Un device aziendale è uno strumento che viene consegnato ad un dipendente al fine di condurre la propria attività lavorativa. Questi dispositivi sono di proprietà aziendale, pertanto il lavoratore deve utilizzarli secondo gli accordi stipulati e seguendo le policy aziendali.

Capita spesso che, di fronte alla consegna di uno smartphone nuovo e di ultima generazione, i dipendenti possano considerare di utilizzare il dispositivo anche per svolgere faccende personali: scaricare applicazioni, scattare foto da postare sui propri profili social, utilizzare chat e caselle mail personali. Dimenticano, però, che non si può sbandierare la parola “Privacy” per tenere lontano il capo dagli affari propri se questi sono contenuti sul dispositivo di proprietà dell’azienda.

 

Quando è possibile eseguire dei controlli mirati?

Secondo l’articolo 4 della legge 20 maggio 1970, n.  300 e successive modifiche, i device aziendali possono essere soggetti a controlli da parte del datore di lavoro o di un suo delegato, nel caso in cui sussista il fondato sospetto che sia stato commesso un illecito ai danni dell’azienda.

Gli accertamenti, però, devono essere condotti secondo le norme vigenti e, in materia di Privacy, rispettando i principi di necessità, finalità, trasparenza, proporzionalità e sicurezza.

Ad esempio, un datore di lavoro non può prendere il portatile di un dipendente (senza che questo sia informato e senza una reale motivazione), accedere ad una cartella nominata “Documenti personali”, salvare i documenti presenti su una chiavetta USB e tenerli ad oltranza senza alcuna misura di sicurezza. Questa circostanza sarebbe una violazione della privacy del dipendente.

Al contrario, un datore di lavoro, che nutre il fondato sospetto di illecito e con il fine di salvaguardare il patrimonio aziendale, può commissionare ad un professionista specializzato una verifica mirata sul device. Se, in seguito al controllo, emergono strani file, programmi o movimenti di documenti, si possono estrapolare i dati di interesse, i quali vanno poi custoditi in modo sicuro e per il tempo ragionevole per condurre i dovuti accertamenti.

La questione sui controlli dei device aziendali è abbastanza spinosa e la linea che divide la tutela del patrimonio aziendale dai diritti fondamentali dei lavoratori e la salvaguardia della loro privacy rimane, ancora oggi, grigia e complessa.

Nell’ultimo anno, la Corte di Cassazione si è pronunciata in merito a due casi sui controlli difensivi, che si sono resi necessari poiché due lavoratori hanno commesso gravi illeciti ai danni delle rispettive aziende utilizzando i device aziendali a loro in uso.

 

Corte di Cassazione, sentenza n. 25732 del 22 settembre 2021

La vicenda ha riguardato una Fondazione, la cui rete è andata in tilt a causa di un virus informatico. Da un controllo tecnico è stato appurato che il programma in questione proveniva da un file scaricato nel disco fisso del computer di una dipendente: il virus si è poi propagato per tutta la rete aziendale, criptando files, danneggiandoli e rendendoli non più utilizzabili.

Al fine di bonificare tutta la rete della Fondazione, è emerso che la dipendente navigava su diversi siti web, presumibilmente per scopi privati, sottraendo tempo alla propria attività lavorativa.

Con il ricorso della lavoratrice, il Garante della Privacy ordinava alla Fondazione di astenersi da ogni ulteriore trattamento dei dati acquisiti dalla cronologia del Browser Google Chrome del pc aziendale in questione, se non per la conservazione ai fini dell’acquisizione da parte giudiziaria.

La Corte di Cassazione si è pronunciata a favore dell’azienda, la quale ha condotto dei controlli sul device in uso alla dipendente dopo il fatto in questione (il data breach) e in ottica di bonificare la rete e salvaguardare il patrimonio aziendale.

 

Corte di Cassazione, sentenza n. 33809 del 12 novembre 2021

Il caso ha coinvolto un dirigente dimissionario che, prima di riconsegnare il pc portatile a lui in uso, aveva formattato il device ed eliminato tutti i dati presenti, tra cui file e dati di proprietà aziendale.

L’organizzazione si è poi rivolta ad un tecnico informatico per ripristinare i file eliminati, ma – durante il controllo – sono emerse delle chat Skype dove l’ex dirigente teneva dei contatti con la concorrenza e inviava loro documenti riservati.

L’ex dirigente presenta ricorso, sostenendo che il controllo si è esteso sulla corrispondenza privata.

La Corte di Appello accoglie il ricorso, ma la Cassazione ribalta la sentenza: i giudici stabiliscono che non è necessario il consenso per il trattamento dei dati personali quando rappresentano una prova di difesa in sede giudiziaria.

In questa vicenda i controlli difensivi si sono resi necessari perché con il ripristino dei file eliminati – operazione eseguita per salvaguardare il patrimonio aziendale – sono emersi dei fatti che provano una condotta illecita e disonesta da parte dell’ex dirigente in materia di concorrenza sleale.

 

Le due vicende dimostrano che la materia dei controlli difensivi dei device aziendali in uso ai dipendenti è molto complessa e, il più delle volte, non è chiaro dove iniziano e finiscono i diritti di una e dell’altra parte.

Per evitare il verificarsi di questi eventi è bene fornire una corretta informazione ai lavoratori sull’utilizzo dei dispositivi a loro in uso: conoscere ciò che è consentito e ciò che vietato è la prima misura di tutela del patrimonio tangibile e intangibile dell’azienda.

Il Team di Kriteria Investigazioni può aiutarti a redigere delle policy aziendali chiare, precise e funzionali per garantire un uso corretto dei device aziendali e tutelare i diritti dell’azienda e dei propri dipendenti.

Se, invece, nutri il fondato sospetto che un tuo collaboratore stia commettendo o abbia commesso gravi illeciti ai danni della tua impresa attraverso gli strumenti in suo uso, affidati ai professionisti di Kriteria Investigazioni: dopo una prima analisi del caso, valuteremo insieme al Cliente e ai suoi legali, quale strategia adottare per ottenere le prove utili da presentare in Sede Giudiziaria e far valere i propri diritti.