Impedimento alla visita fiscale di controllo, carattere della sanzione per assenza alla visita: le ultime dalla Cassazione in materia di visite fiscali

Impedimento alla visita fiscale di controllo

È legittimo il rigetto dell'istanza di rinvio dell'udienza dinanzi al Tribunale di sorveglianza per legittimo impedimento a comparire presentata dal condannato e documentata da un certificato medico, qualora l'indicazione nell'istanza della reperibilità del medesimo in un luogo diverso da quello in cui egli effettivamente si trovi abbia impedito l'esecuzione della visita fiscale di controllo. (Sez. 1, n. 26762 del 16/07/2020, Torres, Rv. 279784). 

Cassazione, sentenza n. 35715 del 29/09/2021

Assenza visita fiscale, la sanzione non ha carattere disciplinare

La questione oggetto di giudizio non riguarda una sanzione disciplinare, ovverosia una prestazione imposta a titolo punitivo dal datore di lavoro, ma il regime delle obbligazioni al verificarsi di una malattia, allorquando risulti l'allontanamento del lavoratore negli orari di reperibilità utili allo svolgimento della c.d. visita fiscale. Ciò è reso evidente non solo dal richiamo nel provvedimento della norma di condotta del C.C.N.L. di pertinenza, chiaramente destinata a regolare i comportamenti obbligatori dovuti nell'ambito del rapporto di R. G. n. 22760/2015 lavoro (art. 21, co. 13, del citato CCNL secondo cui «qualora il dipendente debba allontanarsi, durante le fasce di reperibilità, dall'indirizzo comunicato, per visite mediche, prestazioni o accertamenti specialistici o per altri giustificati motivi, che devono essere, a richiesta, documentati, è tenuto a darne preventiva comunicazione all'amministrazione»), quanto piuttosto dalla norma sulla cui base la P.A. ha agito con atto da essa stessa definito di "gestione" del personale (art. 5, co. 14 d.l. 463/1983 conv. con mod. in L. 638/1983, secondo cui «qualora il lavoratore, pubblico o privato, risulti assente alla visita di controllo senza giustificato motivo, decade dal diritto a qualsiasi trattamento economico per l'intero periodo sino a dieci giorni e nella misura della metà per l'ulteriore periodo, esclusi quelli di ricovero ospedaliero o già accertati da precedente visita di controllo»), da cui si desume come quella prevista sia una mera conseguenza obbligatoria, espressamente regolata dalla legge, destinata ad operare all'interno del rapporto previdenziale e quindi dell'I.N.P.S., quando sia tale ente, come nel lavoro privato, ad erogare il trattamento, oppure nei riguardi del datore di lavoro quando, come è nel pubblico impiego, sia quest'ultimo a corrispondere quanto dovuto, ai sensi di legge (ora art. 71 d.l. 112/2008, conv. con mod. in L. 133/2008) o di contrattazione collettiva.

Cassazione, sentenza n. 33180 del 10/112021

Accertamenti infermità per malattia del lavoratore

In tema di licenziamento per giusta causa, la disposizione di cui all'art. 5 St. lav. che vieta al datore di svolgere accertamenti sulle infermità per malattia o infortunio del lavoratore dipendente o lo autorizza a effettuare il controllo delle assenze per infermità solo attraverso i servizi ispettivi degli istituti previdenziali competenti, non preclude al datore medesimo di procedere, al di fuori delle verifiche di tipo sanitario, ad accertamenti di circostanze di fatto atte a dimostrare l'insussistenza della malattia o la non idoneità di quest'ultima a determinare uno stato di incapacità lavorativa rilevante e, quindi, a giustificarne l'assenza (Cass. n. 25162 del 2014; Cass. n. 11697 del 2020; Cass. n. 6236 del 2001). E' insito in tale giurisprudenza, invero, il riconoscimento della facoltà del datore di lavoro di prendere conoscenza di siffatti comportamenti del lavoratore che, pur estranei allo svolgimento di attività lavorativa, sono rilevanti sotto il profilo del corretto adempimento delle obbligazioni derivanti. 

Cassazione, sentenza n. 30547 del 28/102021

Assenza ingiustificata dal domicilio: non rileva il dolo

L'ingiustificata assenza del lavoratore alla visita di controllo — per la quale l'art. 5, comma quattordicesimo, del DL. 12 settembre 1983 n. 463 (convertito nella legge n. 638 del 1983) prevede la decadenza (in varia misura) del lavoratore medesimo dal diritto al trattamento economico di malattia — non coincide necessariamente con la materiale assenza di quest'ultimo dal domicilio nelle fasce orarie predeterminate, potendo essere integrata da qualsiasi condotta dello stesso lavoratore, pur presente in casa, che sia valsa ad impedire l'esecuzione del controllo sanitario per incuria, negligenza o altro motivo non apprezzabile sul piano giuridico e sociale. La prova dell'osservanza di tale dovere di diligenza incombe sul lavoratore (v., ex plurimis, Cass. 22 maggio 1999 n. 5000).

Né ha rilievo che la mancata visita avvenga senza dolo da parte dell'interessato, perché ciò che è sanzionato è il fatto obiettivo in sé, indipendente dall'intenzione in concreto del lavoratore (Cass. 30 luglio 1993 n. 8484).

Cassazione, sentenza n. 4233 del 23.11.2021

Assenza giustificata alla visita fiscale

Il giustificato motivo di esonero del lavoratore in stato di malattia dall'obbligo di reperibilità a visita domiciliare di controllo non ricorre solo nelle ipotesi di forza maggiore, ma corrisponde ad ogni fatto che, alla stregua del giudizio medio e della comune esperienza, può rendere plausibile l'allontanamento del lavoratore dal proprio domicilio, senza potersi peraltro ravvisare in qualsiasi motivo di convenienza od opportunità, dovendo pur sempre consistere in un'improvvisa e cogente situazione di necessità che renda indifferibile la presenza del lavoratore in luogo diverso dal proprio domicilio durante le fasce orarie di reperibilità".

Cassazione, ordinanza n. 24492 dell'1/10/2019

Assenza visita fiscale e condotta del lavoratore

L'ingiustificata assenza del lavoratore alla visita di controllo - per la quale l'art. 5, comma quattordicesimo, del D.L. 12 settembre 1983 n. 463, convertito, con modifiche, nella legge 11 novembre 1983 n. 638, - prevede la decadenza (in varia misura) del lavoratore medesimo dal diritto al trattamento economico dì malattia - non coincide necessariamente con l'assenza del lavoratore dalla propria abitazione, potendo essere integrata da qualsiasi condotta dello stesso lavoratore - pur presente in casa - che sia valsa ad impedire l'esecuzione del controllo sanitario per incuria, negligenza o altro motivo non apprezzabile sul piano giuridico e sociale. La prova dell'osservanza del dovere di diligenza incombe al lavoratore (cfr. Cass., 18 novembre 1991 n. 12534; 23 marzo 1994 n. 2816; 14 maggio 1997 n. 4216, Cass. 22 maggio 1999, n. 5000).

Cassazione, sentenza n. 19668 del 22/07/2019

Videosorveglianza, solo l’8% delle telecamere sono segnalate da un regolare cartello, ma a chi le installa la privacy interessa poco o niente.

Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali.

Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti.

Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati personali, e non si tratta di un compito di poco conto che può essere considerato un mero adempimento burocratico da gestire sbrigativamente, non solo per la complessità delle stesse norme, ma soprattutto perché in Italia il 71% delle sanzioni per violazioni del GDPR sono state irrogate proprio nei confronti di enti pubblici, i quali si trovano quindi a camminare su un terreno che per loro è tipicamente scivoloso.

E se nel secondo semestre del 2021 il Garante aveva già puntato la lente sulla conformità dei trattamenti di dati personali effettuati attraverso le telecamere, non è certamente un caso che per il secondo semestre consecutivo, anche nel piano delle attività ispettive della prima metà del 2022 l’Authority abbia di nuovo inserito il controllo dei sistemi di videosorveglianza, denotando così le proprie intenzioni di continuare a monitorare attentamente quello che è ormai uno degli ambiti più invasivi per la privacy dei cittadini.

A destare particolare preoccupazione, sono adesso i risultati che emergono da uno studio condotto da Federprivacy in collaborazione con Ethos Academy con l’obiettivo di fornire un quadro realistico sul rispetto della privacy nel mondo della videosorveglianza, esaminandone gli scenari da varie angolazioni con la mira di comprendere le tendenze e le percezioni di addetti ai lavori e cittadini, individuare i gap che ostacolano la conformità alla normativa in materia di protezione dei dati personali, ed essere così in grado di individuare più facilmente i fabbisogni per tracciare la corretta traiettoria verso un’espansione coerente dei sistemi di videosorveglianza, con particolare riguardo allo sviluppo sostenibile delle smart city.

Nello studio “Videosorveglianza & Privacy tra cittadino, professionisti e imprese”, articolato in diverse fasi e indirizzato a tre distinte categorie di soggetti presi in esame, è stato effettuato un sondaggio su un campione di circa 2.000 cittadini chiedendo loro cosa osservano quando entrano in un esercizio pubblico dotato di un impianto di videosorveglianza: solo nell’8% dei casi risulta essere esposto un regolare cartello di informativa minima che avverte in modo chiaro e trasparente la presenza di telecamere con l’indicazione dei corretti riferimenti normativi e delle informazioni complete che devono essere fornite all’interessato.

Per il 38% delle telecamere non c’è invece nessun cartello che ne mette a conoscenza il cittadino, a indicare che chi le ha installate non si è neanche posto il problema di dover rispettare una normativa in materia di privacy. E anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia questo risulta poi del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati o privo delle informazioni che vi dovrebbero essere riportate.

Nonostante le Linee guida n. 3/2019 elaborate dal Comitato Europeo per la protezione dei dati (Edpb) abbiano provveduto da più di due anni un nuovo modello di cartello per segnalare la presenza di un sistema di videosorveglianza in conformità al GDPR, sono infatti ancora diffusissimi vecchi cartelli che fanno riferimento all’abrogato art.13 del Dlgs 196/2003, che spesso non risultano neppure compilati con le indicazioni del titolare del trattamento e delle finalità delle telecamere lasciate negligentemente in bianco.

Sul fronte delle imprese, l’Osservatorio di Federprivacy ha invece effettuato una approfondita disamina di tutte le oltre mille sanzioni comminate dall’introduzione del Regolamento europeo, e ben 161 di queste (15,2%) sono direttamente riferite a violazioni commesse attraverso telecamere e impianti di videosorveglianza, per un ammontare complessivo di circa 3,9 milioni di euro che imprese private e pubbliche amministrazioni hanno dovuto sborsare a causa della loro noncuranza delle regole sulla tutela della privacy. Rileva il fatto che ben 130 di tali sanzioni (pari all’80% del totale) siano state elevate negli ultimi due anni, a significare un aumento esponenziale che si registra per le violazioni derivanti dall’uso illecito di telecamere.

Molti cartelli di informativa sulla videosorveglianza riportano ancora i riferimenti normativi della vecchia Legge 675/1996

Nel panorama europeo, lo studio ha inoltre evidenziato che in Spagna viene comminato il maggior numero di sanzioni in materia di videosorveglianza. Dall’entrata in vigore del GDPR, l’autorità per la protezione dei dati spagnola (AEPD) ha infatti adottato ben 82 provvedimenti per questo tipo di infrazioni. E se autorità di paesi come Italia, Austria, Germania, Romania, e Lussemburgo fanno la loro parte, vi sono però diversi altri garanti che evidentemente al momento si concentrano su altre tipologie di violazioni, oppure in quelle nazioni il fenomeno dell’inosservanza delle regole sulla privacy afferenti i sistemi di videosorveglianza è più contenuto rispetto alla nostra realtà.

Se imprese e pubbliche amministrazioni risultano spesso non conformi alla normativa in materia di protezione dei dati personali quando si dotano di sistemi di videosorveglianza, a quanto pare le principali cause sono però da rinvenire nelle mani a cui si affidano. Infatti, nella parte dello studio rivolta agli installatori e agli operatori della sicurezza fisica, sono emerse notevoli carenze e mancanza di consapevolezza che spiegano in buona parte i pessimi risultati di cui la maggior parte dei cittadini intervistati si rende conto.

Su un campione di 1.127 operatori tra progettisti e installatori che hanno accettato di partecipare al sondaggio dopo aver partecipato a una sessione formativa, il 23% di questi reputano di essere soggetti a un rischio basso in materia di privacy e videosorveglianza, e il 31% pensa che vi sia un rischio medio, mentre sono solo meno della metà (46%) a rendersi conto di avere a che fare con temi complessi che comportano rischi elevati, denotando ancora scarsa sensibilità alle problematiche della protezione dei dati personali, specialmente nelle aree geografiche del sud Italia, dove è addirittura risultato che solo il 3% delle aziende di appartenenza dei professionisti intervistati sono dotate di un Data Protection Officer o di un’altra figura dedicata alle tematiche della privacy, e dalla stessa area geografica sono stati solo il 15% dei professionisti ad avvertire la necessità di ulteriori approfondimenti in un corso di formazione strutturato.

Meno della metà (46%) di progettisti e installatori di sistemi di videosorveglianza si pongono in concreto problemi sui rischi in materia di privacy

Altro elemento che denota superficialità degli addetti ai lavori della videosorveglianza nell’approccio alla privacy, ha riguardato i temi d’interesse per eventuali approfondimenti, che sono risultati prevalentemente rivolti alla redazione di un cartello di informativa conforme, ai tempi di conservazione delle immagini, e alle misure di sicurezza, mentre praticamente nessuno ha menzionato importanti criticità come la necessità di comprendere come e quando fare una valutazione d’impatto ai sensi dell’art.35 del Regolamento UE, e in quali casi occorra fare una consultazione preventiva presso il Garante ai sensi dell’art.36 per accertare se un trattamento sia lecito o meno. Allo stesso modo, nessuno si è posto problemi legati all’installazione di telecamere intelligenti, al ricorso a tecnologie di intelligenza artificiale, o sui trasferimenti di dati all’estero che, con ormai quasi tutte le telecamere collegate alla rete internet, possono avvenire più o meno consapevolmente da parte del titolare del trattamento, specialmente se chi progetta e installa un impianto di videosorveglianza tralascia di interessarsi al rispetto della privacy.

Il rapporto con i risultati completi dello studio saranno presto resi disponibili da Federprivacy ed Ethos Academy, ma il quadro che si è delineato indica chiaramente che la direzione intrapresa non è quella che può favorire un’espansione sostenibile di telecamere sempre più sofisticate che stanno invadendo sempre più la società moderna. Benché i moderni sistemi di videosorveglianza siano utili, e spesso salvifici, nei loro molteplici utilizzi, occorre però evitare che un diritto fondamentale come quello alla privacy venga sacrificato in nome della sicurezza, e il rischio che ciò accada senza una reale giustificazione è concreto, e non perché rispettare le regole sia troppo gravoso, ma piuttosto perché tra gli stessi addetti ai lavori c’è ancora scarsa consapevolezza di quanto quelle regole siano importanti per il buon funzionamento di qualsiasi società civile.

Quando è lecito controllare la posta elettronica aziendale di un dipendente senza violare la sua privacy?

Una recente sentenza del Tribunale di Genova, relativa a una dipendente licenziata dopo che il datore di lavoro controllando la sua email aveva scoperto che aveva inviato verso terzi dati riservati, permette di approfondire il tema della liceità delle verifiche sull’email di un lavoratore dipendente anche per scopi difensivi.

Si tratta di un tema che rimane sempre di grande attualità e di ampio contrasto tra gli addetti ai lavori rispetto al quale si richiama il Provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1° marzo 2007 che per quanto datato è ancora valido laddove conforme al Regolamento europeo sulla protezione dei dati n. 2016/679 (GDPR), nonché la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’art. 8, Convenzione europea dei diritti dell’uomo.

Ormai presso tutti gli uffici il collegamento ad Internet è molto diffuso, ma non bisogna dimenticare che l’uso di un computer collegato ad una rete esterna deve essere sempre molto accorto e responsabile innanzitutto per ovvie ragioni di sicurezza.

Non poche, poi, sono le questioni sorte in merito alla legittimità dell’accesso da parte del datore di lavoro o dirigente alla casella di posta elettronica aziendale del dipendente.

Al fine di risolvere tali questioni è opportuno ricordare alcuni importanti concetti:

  - l’equiparazione della posta elettronica alla corrispondenza tradizionale la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione;

  - la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro alla luce di quanto prescritto dall’attuale disciplina in tema di rapporti di lavoro, compreso lo Statuto dei lavoratori;

  - la tutela della privacy alla luce di quanto stabilito dal GDPR.

La problematica non è semplice ed il Garante alla luce dei principi di cui sopra è intervenuto già da tempo con un Provvedimento nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.

Spetta al datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Ma cosa succede nel caso di messaggi inerenti al rapporto di lavoro? Anche in questo caso opera il divieto di controllo?

L’Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori (art. 4).

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

Il Provvedimento raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio:

  - individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

  - utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l’azienda:

  - renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

  - valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

  - preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

  - metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il Garante della Privacy ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

Con riferimento allo Statuto dei lavoratori va ricordato, però, che la giurisprudenza della Corte di Cassazione già da un pò di tempo ha iniziato a rivedere l’applicazione dell’art. 4.

Difatti, con sentenza n. 4746 del 2002 la Cassazione ha escluso l’applicabilità di detto articolo ai controlli diretti ad accertare condotte illecite del lavoratore, i c.d. controlli difensivi.

Il ragionamento della Corte, in tal senso, è chiaro: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 l. n. 300 citata, è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell'accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate.

Successivamente, con la pronuncia n. 15892 del 2007, la Corte ha tuttavia ammesso un limite, affermando che i controlli difensivi non possono giustificare l’annullamento di ogni garanzia: “Né l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.

Inoltre, più di recente, la stessa Corte di Cassazione con la sentenza n. 22662 dell’8 novembre 2016, ha affermato che “in tema di controllo del lavoratore, le garanzie procedurali imposte dall’art. 4, secondo comma, legge n. 300/1970, per l’installazione di impianti e apparecchiature di controllo, richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell’attività dei lavoratori, trovano applicazione ai controlli, c.d. difensivi, diretti ad accertare comportamenti illeciti dei lavoratori, quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso.

Licenziamento e responsabilità penale per il reato di appropriazione indebita 

Il dipendente che fa il backup dei file o che trasferisce i dati informatici dal computer aziendale a quello personale (anche tramite email) commette il reato di appropriazione indebita.

Non è infrequente che un dipendente faccia il backup dei dati salvati nel computer aziendale su cui ha lavorato per anni. E lo faccia, ovviamente, non certo per “ricordo” ma per avvalersene in una eventuale successiva attività “in proprio” o alle dipendenze di un concorrente. Ebbene, cosa si rischia per l’appropriazione di file aziendali? Di tanto si è occupata più volte la giurisprudenza. Ecco una sintesi delle principali pronunce che si sono occupate di questo spinoso argomento.

Furto di documento e backup di file aziendali

Secondo una recente sentenza della Cassazione è legittimo il licenziamento per giusta causa di un lavoratore che abbia sottratto documenti aziendali contenenti informazioni “sensibili” relative all’esercizio dell’attività d’impresa (‘know-how’).

La regola in materia di licenziamento è quella secondo cui intanto si può risolvere il rapporto di lavoro in quanto il comportamento viene ritenuto così grave da ledere definitivamente il rapporto di fiducia che deve sussistere tra datore e dipendente.

Tuttavia, nel caso di furto di documenti o appropriazione di file aziendali, ai fini della valutazione della gravità della condotta non ha rilievo alcuno la natura del materiale sottratto, ossia la circostanza che il lavoratore non abbia potuto trarre un’effettiva utilità dalla documentazione (si pensi a file ormai datati e privi di alcun valore commerciale). Infatti, secondo la Cassazione, basta accertare la provenienza aziendale del materiale sottratto: già tale comportamento, a prescindere dalle ripercussioni economiche per il datore e dalla utilizzabilità dei documenti, può definirsi sufficientemente grave per far perdere ogni rapporto di fiducia nel corretto operato del lavoratore. 

Né rileva – aggiunge la Corte – che i file “backuppati” o la documentazione sottratta sia di normale consultazione o che ne sia consentita l’asportazione al di fuori dei locali aziendali. Anche qui vale lo stesso ragionamento di prima: basta il semplice fatto di aver voluto utilizzare per scopi extra-lavorativi il materiale per configurare come grave il comportamento e quindi passibile di sanzione disciplinare.

Ai fini dell’adozione del licenziamento rileva, quindi, la sola provenienza aziendale della documentazione.

L’orientamento non è nuovo. Già in passato, la Cassazione aveva confermato il licenziamento di un lavoratore sorpreso mentre trasferiva su una pen-drive di sua proprietà un numero consistente di file informatici e dati appartenenti all’impresa. Anche in tal caso è stata riconosciuta la legittimità del licenziamento del lavoratore.

In tale occasione, i giudici hanno rilevato che, per poter parlare di illecito disciplinare e applicare la relativa sanzione espulsiva, non rileva che:

 - i dati non siano stati divulgati a terzi: basta la semplice sottrazione;

 - i dati non siano protetti da password.  

Appropriazione di file aziendali: cosa si rischia?

Licenziamento e responsabilità penale per il reato di appropriazione indebita in capo al dipendente che fa il backup dei file o che trasferisce i dati informatici dal computer aziendale a quello personale (anche tramite email).

Non è infrequente che un dipendente faccia il backup dei dati salvati nel computer aziendale su cui ha lavorato per anni. E lo faccia, ovviamente, non certo per “ricordo” ma per avvalersene in una eventuale successiva attività “in proprio” o alle dipendenze di un concorrente. Ebbene, cosa si rischia per l’appropriazione di file aziendali? Di tanto si è occupata più volte la giurisprudenza. Ecco una sintesi delle principali pronunce che si sono occupate di questo spinoso argomento.  

Furto di documento e backup di file aziendali

Secondo una recente sentenza della Cassazione è legittimo il licenziamento per giusta causa di un lavoratore che abbia sottratto documenti aziendali contenenti informazioni “sensibili” relative all’esercizio dell’attività d’impresa (‘know-how’).

La regola in materia di licenziamento è quella secondo cui intanto si può risolvere il rapporto di lavoro in quanto il comportamento viene ritenuto così grave da ledere definitivamente il rapporto di fiducia che deve sussistere tra datore e dipendente.

Tuttavia, nel caso di furto di documenti o appropriazione di file aziendali, ai fini della valutazione della gravità della condotta non ha rilievo alcuno la natura del materiale sottratto, ossia la circostanza che il lavoratore non abbia potuto trarre un’effettiva utilità dalla documentazione (si pensi a file ormai datati e privi di alcun valore commerciale). Infatti, secondo la Cassazione, basta accertare la provenienza aziendale del materiale sottratto: già tale comportamento, a prescindere dalle ripercussioni economiche per il datore e dalla utilizzabilità dei documenti, può definirsi sufficientemente grave per far perdere ogni rapporto di fiducia nel corretto operato del lavoratore. 

Né rileva – aggiunge la Corte – che i file “backuppati” o la documentazione sottratta sia di normale consultazione o che ne sia consentita l’asportazione al di fuori dei locali aziendali. Anche qui vale lo stesso ragionamento di prima: basta il semplice fatto di aver voluto utilizzare per scopi extra-lavorativi il materiale per configurare come grave il comportamento e quindi passibile di sanzione disciplinare.

Ai fini dell’adozione del licenziamento rileva, quindi, la sola provenienza aziendale della documentazione.

L’orientamento non è nuovo. Già in passato, la Cassazione aveva confermato il licenziamento di un lavoratore sorpreso mentre trasferiva su una pen-drive di sua proprietà un numero consistente di file informatici e dati appartenenti all’impresa. Anche in tal caso è stata riconosciuta la legittimità del licenziamento del lavoratore.

In tale occasione, i giudici hanno rilevato che, per poter parlare di illecito disciplinare e applicare la relativa sanzione espulsiva, non rileva che:

 - i dati non siano stati divulgati a terzi: basta la semplice sottrazione;

 - i dati non siano protetti da password.

Difatti la circostanza che al lavoratore sia consentito accedere alla documentazione non lo autorizza ad appropriarsene, «creando delle copie idonee a far uscire le informazioni al di fuori della sfera di controllo del datore di lavoro».

Accesso abusivo a sistema informatico

Passiamo dall’ambito civile a quello penale. Un reato spesso commesso in ambito aziendale è quello di accesso abusivo a sistema informatico. Si verifica tutte le volte in cui un dipendente acceda alla postazione di un collega per reperire dati a cui altrimenti, dal proprio computer, non avrebbe accesso. Stesso discorso nel caso in cui, tra i due colleghi, vi sia cooperazione, sicché l’uno invii all’altro i file o le informazioni in questione.

L’accesso al sistema informatico della società non è uguale per tutti: alcuni infatti possono consultare tutte le informazioni di “base” della clientela (nomi, cognomi, indirizzo, tipologia di contratto, ecc.); altri invece hanno la possibilità di visualizzare ulteriori dati più riservati, anche sensibili come ad esempio il reddito dichiarato, eventuali rischi collegati alla persona e alla sua attività, trascorsi penali, ecc.

Se un dipendente ha bisogno di analizzare alcune informazioni relative a un cliente e il suo computer non dispone delle autorizzazioni necessarie per visualizzare l’intera scheda, potrebbe chiedere a un collega di inoltrargli il file dalla sua postazione, invece abilitata a tale verifica.

Quest’ultimo potrebbe, anche solo per mera cortesia, “girare” la mail con l’allegato. Tale condotta può costituire reato? Assolutamente sì. Lo hanno confermato anche le Sezioni Unite secondo cui integra il delitto di accesso abusivo a sistema informatico la condotta di «colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso». Sono «irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema». Lo stesso reato scatta nei confronti di chi, «pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita».

Secondo i giudici della Cassazione, dunque, in base agli orientamenti delle Sezioni unite, deve ritenersi responsabile di accesso abusivo al sistema informatico anche colui che abbia fatto sorgere il proposito criminoso nel collega (autore materiale del reato), istigandolo all’invio delle email contenenti informazioni riservate cui egli non poteva accedere perché non abilitato dal datore di lavoro in ragione del fatto che la conoscenza di tali informazioni non era necessaria ai fini dello svolgimento dei suoi compiti.

Appropriazione indebita

Sempre secondo la Suprema Corte, si può parlare di responsabilità penale del lavoratore per il reato di appropriazione indebita nel caso in cui questi restituisca al datore di lavoro il computer aziendale formattato, dopo aver copiato i dati ivi contenuti su un dispositivo personale.

Il reato di appropriazione indebita punisce con la reclusione da due a cinque anni e con la multa da 1.000,00 a 3.000,00 euro chiunque, al fine di procurare a sé o ad altri un ingiusto profitto, si appropri di una cosa mobile altrui di cui abbia, a qualsiasi titolo, il possesso. Ai fini dell’integrazione degli estremi del reato, il soggetto deve quindi indebitamente appropriarsi di una ‘cosa mobile’ altrui. E tale anche la cosa immateriale, come un un dato informatico o un file contenuto in un computer, anche se dato in dotazione al dipendente dall’azienda stessa. I file infatti continuano ad essere di proprietà dell’azienda stessa.

Naturalmente, il reato di appropriazione indebita non richiede necessariamente il backup dei file su una pen-drive. Ben potrebbe configurarsi la responsabilità penale per il semplice fatto di inviare i file tramite email dall’account aziendale a quello personale in modo da salvarli poi a casa su un altro hard disk.