Il Regolamento UE n. 679/2016, in relazione al fatto che chiunque acceda a dati personali nell’ambito di un’organizzazione soggetta alle norme europee sul trattamento di dati personali deve essere istruito e autorizzato è molto chiaro e inflessibile, oltre a ciò il regolamento raccomanda di rispettare il principio di minimizzazione dei dati che si sostanzia anche nel fatto che ogni soggetto autorizzato al trattamento debba accedere unicamente ad informazioni personali per le quali ha ricevuto un’autorizzazione perché trattasi di informazioni connesse allo svolgimento delle proprie mansioni.
Quando il dipendente, pur istruito e autorizzato, accede ad informazioni personali che non gli competono, contravvenendo dunque alle istruzioni impartite dal titolare del trattamento, non solo può essere passibile di sanzioni disciplinari che possono arrivare anche al licenziamento o di azioni civili con richieste di risarcimento danni, ma può anche in alcuni casi essere perseguito penalmente. E’ quello che è successo nell’ambito di un recente caso su cui si è pronunciata la Corte di Cassazione (Sentenza Cass. n. 565/2019) che ha confermato la sentenza a carico di un dipendente per il reato di cui all’art. 615-ter c.p. capo B (rubricato Accesso abusivo ad un sistema informatico) ovvero per aver concorso, assieme ad un collega, nel trattenersi abusivamente nel sistema informatico protetto dell’azienda per la quale lavorava.
La condotta si era configurata per aver istigato il collega – autore materiale del reato - ad inviargli, utilizzando l’account di posta elettronica attivato sul dominio dell’azienda e a lui in uso, due e-mail alla casella di posta aziendale, allegando un file excel contenente informazioni riservate e dati personali di clienti, informazioni alle quali il dipendente non aveva accesso, nonché per aver ricevuto dal collega due ulteriori e-mail dello stesso tenore, che lo stesso dipendente aveva inviato al proprio indirizzo di posta personale. La Corte d’Appello di Milano, chiamata ad esprimersi sulla condanna emessa da parte dei giudici di prime cure, ribaltando la decisione, aveva assolto il dipendente correo dalla pena, ma, in favore dell’azienda datrice di lavoro, aveva confermato la sua responsabilità ai soli effetti civili.
Il dipendente aveva promosso ricorso in Cassazione contro tale decisione. I giudici della Cassazione hanno rigettato il ricorso, riprendendo in motivazione quanto già precisato dalle Sezioni Unite, ovvero il fatto che “integra il delitto previsto dall'art. 615-ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema” (Sez. U, n. 4694/2012 del 27/10/2011, Casani, Rv 251269) e il fatto che integra il delitto previsto dall'art. 615-ter cod. pen. la condotta di colui che “pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita” (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061 - 01).
Secondo i giudici della Cassazione, dunque, in base agli orientamenti delle Sezioni Unite, deve ritenersi responsabile di accesso abusivo al sistema informatico anche colui che abbia fatto sorgere il proposito criminoso nel collega (autore materiale del reato), istigandolo all’invio delle email contenenti informazioni riservate cui egli non poteva accedere perché non abilitato dal datore di lavoro in ragione del fatto che la conoscenza di tali informazioni non era necessaria ai fini dello svolgimento dei suoi compiti.
Benchè le decisioni su cui la Corte, in tale occasione, si è soffermata siano riferite al settore pubblico e dunque alla condotta di un pubblico funzionario, i principi ivi espressi possono essere trasferiti anche al settore privato, poiché rilevano i doveri di fedeltà e lealtà del dipendente che caratterizzano certamente anche il rapporto di lavoro privatistico. Ragion per cui deve ritenersi illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri «manifestandosi in tal modo la "ontologica incompatibilità" dell'accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere» (Sez. U, n. 41210 del 18/05/2017 in motivazione).
La dimostrazione del fatto che il comportamento tenuto dal ricorrente avesse effettivamente fatto sorgere il proposito criminoso nel collega, autore materiale, nel caso di specie, era stata dedotta dai giudici di merito dalle email scambiate tra i due dipendenti e dalla conferma da parte del correo dell’invio delle informazioni al ricorrente, elementi che la Cassazione ha ritenuto valide prove ai fini della condanna nel rispetto dei parametri valutativi come definiti dall’art. 192 comma 3 cod. proc. pen., come enucleati dalla giurisprudenza di legittimità (cfr. per tutte Sez. U. n. 20804 del 29 novembre 2012).
E’ fondamentale dunque valutare le conseguenze che un comportamento non idoneo, ma apparentemente privo di rischi, può comportare per i soggetti autorizzati che operano su informazioni personali (ma ciò, in verità, vale anche per dati non personali riservati) e rispettare le istruzioni impartite dal datore di lavoro, non accedendo o tentando in qualsiasi modo di accedere ad informazioni per le quali non si è abilitati, diversamente ci si potrebbe ritrovare coinvolti in situazioni sfortunate.