La Cassazione si pronuncia sull’accesso non autorizzato del dipendente

In particolare, la struttura sanitaria aveva rilevato oltre trenta accessi illeciti, eseguiti nell’arco di circa tre anni, da parte della dipendente, nel dossier sanitario elettronico di alcuni vicini di casa senza alcuna giustificazione o ragione di servizio, soggetti nei confronti dei quali aveva peraltro rivolto offese ed anche minacce di morte, circostanze per cui era stata già condannata in sede penale. A seguito del suo licenziamento per giusta causa, la signora aveva impugnato la decisione sostenendo il carattere non abusivo degli accessi, la necessità da parte della stessa di accesso al fascicolo sanitario dei pazienti, considerata l’attività del suo ufficio, nonché l’inutilizzabilità delle prove raccolte nel processo penale e la non configurabilità dell’estremo della gravità della condotta.

Con la propria pronuncia, la Corte si è detta concorde con la precedente Corte territoriale che, a suo dire, ha espresso il proprio giudizio circa la sussistenza dell’illecito disciplinare e la gravità del medesimo sulla base di un accertamento in fatto logicamente motivato. Posto che un’azienda, a parere della Suprema Corte, non può riporre fiducia in un dipendente che approfitta della propria posizione e dei privilegi di accesso ai sistemi informatici per acquisire informazioni, anche particolari (come nel caso dei dati sanitari), di terzi per scopi personali, in ogni caso, secondo il codice disciplinare, è prevista la sanzione del licenziamento per la “commissione in genere, anche nei confronti di terzi, di fatti o atti dolosi che, pur non costituendo illeciti di rilevanza penale, sono di gravità tale da non consentire la prosecuzione neppure provvisoria del rapporto di lavoro”. 

Inoltre, in materia di sanzioni disciplinari, già in passato la Corte di Cassazione aveva pronunciato il principio di diritto per cui il giudizio di proporzionalità tra licenziamento e addebito contestato è devoluto al giudice del merito, in quanto implica un apprezzamento dei fatti che hanno dato origine alla controversia, ed è sindacabile in sede di legittimità soltanto quando la motivazione della sentenza impugnata sul punto manchi del tutto, ovvero sia affetta da vizi giuridici consistenti.

Dunque, nel caso di specie, le misure adottate dall’azienda ospedaliera a tutela della governance dei privilegi dei dipendenti per l’accesso ai sistemi informatici hanno supportato nell’accertamento della condotta dolosa posta in essere sul luogo di lavoro ed hanno consentito al datore di lavoro di poter legittimamente invocare licenziamento per giusta causa.

In via preventiva, l’azienda ospedaliera può rafforzare ulteriormente le misure di sicurezza a tutela dei dati particolari, richiedendo al dipendente, già dotato di privilegi, di specificare volta per volta il motivo della richiesta di consultazione.

Tra le misure più efficaci rientrano la cifratura dei database, l’autenticazione forte, la registrazione dettagliata dei log, oltre al già menzionato controllo degli accessi basato sui ruoli.

Accanto a ciò, è opportuno curare un piano strutturato di formazione e sensibilizzazione del personale, affinché siano chiare le condotte consentite e le conseguenze disciplinari e penali in caso di violazioni.

La nomina di un Data Protection Officer può garantire, tra le altre cose, il monitoraggio sull’adempimento formativo e soprattutto sull’efficacia del metodo e delle misure tecniche stesse.

Cruciale è la tracciabilità digitale: sistemi di monitoraggio e alert automatici permettono di individuare anomalie e costituiscono prova utile in sede giudiziale. 

Sul versante disciplinare, un Codice interno conforme allo Statuto dei Lavoratori consente di contestare tempestivamente l’addebito, garantendo il contraddittorio del dipendente. Le sanzioni possono essere graduate: dall’ammonizione scritta fino al licenziamento per giusta causa, in presenza di condotte gravi o reiterate.

Un approccio integrato tra governance informatica, formazione e corretta applicazione del sistema disciplinare consente non solo di reagire alle condotte illecite, ma anche di prevenirle, tutelando la continuità operativa e la reputazione aziendale.

Infine, non bisogna dimenticare che, un accesso non autorizzato ed un trattamento dei dati personali per scopi ulteriori e non legittimi, in assenza di adeguata base giuridica, costituiscono una violazione dei dati che l’azienda ha l’obbligo di notificare l’Autorità Garante e agli interessati, considerati i possibili impatti di una violazione che ha ad oggetto dati particolari, come previsto dal GDPR.