cassazione, recuperando dal suo PC documenti personali, e-mail e messaggi in quanto dati non coperti da privacy essendo considerati  “controlli difensivi”. Ed infine, l’informativa dovuta dal datore di lavoro ai dipendenti sancita dal Jobs Act – ossia la Riforma dello Statuto dei Lavoratori nel 2015 – che gli consente di controllare gli strumenti aziendali dati in uso ai dipendenti (PC, Tablet, Telefoni) non è necessaria, come appena detto, nel caso di controlli difensivi e cioè quando l’azienda, in possesso di fondati sospetti di irregolarità, debba venire in possesso delle prove dell’illecito. La produzione in giudizio di documenti contenenti dati personali è sempre consentita quando si rende necessaria al fine di esercitare il diritto di difesa e non è preclusa dalla normativa sulla privacy che permette il trattamento di dati personali altrui, senza il consenso del titolare, quando il trattamento è diretto alla tutela di un diritto in sede giudiziaria.