LE SANZIONI PER I DIPENDENTI INFEDELI. LA PRIVACY METTE IN DIFFICOLTÀ ANCHE IL DATORE DI LAVORO
di Antonio Ciccia Messina
Poker di rischi per il lavoratore che scippa dati aziendali. C’è il rischio civilistico, quello disciplinare, quello penalistico e quello per violazione della privacy. Proprio quest’ultimo fronte (violazione della privacy) mette anche il datore di lavoro con le spalle al muro, potendosi contestare ai suoi danni una condotta di data breach (violazione dei dati personali). Con il risultato, per il datore di lavoro, di essere, nel contempo, vittima e reo: vittima del dipendente infedele e reo per non aver saputo arginare una violazione della riservatezza. Ma vediamo, dunque, di tratteggiare il quadro delle responsabilità connesse alla indebita fuoruscita di dati dal perimetro aziendale.
Il rischio civilistico espone alla richiesta di risarcimento del danno, quello disciplinare al licenziamento e alle altre sanzioni disciplinari; il rischio penalistico alle sanzioni penali per reati informatici e contro il patrimonio aziendale. Il rischio privacy espone alle sanzioni amministrative del Garante per il trattamento illecito dei dati e violazioni degli obblighi previsti dalla disciplina sulla protezione dei dati personali.
Il lavoratore che saccheggia i dati aziendali commette, innanzi tutto, un illecito disciplinare, disattendendo gli obblighi che discendono dal rapporto di lavoro dipendente. L’accesso alle informazioni aziendali si giustifica con lo svolgimento delle mansioni e con il rapporto fiduciario con il datore di lavoro. Se i dati sono appresi e utilizzati per ragioni diverse dallo svolgimento dei compiti connessi alla posizione aziendale ricoperta si commette un illecito disciplinare, che merita sanzioni incidenti sul rapporto di lavoro. Ed è prevedibile che la sanzione congrua sia, molto spesso, la risoluzione del rapporto di lavoro. Proprio il valore acquisito dei dati nella società connessa dalla rete Internet giustifica l’opzione per la sanzione espulsiva.
L’inadempimento degli obblighi derivanti dal contratto di lavoro merita anche la richiesta di risarcimento dei danni subiti per effetto della condotta del lavoratore, sia in termini di danno emergente sia di lucro cessante. L’asportazione di dati può essere destinato, poi, a manovre concorrenziali fraudolente, così da dare adito alla contestazione di atti di concorrenza sleale con le conseguenze risarcitorie del caso.
Il profilo “privacy” è probabilmente quello meno considerato, anche se rappresenta per il datore di lavoro un’arma a doppio taglio. Se un dipendente si porta via dati aziendali, che rappresentano anche dati personali (ad esempio la lista anagrafica dei clienti), siamo di fronte alla detenzione di dati senza una valida giustificazione e, certamente, per scopi personali extra professionali. Il lavoratore diventa un titolare del trattamento, che detiene dati acquisiti illecitamente e di ciò risponderà di fronte al Garante della privacy.
Peraltro, il fatto stesso che i dati siano stati trafugati implica una cattiva organizzazione aziendale ed allora scatta una sanzione anche per il datore di lavoro.
Si tratta nella sostanza di una responsabilità oggettiva, che la giurisprudenza pudicamente chiama responsabilità per organizzazione.
L’estrazione di dati personali rappresenta un’esfiltrazione illecita che rientra a pieno titolo nella violazione dei dati (data breach). E questo obbliga il datore di lavoro ad autodenunciare l’accaduto al Garante della privacy (cosiddetta notificazione del data breach) e a darne notizia (comunicazione) agli interessati.
L’omissione di questi due obblighi comporta l’esposizione a una sanzione pecuniaria irrogata dal Garante della privacy (articoli 33, 34 e 83 Regolamento Ue sulla privacy n, 2016/679). Se, poi, gli interessati sono i clienti il danno reputazionale può dare una mazzata decisiva al buon andamento dell’impresa.
C’è, infine, il rischio penale, che può realizzarsi nella commissione di più di un reato. Potrebbero essere reati di spionaggio industriale (articoli 622 e 623 codice penale) oppure il reato di accesso abusivo ad un sistema informatico o telematico (art. 615-ter) e altri reati informatici. Ma non è esclusa anche la possibilità di contestare l’appropriazione indebita dei documenti informatici. Senza dimenticare, anche qui, il comparto privacy: il relativo codice sanziona penalmente il trattamento illecito di dati (articolo 167), la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (articolo 167- bis) e l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (articolo 167-ter).
Fonte: