(Cass. 12 novembre 2021, n. 33809)

di Marina Olgiati e Francesco Torniamenti

I dati contenuti nel PC aziendale in dotazione al dipendente e da questi utilizzati per lo svolgimento dell’attività lavorativa sono patrimonio aziendale. Pertanto, il dipendente che cancelli o manipoli o trasferisca all’esterno tali dati attua una condotta disciplinarmente rilevante, commette illecito civile e penale e può essere tenuto al risarcimento dei danni. Per dimostrare la condotta illecita del dipendente, il datore di lavoro può legittimamente acquisire e produrre in giudizio i messaggi privati inviati dal lavoratore a terzi soggetti.

Così ha stabilito la Corte di Cassazione in una recentissima pronuncia, che ha affrontato il tema anche sotto il profilo della privacy e dei controlli difensivi.

Il caso esaminato ha riguardato un dirigente con mansioni di direttore commerciale, il quale, dopo essersi dimesso, aveva restituito il PC aziendale, previamente cancellando e/o asportando tutti i dati contenuti e utilizzati nel corso del rapporto di lavoro (e-mail, numeri di telefono, informazioni tecniche sui prodotti e sui metodi di produzione, etc…).

La società datrice, con un intervento tecnico sull’hard disk del PC, aveva recuperato taluni dei dati cancellati, tra cui una password personale del dirigente, di cui in seguito si era avvalsa per accedere ad alcuni messaggi privati del medesimo dirigente. Da tale corrispondenza aveva scoperto che quest’ultimo si era dolosamente appropriato di informazioni e documenti riservati contenuti nel PC aziendale, allo scopo di diffonderli all’esterno. Accertati i fatti, la società aveva convenuto in giudizio l’ex dipendente, nei cui confronti aveva proposto una cospicua domanda di danni.

Il Giudice di primo grado, acclarati i fatti come sopra descritti, aveva condannato il dirigente a risarcire il danno alla società. La sentenza era stata, tuttavia, riformata dalla Corte d’Appello, che aveva, invece, respinto la domanda della ex datrice di lavoro sul presupposto che questa aveva depositato in giudizio una serie di prove documentali costituite da messaggi di natura privata, che non erano utilizzabili perché illegittimamente acquisite in violazione del diritto del lavoratore alla riservatezza ed alla segretezza della corrispondenza.

La Suprema Corte ha cassato la sentenza d’appello, con rinvio alla corte territoriale, che dovrà decidere sulla base dei seguenti rilevanti principi:

- il lavoratore che cancella dati contenuti nei dispositivi aziendali da lui detenuti lede il patrimonio aziendale e commette illecito civile, a cui consegue il diritto del datore danneggiato al risarcimento del danno; commette, altresì, il reato di “danneggiamento di informazioni, dati e programmi informatici”, previsto dall’art. 635 bis cod. pen.. Il reato sussiste anche se la cancellazione dei dati non è “definitiva”, in quanto è ancora possibile il recupero parziale o totale dei dati sottratti o cancellati attraverso particolari procedure. Incidentalmente, la Cassazione ha pure osservato che la condotta descritta è senza dubbio disciplinarmente rilevante e giustifica il licenziamento per giusta causa perché costituisce violazione degli obblighi di diligenza e fedeltà;

- la produzione in giudizio di documenti contenenti dati personali è sempre consentita quando sia necessaria per esercitare il diritto di difesa e non è preclusa dalla normativa in tema di privacy che, infatti, permette il trattamento di dati personali altrui anche in assenza del consenso del titolare – e quale che sia la modalità di raccolta dei dati – quando il trattamento è finalizzato alla tutela di un diritto in sede giudiziaria. In altri termini, in tema di trattamento di dati personali, nel giudizio di bilanciamento tra il diritto di difesa e quello di tutela della riservatezza della corrispondenza, prevale il primo diritto;

- la società, al fine di accertare l’illecito utilizzo da parte del dipendente dei dati aziendali, ben poteva controllare la messagistica privata del lavoratore, poiché tale controllo è considerato “difensivo” (ovvero diretto a proteggere il patrimonio e l’immagine aziendale) e, pertanto, può essere adottato senza il rispetto delle garanzie previste dall’art. 4, L. n. 300/1970, tanto più se il controllo viene disposto dopo l’attuazione della condotta illecita.

La sentenza in esame è conforme all’indirizzo che si è affermato negli ultimi anni, secondo cui, ove vi sia il sospetto di attività anomale da parte del dipendente sugli strumenti informatici concessi in dotazione dall’azienda per ragioni lavorative (ad es., cancellazione di files conservati nel sistema informatico aziendale), il datore di lavoro ha diritto di accertare l’eventuale illecito anche attraverso il controllo dei messaggi della sua posta elettronica e di utilizzarli in seguito in giudizio (Cass. 10 novembre 2017, n. 26682). Va, peraltro, segnalato che vi sono decisioni di merito di segno contrario, che hanno affermato l’illiceità dei controlli della posta elettronica del dipendente per violazione dell’art. 4, Stat. Lav. (cfr. Trib. Milano, 13 maggio 2019, n. 17778; Trib. Torino 19 settembre 2018, n.1664).