Con sentenza n. 19554 del 13 settembre 2006, la Cassazione ha ritenuto che la divulgazione delle password aziendali che comporti la diffusione all’esterno di dati idonei a consentire a terzi
l’accesso ad una grande massa di informazioni attinenti l’attività aziendale integra grave inadempimento e quindi giustifica il recesso datoriale. Nella fattispecie il signor M.M. aveva
divulgato a terzi la password aziendale di accesso alla posta elettronica.

I fatti
Nel 1999 la M.T. Italia s.r.l. ha licenziato il dipendente M.M. previa contestazione disciplinare del fatto che a partire dal mese di novembre 1999 erano state eseguite connessioni con la rete
informativa interna della società utilizzando l’identificativo del M., e ciò anche da un’utenza telefonica del distretto di Milano, in giorni in cui il M. era al lavoro nella sede
di Avezzano.
In sostanza le connessioni, utilizzando le password di M., sono iniziate subito dopo il licenziamento del dipendente B. avvenuto il 26 ottobre 1999 e sono state eseguite in maggioranza
attraverso un’utenza appartenente al distretto telefonico di Milano ed intestata alla moglie B. (come da rapporto P.S.).
In seguito, pur avendo pur avendo modificato M. la propria password su richiesta del sistema informatico, pochi giorni dopo sono riprese le connessioni dall’utenza di B. con la nuova password
di M.
Quindi, M. T. Italia s.r.l. accertati i fatti e previa contestazione disciplinare procedeva al licenziamento di M..

L’impugnativa del licenziamento, accolta dal Tribunale di Avezzano in seguito al ricorso di M., è stata in seguito respinta dalla Corte d’appello di L’Aquila con sentenza 30 ottobre
2003-8 gennaio 2004, n. 91.
Infatti il giudice di appello ha ritenuto che le circostanze di fatto fossero accertate e ha esposto le sue considerazioni in maniera molto ragionata.
Egli ha ritenuto che nel senso della responsabilità diretta di M. deponevano le seguenti circostanze di fatto :

a) il M. era l’unico che conosceva le proprie password;
b) le connessioni dall’esterno sono state compiute utilizzando ben due password diverse e ciò si spiega molto facilmente se si ammette che sia stato lo stesso M. a comunicare le password
al B.;
c) dopo la modifica della password, il B. tentò inutilmente di collegarsi alla rete e vi riuscì nuovamente (utilizzando la nuova password) solamente dopo avere intrattenuto un
colloquio telefonico con il M..

In seguito la Suprema Corte, respingendo il ricorso proposto da M, ha affermato che la valutazione della proporzionalità della sanzione rispetto alla gravità della mancanza del
lavoratore si risolve in un apprezzamento di fatto incensurabile in sede di legittimità ove sorretto da motivazione adeguata e logica e quindi la sottrazione di dati aziendali è
stata ritenuta idonea ad integrare la giusta causa di licenziamento.

Considerazioni
Si può affermare che i dati aziendali siano un vero e proprio patrimonio e che pertanto, il titolare del trattamento, in questo caso la società datrice di lavoro, ha il diritto e
il dovere  di tutelare il proprio patrimonio. Quindi si pone il problema di come tutelare i propri dati senza incorrere in violazioni che potrebbero comportare sanzioni di carattere
amministrativo e penale.
Un regolamento interno per l’uso dei lavoratori di internet e delle e-mail aziendali con l’esplicito divieto di utilizzo degli strumenti informatici aziendali per fini privati e l’avviso che il
datore di lavoro si riserva di effettuare controlli mirati volti a scoprire utilizzi scorretti è la proposta indicata da Giuseppe Chiaravalloti, componente del Garante della
Privacy.
Il Regolamento aziendale, che ha un effetto prescrittivo, tuttavia non esclude l’applicazione dell’art. 4 dello Statuto dei Lavoratori (legge 300/1970).
Inoltre, il Garante Privacy con delibera del 23 novembre 2006  ha adottato le linee guida nel rapporto di lavoro privato per il trattamento dei dati personali.
Quindi il titolare del trattamento dovrà redigere il Regolamento nel rispetto della normativa privacy (D.lgs. 196/2003), tenendo conto delle linee guida del Garante ed dovrà 
effettuare gli opportuni controlli preoccupandosi di non violare il precetto di cui all’ art. 4 Legge 300/1970  (È vietato l’uso di impianti audiovisivi e di altre apparecchiature
per finalità di controllo a distanza dell’attività dei lavoratori?..)

Conclusioni
In definitiva il caso di specie sopra esposto non deve trarre in inganno.
La complessità della materia e il fatto che l’orientamento giurisprudenziale non è sia ancora ben definito in merito ci induce a pensare che le problematiche connesse alla
gestione degli strumenti informatici nell’ambito del rapporto di lavoro vadano affrontate con prudenza e professionalità.

Matteo Mazzon