L’uso personale di un computer aziendale da parte del dipendente può dare luogo a conseguenze rilevanti sotto molti punti di vista. Si tratta di un’ipotesi che ricorre frequentemente e che assume, perciò, una notevole rilevanza pratica.

Sempre più spesso i datori di lavoro scelgono di dotare i propri dipendenti di dispositivi aziendali. Ciò nonostante, non sempre i dipendenti che ricevono un computer aziendale sono informati e formati sul suo corretto utilizzo. Tali dispositivi sono spesso impiegati in maniera scorretta o inappropriata, anche per uso personale.

Un uso per finalità personali di questi dispositivi può portare dei rischi per la sicurezza dei dati e dei sistemi aziendali. I dipendenti, infatti, potrebbero esporre i dispositivi aziendali ad attacchi informatici, o, peggio, installare virus o malware (attenzione in particolare alle pendrive USB e ai ransomware!).

L’utilizzo del computer aziendale per scopi diversi dallo svolgimento della mansione assegnata può comportare conseguenze negative per il lavoratore sul piano disciplinare, sul piano della responsabilità civile e infine sul piano penalistico.

Il computer aziendale: uno “strumento di lavoro”

Una premessa, però, è necessaria: il computer aziendale è uno “strumento di lavoro”. Con questo termine, infatti, lo Statuto dei Lavoratori (L. 300/1970, art. 4, co. 2) indica tutti i mezzi utilizzati dal lavoratore per “rendere la prestazione lavorativa”.

Definire in questo modo il computer aziendale consegnato al dipendente significa ammettere che il device possa essere sottoposto a controlli da parte del datore di lavoro. Ad esempio, il titolare potrebbe avere interesse ad accertarsi che il lavoratore non faccia un uso personale del dispositivo aziendale. Attraverso questi controlli occasionali la circostanza può essere facilmente verificata.

Non dimentichiamo, però, che l’esame deve essere saltuario e fatto con modalità tali da garantire la tutela della riservatezza e la protezione dei dati personali del lavoratore (come già spiegato in dettaglio in questo articolo, e, per la gestione di email ed account di ex dipendenti, in quest’altro articolo).

La differenza con il BYOD

L’uso personale del computer aziendale deve essere tenuto distinto dall’uso che il lavoratore faccia del proprio computer personale anche per scopi professionali.

Negli ultimi tempi, anche a causa dell’introduzione “forzata” dello smart working in molte aziende, si è preferito incentivare l’uso del device personale del lavoratore per lo svolgimento delle mansioni piuttosto che acquistare un computer aziendale apposito.

Questa scelta è sintetizzata nel termine BYOD (acronimo di “Bring Your Own Device”).

Si tratta di una soluzione di compromesso: il device contiene al proprio interno sia documenti e programmi “di lavoro”, sia files e app personali o di svago.

La tentazione di navigare nel web o giocare online durante l’orario di lavoro in questi casi è fortissima.

L’importanza dei regolamenti aziendali per impedire comportamenti scorretti

Nelle ipotesi in cui il dipendente sia munito di un computer aziendale è opportuno adottare un apposito regolamento interno con il quale regolare le modalità e le condizioni di utilizzo del computer aziendale. Il regolamento dovrebbe di preferenza essere elaborato con il coinvolgimento delle rappresentanze sindacali e nel rispetto della L. 300/1970 (Statuto dei lavoratori).

Il regolamento aziendale dovrebbe prendere posizione sull’uso per fini personali dei dispositivi aziendali da parte dei dipendente. Il disciplinare potrebbe vietarlo senza eccezioni oppure ammetterlo, sia pure entro alcuni limiti.

In questo caso il regolamento aziendale dovrebbe prevedere espressamente tale facoltà e stabilire nella maniera più precisa possibile i tempi e i modi in cui è consentito l’uso personale. Ad esempio, potrebbe consentire l’uso personale del computer aziendale solo per un’ora al giorno o durante la pausa pranzo, solo per compiere certe attività (navigare nel web sì / social network no), e così via.

Inoltre, il disciplinare deve prevedere le modalità e la frequenza dei controlli del datore di lavoro sul corretto utilizzo dello strumento aziendale.

Anche il Garante per la protezione dei dati personali raccomanda l’adozione di un regolamento interno. Si tratta di uno strumento, utile a informare il dipendente e ad assicurare a quest’ultimo il controllo sui propri dati personali.

È necessario che il datore di lavoro formi adeguatamente i propri dipendenti sui rischi e sulle problematiche connesse all’uso scorretto del computer aziendale. Questo perché l’utilizzo inappropriato dello strumento, impiegato per scopi non inerenti all’attività lavorativa, potrebbe creare disservizi e causare danni all’impresa.

Uso personale del computer aziendale: le sanzioni disciplinari

L’adozione di uno specifico regolamento interno sull’uso dei dispositivi aziendali è importante anche per consentire l’applicazione di eventuali sanzioni disciplinari nei confronti del lavoratore.

E’ necessario che il disciplinare indichi espressamente quali condotte sono consentite e quali, al contrario, sono vietate. Rispetto ai divieti, poi, il regolamento dovrebbe prevedere le sanzioni applicabili a ciascuna violazione. Queste sanzioni possono consistere nell’avvertimento, nella sospensione dal lavoro per un certo tempo o addirittura nel licenziamento.

Questa elencazione permetterà al datore di lavoro di “mettere in guardia” il dipendente sulle possibili conseguenze derivanti dall’uso personale del computer aziendale. Anche il lavoratore sarà in questo modo adeguatamente informato e potrà agire consapevolmente.

I controlli del datore di lavoro

Una volta adottato il regolamento aziendale, se in occasione di un controllo occasionale il datore di lavoro accerti che il computer aziendale è stato impiegato dal lavoratore per uso personale, egli potrà applicare una sanzione disciplinare.

E’ importante però che le verifiche ispettive del datore di lavoro siano svolte con modalità tali da assicurare il rispetto della normativa in materia di protezione dei dati personali. Questo perché le attività di controllo svolte dal titolare possono costituire un trattamento dei dati personali del dipendente conservati sul computer aziendale.

Ad esempio, il titolare potrebbe essere costretto a registrare, conservare, consultare, comunicare a terzi i dati personali del dipendente per portare a termine l’attività di verifica.

In questi casi, il datore di lavoro deve svolgere tali controlli nel rispetto dei principi vigenti in materia di protezione dei dati personali. In caso contrario, la sanzione disciplinare applicata potrebbe essere ritenuta illegittima.

Questo principio è stato affermato dalla Corte di Cassazione (sentenza n. 22313/2016, Cass. civ., Sez. Lavoro), la quale ha dichiarato illegittimo il licenziamento applicato dal datore di lavoro a seguito di verifiche svolte in modo contrario ai principi di pertinenza, correttezza e non eccedenza del trattamento dei dati.

Uso personale del computer aziendale e risarcimento del danno

L’uso personale del computer aziendale da parte del dipendente può produrre conseguenze rilevanti anche sul piano civilistico.

Il lavoratore può essere chiamato a risarcire i danni, sia patrimoniali sia non patrimoniali, subiti dal proprio titolare per effetto dell’uso inappropriato del device.

Ad esempio, il lavoratore che subisca un attacco informatico durante la navigazione su siti web non consentiti può essere chiamato a rispondere delle conseguenze causate dal malware sulla rete informatica aziendale.

Si tratta di un caso realmente accaduto, affrontato dalla Corte dei Conti – sez. giurisdiz. Basilicata – in questa sentenza.

Uso personale del computer aziendale: le conseguenze penali

L’uso personale del computer aziendale da parte del dipendente può dare luogo, infine, a conseguenze rilevanti sul piano penale.

Anzitutto, il dipendente può incorrere in responsabilità penale quanto utilizza il computer aziendale per scopi personali e questo comportamento rappresenta già di per sé un reato.

Inoltre, l’uso personale del computer “di lavoro” potrebbe configurare il reato di accesso abusivo a un sistema informatico, previsto dall’art. 615-ter del Codice penale, quando il dipendente acceda o si trattenga abusivamente all’interno di un sistema informatico.

La prima condotta riguarda le ipotesi in cui il lavoratore entra in uno spazio virtuale qualificabile come “domicilio informatico” (ad es. il gestionale aziendale, la rete intranet, ecc.) senza autorizzazione. La seconda condotta riguarda le ipotesi in cui il lavoratore, legittimato ad accedere al sistema telematico o alla banca dati, si intrattiene all’interno dello spazio virtuale contro la volontà del suo titolare.

In entrambi i casi, il dipendente che usi il computer aziendale per tali scopi potrebbe incorrere in responsabilità penale.

Se il lavoratore esercita una pubblica funzione legislativa, giudiziaria o amministrativa (ossia è qualificabile come “pubblico ufficiale”) o presta un pubblico servizio (ed è quindi qualificabile come “incaricato di pubblico servizio”) e possiede un computer in ragione dell’ufficio o del servizio svolto, potrebbe anche commettere il reato di peculato d’uso, punito dall’art. 314, comma 2, del Codice penale.

La condotta penalmente rilevante consiste nel fatto che il pubblico funzionario, che utilizza un computer di proprietà della P.A. per svolgere le proprie mansioni, impiega per un breve periodo il device per scopi personali e quindi se ne appropria temporaneamente, per poi restituirlo al suo titolare subito dopo (utilizzando cioè nuovamente il computer per soli scopi professionali).

La responsabilità per i reati commessi dal dipendente tramite dispositivi aziendali

Infine, potrebbero emergere delle responsabilità penali, anche per l’azienda, quando il lavoratore commette reati utilizzando i dispositivi aziendali.

A titolo di esempio possiamo citare la detenzione e la divulgazione di materiale pedopornografico, puniti rispettivamente dagli articoli 600-ter e 600-quater del Codice penale, commessi attraverso il device aziendale.

Infine, la condotta illecita del dipendente potrebbe comportare anche la responsabilità penale dell’ente ai sensi del D.Lgs. 231/2001.

Infatti, il lavoratore subordinato è qualificabile come “soggetto sottoposto all’altrui direzione e vigilanza” e come tale può, con il proprio comportamento, tenere delle condotte penalmente rilevanti imputabili all’impresa. In presenza di tutti i requisiti stabiliti dalla normativa di riferimento, in particolare l’interesse o il vantaggio per l’azienda derivante dalla commissione del reato c.d. “presupposto” (art. 5, d.lgs. 231/2001), l’ente incorrerà in responsabilità penale.

A titolo di esempio possiamo citare la commissione di reati informatici da parte del dipendente che faccia un uso personale del computer aziendale.

Seguendo la classificazione contenuta nella nostra Guida ai reati informatici, tali ipotesi di reato rappresentano una minaccia interna all’azienda.

In conclusione, il dipendente che utilizzi il computer aziendale per finalità personali può andare incontro a molteplici sanzioni. A prescindere dal fatto che tale condotta dia luogo o meno a delle conseguenze negative per il dipendente, evidenziamo comunque che con la firma del contratto di lavoro nascono in capo al dipendente alcuni obblighi. Tra questi, l’obbligo di diligenza, di obbedienza e di fedeltà al datore di lavoro. Ciò dovrebbe bastare per dissuadere qualsiasi dipendente dal fare un uso inappropriato del computer aziendale…