Protezione dei dati aziendali: cosa ne pensa la Corte di Cassazione [E. MASSI]

Sempre più spesso le c.d. “policy aziendali” tendono a proteggere i dati aziendali intesi come bene dell’impresa in senso lato, mettendo limiti rigorosi alle applicazioni derivanti dall’uso degli strumenti tecnologici posti a disposizione dei dipendenti per lo svolgimento della loro attività lavorativa, non dimenticando le tutele personali predisposte dal Garante anche sotto la spinta delle previsioni contenute nell’art. 4, comma 3, dell’art. 4 della legge n. 300/1970 il quale subordina ad una informazione adeguata relativa alle modalità di funzionamento e di controllo, l’utilizzazione dei dati e delle informazioni a tutti i fini connessi al rapporto di lavoro scaturenti sia dalle video telecamere e dagli altri strumenti di controllo (comma 1) che dai badge, dagli accessi nonché dai mezzi messi a disposizione dei lavoratori per le loro prestazioni.

In tale contesto ben si inserisce una recente pronuncia della Suprema Corte, la n. 25147/2017, con la quale è stata riconosciuta la piena legittimità di un licenziamento adottato nei confronti di un dipendente che aveva copiato, sulla propria “chiavetta” personale, dati aziendali, peraltro non protetti da password e non catalogati come riservati, pur se gli stessi non erano stati ceduti a soggetti terzi.

La Cassazione ha valutato la questione alla luce dell’art. 52 del CCNL del settore chimico applicato in azienda, ed ha rimarcato come, nel caso di specie, si ravvisasse una infrazione connotata da una mancata e colpevole diligenza sul lavoro. L’articolo contrattuale, preso a parametro di riferimento, consente il recesso, atteso che la disposizione pattizia appena citata contempla, tra le varie ipotesi, il furto, il danneggiamento volontario dei beni aziendali ed il trafugamento di disegni, schede ed utensili di proprietà del datore di lavoro. La “copiatura dei file” rientra in tali ipotesi in quanto è finalizzata a farli uscire dalla “sfera di controllo” dell’imprenditore pur se non è accompagnata da una cessione degli stessi a soggetti terzi. Con tale comportamento si concretizza una finalità illecita, essendo del tutto ininfluente la successiva utilizzazione o cessione ad altri soggetti.

Sia nel giudizio di merito che avanti alla Suprema Corte il dipendente ha sostenuto che il proprio comportamento non dovesse essere punito con una sanzione espulsiva, ma conservativa, essendo del tutto assimilabile alla casistica “dell’uso improprio di strumenti aziendali” e che la “copiatura” fosse stata resa possibile dall’assenza di una password di protezione.

Tale tesi non è stata accolta in quanto l’accento è stato posto sul fatto che tale condotta era consapevolmente diretta a sottrarre dati aziendali e che, in tale ottica, fosse del tutto irrilevante la circostanza  dell’assenza di qualsiasi protezione informatica.

La sentenza appena, sommariamente, commentata, appare coerente con orientamenti formatisi negli ultimi tempi e che sono sempre più al centro dell’attenzione in considerazione  del largo uso di strumenti tecnologici per l’espletamento della prestazione lavorativa.

Nella sostanza, appare sempre più impellente, per i datori di lavoro “proteggere” i propri dati (di produzione aziendale, di clientela e di know how): di qui, come affermavo poc’anzi, la necessità, sempre nell’ottica della previsione contenuta nel comma 3 dell’art. 4 della legge n. 300/1970, di vietare (o concedere solo in parte) l’utilizzo della mail aziendale, il divieto (totale o parziale) di “navigare in internet” su siti non richiesti dalla prestazione lavorativa.

In ordine a tale ultima motivazione ricordo i contenuti ed i “ragionamenti” seguiti dalla stessa Cassazione con la sentenza n. 14862/2017 con la quale è stato ritenuto legittimo un licenziamento adottato per giustificato motivo soggettivo nei confronti di un dipendente che per 27 volte, per un totale di 45 ore e con un notevole scambio di dati (migliaia di kbyte) aveva, in maniera sistematica, utilizzato la connessione internet aziendale per fini esclusivamente personali, con una condotta reiterata ed intenzionale.

La Corte ha esaminato la questione sotto un duplice aspetto:

  1. quello dell’iter procedimentale ex art. 7 della legge n. 300/1970, trattandosi di un recesso di natura disciplinare, ove il dipendente aveva lamentato la nullità dello stesso, per violazione del comma 1, in quanto il codice disciplinare non risultava affisso in luogo accessibile a tutti. I giudici, riferendosi, a precedenti decisioni, hanno affermato che la nullità per mancata affissione vale “soltanto nei limiti in cui il licenziamento sia stato intimato per una delle specifiche ipotesi di comportamento vietate e sanzionate con il provvedimento espulsivo da norme della contrattazione collettiva o da quelle validamente poste dal datore di lavoro” e non allorquando si rilevino violazioni di norme penali o di fedeltà e diligenza che sono obblighi di cui parlano gli articoli 2104 e 2105 c.c. (che ben si riferisce alla fattispecie esaminata). In tal caso, la potestà di recesso datoriale discende sia dall’art. 2119 c.c. che dagli articoli 1 e 3 della legge n. 604/1966, secondo un indirizzo consolidato (Cass., n. 14615/2000; Cass., n. 6134/2001; Cass., n. 23120/2004);
  2. quello della violazione delle disposizioni di tutela relative al controllo “a distanza” del lavoratore ex art. 4 della legge n. 300/1970, riformulato dall’art. 23 del D.L.vo n. 151/2015 (poi, parzialmente ritoccato dall’art. 4 del D.L.vo n. 185/2016): la Corte ha parlato di “non applicazione” di tali disposizioni tutte le volte nelle quali i controlli non riguardano l’attività lavorativa ma sono finalizzati a colpire un comportamento illecito destinato a ledere il patrimonio dell’impresa, inteso sotto il profilo della sua integrità e del regolare funzionamento (Cass., n. 10955/2015);
  3. quello della violazione delle regole sulla “privacy” tutelate dal D.L.vo n. 196/2003, richiamato, a chiare note, dal comma 3 dell’art. 4. La Corte sottolinea, giustamente, il fatto che le disposizioni di garanzia sono poste a salvaguardia della personalità del dipendente ma, nel caso di specie, il datore di lavoro non ha analizzato i siti visitati, non ha verificato la tipologia dei dati scaricati, né li ha salvati sulla propria strumentazione, essendosi limitato, nella lettera di contestazione ad indicare la data, l’ora, la durata della connessione e l’importo del traffico che, sicuramente, non sono dati personali.

L’esame dei principi espressi dalla Suprema Corte, nel rispetto delle garanzie previste sia dallo Statuto dei Lavoratori che dal D.L.vo n. 196/2003, porta alla individuazione di un percorso ove queste disposizioni non possono svolgere la loro “forza tutelante”: la tutela del bene aziendale, che riguarda anche i c.d. “beni immateriali”, laddove questo è oggetto di “sottrazione”, viene in “primo piano”.

I “ragionamenti” dei giudici di Piazza Cavour espressi nelle decisioni richiamate riguardano casi specifici riferiti al settore privato ma,  altri soggetti e tra questi, soprattutto, le Pubbliche Amministrazioni, che, spesso, si trovano in situazioni analoghe e dove, la documentazione sottratta è un fenomeno più esteso di quel che sembra, potrebbero trarre forti stimoli per tutelare i loro “beni immateriali”.

PrintFriendlyPrintEmailWhatsAppOutlook.comGoogle GmailYahoo Mail
Eufranio Massi

A cura di : Eufranio Massi

E' stato per 40 anni dipendente del Ministero del Lavoro. Ha diretto, in qualità di Dirigente, le strutture di Parma, Latina, i Servizi Ispettivi centrali, Modena, Verona, Padova e Piacenza. Collabora, da sempre, con riviste specializzate e siti web sul tema lavoro tra cui Generazione vincente blog.

Potrebbero interessarti anche:

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Top

Resta aggiornato !
Iscriviti alla NEWSLETTER #jol

Il servizio è gratuito e prevede l’invio di:

Si prega di attendere ...

Terms (+)  |  Privacy (+) | Contatti (+)