Sentenza del Tribunale di Roma, sez. lavoro, marzo 2017

20/12/2017

Conferma della legittimità del licenziamento di un dipendente identificato attraverso indagini informatiche di aver abusato degli strumenti informatici assegnati dal datore di lavoro, determinando un grave danno all’azienda (cryptolocker).

L'esame informatico, attraverso attività di digital forensics, ha evidenziato che nella cartella download del disco fisso del dipendente era presente un file scaricato alle 8:40 che aveva propagato il virus e, eseguiti controlli sulla casella di posta elettronica del dipendente, risultò che vi era stato un invio di mail anomalo dall'esterno.

Il diritto alla difesa prevale 
Il diritto di difesa, a determinate condizioni, prevale rispetto al diritto alla riservatezza.
L'art. 24 del Codice della Privacy prevede infatti che il consenso non è richiesto quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000 n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale.

Il nuovo Art. 4
Di fondamentale novità il nuovo comma 2 dell'art. 4 che riguarda gli strumenti informatico/tecnologici in dotazione al dipendente per svolgere l'attività lavorativa.

Presupposto per l'utilizzo a tutti i fini connessi al rapporto di lavoro dei dati raccolti dagli strumenti aziendali, precisa il comma 3 del nuovo art. 4, è che venga data al lavoratore adeguata informazione sulle modalità d'uso degli strumenti e di effettuazione dei controlli e che sia rispettato quanto disposto dal D.Lgs. 30 giugno 2003, n. 196 (c.d. Codice Privacy).

I dati raccolti nel rispetto di quanto prescritto dalla norma possono, quindi, essere utilizzati dal datore di lavoro a tutti i fini connessi al rapporto di lavoro, ivi compreso quello diretto al controllo sull'esatto
adempimento della prestazione lavorativa così come quello disciplinare.

Resta fermo, dunque, il divieto di controllare la sola prestazione lavorativa dei dipendenti, considerato che tale regime protezionistico è volto a tutelare la dignità e la riservatezza dei lavoratori, diritti la cui tutela è primaria nel nostro ordinamento, seppur da contemperare con le esigenze produttive ed organizzative o della sicurezza sul lavoro.

Il nuovo comma 1 dell'art. 4 elenca le ragioni giustificatrici che consentono al datore di lavoro - previo
accordo collettivo aziendale (con RSA o RSU) - l'utilizzo di strumenti dai quali possa derivare, anche solo in via ipotetica, un controllo a distanza dei lavoratori:
- esigenze organizzative e produttive
- per la sicurezza del lavoro
- per la tutela del patrimonio aziendale

L'aspetto innovativo della norma, con riferimento alle esigenze giustificatrici dell'installazione e utilizzo di strumenti di controllo a distanza, è l'inserimento, tra i requisiti oggettivi, della tutela del patrimonio aziendale.

Tanto premesso lo strumento di lavoro, dovendo essere utilizzato in questo caso ai fini della esecuzione della prestazione, può venire in rilievo ai fini dell'art. 4, comma 2, solo se il lavoratore ha un ruolo attivo nel suo utilizzo e, cioè, se quello strumento viene concretamente impiegato dal dipendente nello svolgimento delle mansioni.

Ciò che rileva è che lo strumento sia nella disponibilità del dipendente e da questi effettivamente
utilizzato nell'adempimento della prestazione, diversamente da quanto avviene con gli strumenti di
controllo di cui all'art. 4, comma 1, rispetto ai quali il lavoratore è invece, sempre soggetto passivo.
Pertanto, partendo dalla distinzione tra strumenti di lavoro e strumenti di controllo, l'uso degli strumenti informatici deve essere assimilato ad un mero strumento di lavoro messo a disposizione del lavoratore per rendere la prestazione; quindi i computer, i tablet ed i cellulari devono essere considerati come i moderni attrezzi di lavoro utilizzabili senza autorizzazione nel caso in cui vengano attribuiti al lavoratore per rendere la prestazione lavorativa oggetto del contratto di lavoro.

Orbene, nel caso in esame, considerate le mansioni svolte dalla ricorrente (impiegata amministrativa ), il p.c. e la casella di posta elettronica non possono che essere considerati strumenti di lavoro necessari allo svolgimento della prestazione lavorativa;

Indagare lo strettamente necessario
La vigilanza sul lavoro, ancorché necessaria nell'organizzazione produttiva, vada mantenuta in una dimensione umana, e cioè non esasperata dall'uso di tecnologie che possono rendere la vigilanza stessa continua e anelastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro" (Cass., n. 8250/2000, cit., principi poi ribaditi da Cass., 17 luglio 2007, n. 15892, e da Cass., 23 febbraio 2012, n. 2722).

Pertanto, il potere di controllo del datore di lavoro deve trovare un contemperamento nel diritto alla riservatezza del dipendente, ed anche l'esigenza, pur meritevole di tutela, del datore di lavoro di evitare condotte illecite da parte dei dipendenti non può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore.

Tale esigenza di tutela della riservatezza del lavoratore sussiste anche con riferimento ai cosiddetti "controlli difensivi " ossia a quei controlli diretti ad accertare comportamenti illeciti dei lavoratori, il caso in cui il controllo sia diretto non già a verificare l'esatto adempimento delle obbligazioni direttamente scaturenti dal rapporto di lavoro, ma a tutelare beni del patrimonio aziendale ovvero ad impedire la perpetrazione di comportamenti illeciti; in tali casi , si è fuori dallo schema normativo della L. n. 300 del 1970, art. 4. 1.8..

In tali ipotesi, la Suprema Corte ha ritenuto che l'attività di controllo sulle strutture informatiche aziendali per conoscere il testo di messaggi di posta elettronica prescinde dalla pura e semplice
sorveglianza sull'esecuzione della prestazione lavorativa ed è, invece, diretta ad accertare la perpetrazione di eventuali comportamenti illeciti (Cass., n. 2722/2012).

Il controllo difensivo
Il controllo c.d. difensivo è stato occasionato dalla necessità indifferibile di accertare lo stato dei fatti a fronte del sospetto di un comportamento illecito, con rilevanza penale.
La verifica su tutta la rete fu , infatti, avviata dalla Fondazione al solo scopo di contenere i danni al patrimonio aziendale e di verificare la sussistenza di un illecito anche di carattere penale da parte dei propri dipendenti.

Il c.d. controllo difensivo, in altre parole, non riguardava l'esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma era destinato ad accertare un comportamento che poneva in pericolo la operatività dell'intero sistema informatico della convenuta. In questo caso entrava in gioco il diritto del datore di lavoro di tutelare il proprio patrimonio e la organizzazione del lavoro.

La policy sull’utilizzo degli strumenti informatici 
Nel caso in esame, l'azienda ha prodotto in giudizio la Policy aziendale, in cui sono analiticamente disciplinate le modalità relative sia all'uso degli strumenti che alla effettuazione dei controlli.

E' infatti, espressamente previsto che l 'Utente dei servizi è tenuto ad utilizzare solo ed esclusivamente per fini lavorativi e non per scopi di lucro le applicazioni, le librerie di supporto, i documenti e quant'altro sia riferibile o faccia parte dei servizi fruiti; ogni altro uso deve essere preventivamente richiesto dall' utente ed autorizzato dal Responsabile del Servizio Informatico".

In tale disciplinare viene altresì specificato che Gli Utenti devono far uso dello Spazio Disco Utente nel pieno rispetto di quanto precedentemente enunciato.

Per esigenze di servizio legate esclusivamente alla gestione delle Risorse Tecnologiche , gli Amministratori di Sistema potranno avere accesso allo Spazio Disco Utente... Nel caso ciò avvenisse, gli Amministratori di Sistema provvederanno a mantenere riservate le informazioni, relative all' Utente, di cui potranno venire a conoscenza durante l'Accesso, fatta eccezione per quanto previsto e richiesto dalla legge.

Procedure di diffusione e intervento
L’azienda ha provato che le policy aziendali sono state rese pubbliche e i lavoratori, tra cui il dipendente controparte, hanno seguito una specifica formazione in materia di trattamento dei dati personali ex d.lgs 196/2003 e di utilizzo dei sistemi informatici.

Inoltre, i testi hanno confermato che la policy aziendale è stata sempre consultabile sulla rete aziendale. Tale circostanza deve ritenersi in ogni caso confermata dalle stesse dichiarazioni rese dal dipendente, in sede di giustificazioni, allorquando ha affermato di aver sempre rispettato le disposizioni aziendali in ordine all' utilizzo del sistema informatico.

Infine, l’azienda ha avuto accesso al personal computer del dipendente, solo dopo aver accertato la diffusione di un virus della rete aziendale e con la specifica finalità di bloccare la diffusione del virus e ripristinare il computer della ricorrente che era risultato infetto.

Leggi il testo integrale (pdf, 25 pagine)

Hai degli asset di valore della tua azienda?
Noi possiamo aiutarti a proteggerli.

Contattaci