Il bancario ficcanaso viola la privacy e viene licenziato

La vicenda

Un dipendente di banca ha eseguito alcuni accessi all'elenco clienti dell'istituto per il quale lavorava, al fine di visionare la posizione di vari correntisti (alcuni dei quali, tra l'altro, non seguiti direttamente da lui), senza che ci fossero però ragioni di servizio che giustificassero le interrogazioni. Il dipendente ha potuto effettuare gli accessi giacché in possesso delle necessarie credenziali. La banca, appresa la circostanza, ha proceduto con il licenziamento per giusta causa, contestando al lavoratore varie inosservanze, la più importante delle quali ha riguardato la violazione della privacy.

Il merito

Il dipendente si è quindi rivolto all'Autorità Giudiziaria ed ha ottenuto soddisfazione sia dal Tribunale adito sia dalla Corte di Appello, che ne ha ordinato il reintegro. Alla base delle motivazioni dei giudici di merito, ci sono state due considerazioni: 1) la mancata affissione o consegna del codice disciplinare, vale a dire di quel documento con cui l'azienda indica al lavoratore le regole di utilizzo del computer, di internet, della posta elettronica, nonché le attività vietate, informandolo dei possibili controlli (cfr. Linee guida del Garante per posta elettronica e internet – doc web Garante Privacy 1387978); 2) la tipologia di accessi ed i tempi in cui sono stati eseguiti. La Corte di Appello ha ritenuto prevalenti le circostanze che le interrogazioni non avessero riguardato le movimentazioni e fossero state eseguite in tempi brevissimi da soggetto titolare delle credenziali di accesso, rispetto alla contestazione che il titolo per accedere fosse necessariamente vincolato ad una finalità di servizio e limitato ad i soli clienti di interesse per ogni singolo dipendente. Per questi motivi la Corte territoriale ha ritenuto l'illecito di particolare tenuità, e quindi sproporzionata la sanzione del licenziamento.

L'istituto di credito, fermamente convinto delle proprie ragioni, si è quindi rivolto alla Corte di Cassazione.

La Cassazione

Secondo i giudici della Cassazione il ricorso dell'istituto di credito è fondato. Il licenziamento per giusta causa può fondarsi su violazioni del minimo etico e su condotte che ledano la fiducia del datore di lavoro, anche in assenza della previa affissione del codice disciplinare, quando si tratti di violazione di norme di legge o di doveri di lealtà e riservatezza (cfr. Cassazione 6893/2018). Inoltre, è ormai pacifico come l'accesso abusivo a sistema informatico si realizzi anche quando l'agente sia titolare delle password se eseguito per finalità personali o comunque non riconducibili ad esigenze di servizio (cfr. Cassazione 3025/2025, Cassazione 34141/2019, Cassazione 2905/2019, Cassazione 2905/2018, Cassazione 52572/2017, Cassazione, SS.UU. 41210/2017), e come tale violazione non possa essere considerata "lieve" (cfr. Cassazione 28928/2018 – Cassazione 19588/2021 – Cassazione 34717/2021). Scrivono i Giudici: "disporre di strumenti informatici volti al compimento delle operazioni finanziarie del dipendente di un istituto bancario non è di certo sinonimo di accesso indiscriminato a banche dati al di fuori della stretta necessità di compiere tali operazioni nell'interesse dell'istituto e dei clienti…Il fatto nella sua materialità non può considerarsi lieve, allorché si concreti in una violazione degli obblighi di protezione dei dati personali previsti dal d. lgs. 196/2003".

Analogamente priva di pregio è stata ritenuta la presunta violazione della mancata affissione del codice disciplinare. La sua pubblicazione o meno è irrilevante quando la condotta del lavoratore costituisce violazione dei termini di legge o di principi fondamentali di correttezza e buona fede, immediatamente percepibili dal dipendente come illeciti (cfr. Cassazione 13906/2013 – Cassazione 22626/2003 – Cassazione 6893/2018). Ci sono circostanze, infatti, in cui il lavoratore necessariamente percepisce, se non in punta di diritto quanto meno per semplice buonsenso, l'illiceità del suo comportamento e la possibilità che ciò possa pregiudicare il rapporto di lavoro con particolare riguardo al vincolo fiduciario. L'accesso ai conti correnti dei clienti senza ragioni di servizio configura una grave violazione del codice in materia di protezione dei dati personali. Pertanto, ribadiscono i giudici, "il datore di lavoro non era tenuto ad affiggere un codice disciplinare che sanzionasse espressamente un comportamento evidentemente illecito".

La decisione

A conferma di come gli aspetti relativi alla privacy ed alla riservatezza e sicurezza delle informazioni stiano sempre più diventando un fattore nelle aule di giustizia, e di come sia utile, se non necessario, prendere in considerazione tali aspetti, la Corte di Cassazione, con l'ordinanza numero 2806 del 5 febbraio 2025, ha accolto il ricorso dell'istituto bancario e cassato la sentenza della Corte di Appello, cui ha rinviato gli atti per un nuovo esame del caso alla luce dei principi in diritto enunciati.

Andrea Pedicone

Consulente investigativo ed in materia di protezione dei dati personali

Auditor/Lead Auditor Qualificato UNI CEI EN ISO/IEC 27001:2017

Sistemi di Gestione per la Sicurezza delle Informazioni