Utilizzo delle informazioni dal computer di un ex dipendente

coding-1853305_960_720.jpg

Utilizzo delle informazioni dal computer di un ex dipendente

La Corte di Cassazione, con la sentenza n. 33809 del 12 novembre 2021, affronta la questione del bilanciamento tra la tutela della riservatezza e il diritto di difesa, nell’ambito della tematica dei c.d. controlli difensivi ex art. 4 della L. 20 maggio 1970 n. 300, in un contesto lavorativo caratterizzato dall’utilizzo generalizzato di strumenti di lavoro informatici.
 
Questi i fatti da cui prende le mosse la sentenza citata.
Un dirigente con mansioni di direttore commerciale rassegna le proprie dimissioni.
L’ex datrice di lavoro, ricevuti in riconsegna i dispositivi elettronici aziendali precedentemente dati in dotazione all’ex dipendente, effettua un esame sul PC portatile riconsegnato e, rilevato che in esso non è presente alcun dato o file, affida ad un perito informatico l’esame dei dispositivi.
Viene constatato che la cancellazione totale di dati e file presenti sull'hard disk del PC aziendale, non ha carattere irreversibile posto che, non essendo stata eseguita la formattazione né l’inizializzazione dello stesso, permangono consistenti tracce di tutte le operazioni effettuate e del loro contenuto, che possono così essere fatte riemergere tramite avanzate procedure tecnico-informatiche.
Così avviene nel caso di specie, in cui viene violato l’account personale dell’ex dipendente - collegato ad un sistema di messaggistica - per estrarre testi di conversazioni private avute da questi con terzi, le quali vengono prodotte in giudizio, nelle parti ritenute più significative, al fine di provare attività di concorrenza sleale e la violazione dell’obbligo di fedeltà ex art. 2105 c.c.
 
La Corte di Cassazione, valorizzando il fatto storico che attiene alla «riconsegna dal dirigente dei dispositivi aziendali svuotati di tutti i dati», in primo luogo richiama la fattispecie penale di danneggiamento di informazioni, dati e programmi informatici, riportandosi a quanto ritenuto dalla giurisprudenza penale per cui «anche la cancellazione, che non escluda la possibilità di recupero se non con l'uso anche dispendioso di particolari procedure, integri gli estremi oggettivi della fattispecie delittuosa dell'art. 635bis c.p., per conformità alla sua ratio (Cass. pen. 5 marzo 2012, n. 8555)».
 
Ciò premesso, nel passaggio successivo, la questione è affrontata nel contesto di un’interpretazione dell’art. 24, lett. f) D.Lgs. 30 giugno 2003, n. 196.
Riguardo al diritto di utilizzare dati personali in giudizio per l’esercizio del diritto di difesa, ricorda la Corte che «la produzione in giudizio di documenti contenenti dati personali è sempre consentita ove sia necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare» ritenendo di specificare «quali che siano le modalità con cui è stata acquisita la loro conoscenza» e valutando, dunque, la legittimità della produzione «in base al bilanciamento tra il contenuto del dato utilizzato, cui va correlato il grado di riservatezza, con le esigenze di difesa».
 
Segnatamente, con specifico riferimento ai controlli a distanza regolati dall’art. 4, comma 2 della L. 20 maggio 1970 n. 300, nel testo anteriore alle modifiche operate dal D.Lgs. 14 settembre 2015 n. 151, viene enunciato che «i controlli difensivi datoriali non richiedendo l'osservanza delle garanzie ivi previste, se diretti ad accertare comportamenti illeciti e lesivi del patrimonio e dell'immagine aziendale, tanto più se disposti ex post, dopo l'attuazione del comportamento in addebito».
 
Si afferma pertanto che l'attività di recupero dei dati rimossi dall’ex dirigente e «integranti patrimonio aziendale» è stata legittimamente compiuta dall’azienda in vista del successivo giudizio risarcitorio, nell’esercizio di un diritto di difesa inteso, oltretutto, in senso lato, quale diritto non «limitato alla pura e semplice sede processuale» ma esteso «a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata mediante citazione o ricorso».
 
Riepilogando, la sentenza n. 33809 del 12 novembre 2021 fissa l’ampia disponibilità per l’azienda dei dati ricavabili dagli strumenti informatici dati in dotazione ai dipendenti, anche ove questi attengano ad attività protette da un account personale che non siano dirette allo svolgimento delle mansioni lavorative.
Ciò avviene indirettamente, attraverso l’affermazione che l’esercizio del diritto di difesa ex art. 24, lett. f) D.Lgs. 30 giugno 2003, n. 196 autorizzi l’acquisizione e l’uso dei dati indipendentemente dai presupposti di legittimità della loro acquisizione, sia direttamente, attraverso l’espressa dichiarazione, non supportata da ulteriori argomentazioni, che tali dati integrino patrimonio aziendale.
 
La sentenza in esame, disconoscendo la natura privata dei dati protetti da account personale si pone in contrasto con l’impostazione precedentemente tracciata dalla Corte di Cassazione - in particolare con le sentenze n. 25732 e n. 34092 del 2021 - la quale confermava la natura privata delle conversazioni avvenute mediante sistemi di messaggistica protetti da account personali, stabilendo chiari limiti di accesso riguardo ad operazioni di estrapolazione dei dati effettuate su dispositivi, oltretutto, non più nella disponibilità del dipendente.
 
Infatti, deve rilevarsi che, in un’ottica conforme alla giurisprudenza della Corte EDU (v. C. Eur. Dir. Uomo, 5 settembre 2017 - Ricorso n. 61496/08 - causa Barbulescu c. Romania; C. Eur. Dir. Uomo, 17 ottobre 2019 - Ricorso n. 1874/13 - causa Lopez Ribalda c. Spagna) e a numerose ed univoche pronunce del Garante della Privacy, l’uso di natura personale del PC portatile da parte del dipendente deve ritenersi consentito ove lo stesso non sia stato espressamente vietato e vi è l’obbligo informativo per il datore di lavoro di segnalare preventivamente e adeguatamente quali controlli potranno essere attuati.
Tali controlli, a loro volta, devono sottostare a criteri dettati dal principio di proporzionalità per quanto riguarda l’estensione delle attività di monitoraggio - specie in relazione al grado di intrusione nella privacy del lavoratore - le quali devono essere parametrate alle finalità perseguite: il controllo deve limitarsi ad accertare determinati comportamenti illeciti del lavoratore e deve essere svolto solo successivamente al fatto in addebito. Per questo è necessario verificare non solo le risultanze del monitoraggio ma, altresì le motivazioni fornite dal datore di lavoro per giustificarlo.
Il fine dovrebbe essere quello di assicurare un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e della riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni aziendali.

Richiedi informazioni

Accetto l'informativa sulla privacy