L’accesso abusivo del lavoratore alla banca dati aziendale non può essere considerato un fatto lieve. Con questa conclusione la Cassazione ha confermato, in sostanza, la legittimità della sanzione disciplinare irrogata ad un lavoratore, dipendente di un istituto di credito, che era stato licenziato (anche) per aver violato la normativa della privacy per accessi abusivi ai conti correnti di varie persone effettuati tramite il programma informatico aziendale e senza legittime ragioni di servizio (ordinanza n. 2806 del 5 febbraio 2025).
La Banca ricorrente aveva lamentato, tra le altre cose, che la Corte avesse erroneamente escluso la rilevanza disciplinare dell’accesso abusivo del lavoratore alla banca dati aziendale, nonostante fosse emerso che tali interrogazioni avessero riguardato conti correnti di soggetti estranei alla sfera di competenza lavorativa del dipendente e non fossero giustificate, come detto, da alcuna necessità di servizio. La Cassazione ha reputato la censura fondata.
Nell’accogliere il motivo di ricorso, la Corte ha ricordato la giurisprudenza di legittimità secondo la quale il licenziamento per giusta causa “può fondarsi su violazioni del “minimo etico” e su condotte che ledano la fiducia del datore di lavoro, anche in assenza della previa affissione del codice disciplinare, quando si tratta di violazione di norme di legge o di doveri fondamentali di lealtà e riservatezza”.
Nel caso di specie, la Corte territoriale, per escludere la rilevanza del fatto, dopo aver evidenziato che il lavoratore era titolare delle credenziali e che, quindi, per tale ragione, gli accessi non fossero abusivi, aveva valorizzato la circostanza che le consultazioni, avvenute in tempi brevissimi, non vertevano sulla lista movimenti e che, in altri casi, per analoghe condotte, la banca non aveva irrogato la sanzione espulsiva. La Corte d’appello aveva infatti concluso nel senso che l’illecito, seppure sussistente, doveva essere considerato di particolare tenuità, e la sanzione, dunque, era sproporzionata.
Tuttavia – rammenta la Corte – in casi analoghi la giurisprudenza di legittimità aveva già chiarito che “l’accesso al sistema informatico aziendale non può essere considerato lieve quando realizzato per finalità personali o comunque non riconducibile ad esigenze di servizio”.
È evidente, peraltro, secondo la Cassazione, che “il potere di disporre di strumenti informatici volti al compimento delle operazioni finanziarie del dipendente di un istituto bancario non è di certo sinonimo di accesso indiscriminato a banche dati al di fuori della stretta necessità di compiere tali operazioni nell’interesse dell’istituto e dei clienti”.
Pertanto, l’accesso, privo di causa, deve essere valutato dal giudice di merito, in relazione al rapporto fiduciario tra datore e prestatore di lavoro, che concede l’utilizzo di tali strumenti ai propri dipendenti affinché operino in maniera lecita durante la prestazione lavorativa. Dunque – si legge nella pronuncia – “il fatto, nella sua materialità (il cui accertamento rientra ovviamente nel giudizio di merito) non può essere considerato lieve, allorché si concreti in una violazione degli obblighi di protezione dei dati personali previsti dal d.lgs. 196/2003”.