L’utilizzo pervasivo di strumenti informatici sul lavoro comporta diversi rischi di commissione di reati informatici. Per questo le società devono effettuare regolarmente dei controlli, sul piano tecnico e giuridico, preoccupandosi al contempo di salvaguardare i diritti dei lavoratori in materia di tutela della privacy e di controlli sull’attività lavorativa. Alle società, in caso di reati da parte dei lavoratori, può essere riconosciuta l’esimente della responsabilità amministrativa degli enti e delle società laddove possa dimostrare di aver adottato tutte le misure penal-preventive necessarie.
Computer crimes e D.Lgs. n. 231/2001.
Il D.Lgs. 8 giugno 2001, n. 231 ha introdotto la responsabilità da reato gravante sulle persone giuridiche, società ed associazioni anche prive di personalità giuridica (genericamente “ente”) per quei reati commessi da parte delle persone fisiche (apicali o sottoposti) che agiscono per conto dell’ente medesimo, nello svolgimento dell’attività imprenditoriale. L’imputazione del reato all’ente avviene in tutte le ipotesi in cui i) vi sia commissione consapevole del fatto criminoso da parte di sottoposti ovvero ii) la pacifica tolleranza. In alternativa l’imputazione iii) poggia sulla mancata o inidonea attuazione di un sistema di vigilanza e controllo preventivo da parte dell’ente rispetto alle condotte dei singoli, teso a prevenire la commissione dei reati. Il decreto esclude la colpevolezza, e quindi la responsabilità dell’ente, solo nell’ipotesi in cui la società si sia dotata di un modello contenente regole di comportamento in funzione preventiva del rischio reato (MOG – Modello Organizzativo, Gestionale e di Controllo per la prevenzione dei reati). Il tema è diventato particolarmente spinoso nel 2008 con l’introduzione dei reati-presupposto, riconducibili alla generica definizione di reati informatici (computer crimes).
Cosa si intende per reati informatici, di cui al D.Lgs. n. 231/2001?
I reati informarci si concretizzano in condotte finalizzate, i) al danneggiamento di hardware, software o di dati in generale, ii) alla detenzione e alla diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui alla lettera precedente, ed infine, iii) alla violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale elettronica. Casi di reati informatici sono, ad esempio, la falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.), l’accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.), la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.), la intercettazione, l’impedimento o la interruzione illecita di comunicazioni informatiche o telematiche (art.617-quater c.p.), l’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.), il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.), il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato e da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.), il danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.), il danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.) e la frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).
Come prevenire tali reati? Il problema dei controlli.
Il tema interessa tutte le realtà economiche, indipendentemente dalla dimensione e dalla tipologia di attività, perché la prevenzione dei reati informatici è particolarmente difficile e complessa. L’attività, infatti, implica l’adozione di misure di controllo e di prevenzione che finiscono per toccare i diritti delle persone in generale, e quindi anche dei lavoratori dipendenti o collaboratori. In particolare sono chiamati in causa il diritto alla privacy, al corretto trattamento dei dati dei lavoratori ed il diritto di quest’ultimi di non subire forme di controllo inopportune ed abusive da parte del datore di lavoro.
Quali sono i limiti definiti dalla legge in tema di controllo sui lavoratori?
In materia di controlli a distanza e di navigazione in Internet non esiste una disciplina specifica che circoscriva i poteri di controllo in capo ai datori di lavoro. L’unica disciplina, contenuta nel Codice della Privacy e nello Statuto dei Lavoratori, riguarda gli impianti audiovisivi ed il divieto di indagini sulle opinioni dei lavoratori. In questo contesto, quindi, fungono da guida i provvedimenti mirati e le specifiche pronunce del Garante per la protezione dei dati personali – in particolare con le “Linee guida per posta elettronica e internet” – e le pronunce giurisprudenziali sui “controlli difensivi” che in varie sentenze ne hanno dichiarato la legittimità, anche in assenza di accordi sindacali, laddove tali controlli, anche a distanza, siano realizzati per accertare condotte illecite di lavoratori, a condizione che non comportino la raccolta di informazioni sull’attività lavorativa.
Quali sono i controlli “a rischio”?
Sovente, per evitare il verificarsi di condotte contra legem e la commissione di reati informatici, la società sistematicamente controlla tutte le attività svolte dagli utenti, impiega software di monitoraggio del traffico telematico, gli accessi a Internet, i tempi di collegamento, i siti web visitati, i messaggi di posta elettronica ricevuti e inviati, i tempi di lavorazione sui file, registra le attività di modifica, creazione, cancellazione e trasmissione di documenti, il tutto risalendo facilmente all’utente. Tali controlli, finalizzati in primis a tutelare l’azienda ed il suo patrimonio, potrebbero ledere primari diritti degli utenti.
Conclusione
La società, con l’introduzione dei reati informatici, quali nuovi reati-presupposto di cui al D.Lgs. n. 231/2001, sarà ritenuta responsabile – e quindi pesantemente sanzionata – nell’ipotesi in cui non abbia adottato le più opportune misure penal-preventive, e quindi è chiamata ad effettuare severi controlli finalizzati a prevenire atti penalmente rilevanti. Prima di attivare qualunque forma di controllo, tuttavia, è necessario conoscere se tali controlli siano legittimi ed eseguibili e verificare i limiti ed i vincoli posti dalla normativa (privacy e statuto dei lavori).
Articolo pubblicato nella rivista Logyn n.6 Maggio 2014.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2014 – 2021