Può costituire un illecito penale inviare a un collega un’email contenente dati riservati
Un dipendente di un importante gruppo bancario internazionale chiedeva a un suo collega, non avendone egli accesso, i dati relativi ai conti correnti di alcuni clienti della banca (nello specifico, i nominativi degli intestatari e i relativi saldi); quest’ultimo, che era invece autorizzato a trattare i dati in questione, riscontrava positivamente la richiesta provvedendo a inviare – con l’account di posta elettronica aziendale – le suddette informazioni, organizzate in un file Excel
La banca, accortasi di ciò, segnalava la condotta del lavoratore alle autorità competenti. Al termine del procedimento giudiziario di primo grado il lavoratore veniva dichiarato colpevole del reato di cui all’articolo 615-ter del codice penale nonché civilmente responsabile nei confronti della banca.
Contro tale provvedimento il lavoratore proponeva appello. La Corte d’Appello di Milano riformava parzialmente la sentenza di primo grado e proscioglieva il lavoratore dal reato di cui all’articolo 615-ter del codice penale (a causa della prescrizione del reato contestato), mentre veniva confermata la responsabilità civile dello stesso nei confronti della banca.
Secondo la Corte d’Appello di Milano, la responsabilità del lavoratore sorgeva in relazione al suo concorso nell’attività del collega, il quale aveva provveduto a inviare i dati riservati attraverso il sistema informatico della banca.
L’8 gennaio 2019, la Corte di Cassazione, Sezione Penale, ha confermato la sentenza della Corte D’Appello di Milano.
Come statuito dalla Corte di Cassazione, anche i soggetti autorizzati ad accedere a determinati dati possono commettere reato se utilizzano questi dati in modo improprio (cioè in modo contrario alle istruzioni fornite dal proprietario del sistema). Inoltre, l’autorizzazione ad accedere a un sistema informatico per determinati scopi non consente l’accesso per altri motivi oltre a quelli espressamente indicati dall’autorizzazione stessa.
Nel caso di specie, avendo la Corte accertato che presso la banca in questione vi erano prassi e policy in base alle quali i dati riservati relativi ai clienti affidati a un determinato dipartimento erano accessibili solo ai lavoratori di tale dipartimento e non ai membri di altri dipartimenti, concludeva che la trasmissione – attraverso il sistema informatico della banca – di dati da un dipendente autorizzato ad accedere a tali dati a un dipendente senza autorizzazione, costituiva reato ai sensi dell’articolo 615-ter del codice penale, in quanto tale operazione non era consentite dal datore di lavoro (proprietario del sistema informatico) e, quindi, era stata effettuata mediante uso non autorizzato del suo sistema informatico.
E’ il caso, peraltro, di rilevare come una siffatta condotta, oltre alle suddette conseguenze di carattere penale, espone i responsabili del trattamento dei dati a potenziali gravi violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) (2016/679). Nel caso in esame, infatti, il lavoratore si era fatto inviare il file Excel in discorso, che conteneva dati personali dei correntisti, al proprio indirizzo email privato.
Secondo il GDPR, i datori di lavoro, in qualità di responsabili del trattamento dei dati, devono adottare misure di sicurezza idonee a garantire la disponibilità e l’integrità dei sistemi informatici e dei dati, ivi inclusa la prevenzione di usi impropri che possono dar luogo a responsabilità anche di carattere risarcitorio.
Per ulteriori informazioni su questo tema si prega di contattare Luca Daffra presso Ichino Brugnatelli e Associati, telefonicamente (+39 02 48193249) o via email (luca.daffra@ichinobrugnatelli.it). Il sito Ichino Brugnatelli e Associati è accessibile su www.ichinobrugnatelli.it.