La Corte di Cassazione, con la sentenza n. 28887/2025, ha confermato il licenziamento per giusta causa della dipendente di un’azienda ospedaliera che aveva consultato senza autorizzazione i fascicoli sanitari di alcuni conoscenti. Nonostante la lavoratrice possedesse le credenziali d'accesso, l'utilizzo del sistema per scopi personali e non di servizio è stato giudicato una violazione gravissima del vincolo di fiducia.
Il caso
Una dipendente, in servizio presso l’Ufficio Relazioni con il Pubblico di un’Azienda Ospedaliera, senza giustificato motivo, aveva effettuato nell’arco di tre anni circa trenta accessi illeciti e consultato, senza alcuna ragione di servizio, i fascicoli sanitari elettronici di alcuni vicini di casa, nei cui confronti aveva, peraltro, tenuto comportamenti offensivi e minacciosi già oggetto di condanna penale.
La Corte d’Appello di Bologna aveva confermato il licenziamento, decisione poi validata dalla Suprema Corte, che ha definitivamente respinto il ricorso della dipendente.
Secondo la Cassazione, che ha ritenuto pienamente proporzionata la misura espulsiva, un’azienda non può riporre fiducia in una dipendente che usa i privilegi d'accesso informatici e per consultare dati sensibili di terzi per finalità personali o comunque non riconducibili a esigenze di servizio.
La Corte ha poi evidenziato che accedere a un sistema informatico per fini diversi da quelli autorizzati può integrare il reato di accesso abusivo (art. 615-ter c.p.).
A nulla rileva poi che la dipendente fosse in legittimo possesso di una password per accedere ai dati se l’accesso ai dati viene svolto in contrasto con la volontà del titolare del trattamento e al di fuori dei limiti dell’autorizzazione concessa.
Ma quella penale non è l’unica fattispecie violata. La condotta della dipendente risulta, infatti, contraria anche al codice di comportamento dei pubblici dipendenti, al codice interno aziendale e allo stesso art. 64 del CCNL di comparto, che prevede sanzioni espulsive.
Come può tutelarsi l’azienda
La pronuncia, quindi, offre molteplici spunti operativi rilevanti per le pubbliche amministrazioni, ma anche per le imprese private, in particolare in ambito sanitario o HR.
Per prevenire la ricorrenza di simili condotte il datore di lavoro deve adottare una serie di misure adeguate al rischio concreto di accessi illeciti ai dati personali, ad esempio:
- implementare un sistema di accesso basato sui ruoli, limitando la visibilità dei dati ai soli soggetti autorizzati per finalità di servizio;
- attivare sistemi di tracciabilità e logging, con monitoraggio periodico e alert automatici su accessi anomali;
- invitare i dipendenti a motivare la necessità di consultazione di dati particolari, ove ricorra la necessità, documentando l’autorizzazione;
- applicare cifratura e autenticazione multifattoriale per contenere il rischio di accessi impropri;
- formare il personale sui principi di data protection e responsabilità disciplinare, con sessioni obbligatorie e verifiche di apprendimento;
- attivare procedure di data breach, per gestire correttamente le violazioni e segnalarle tempestivamente all’Autorità Garante e agli interessati in linea con gli articoli 33 e 34 del GDPR.
L’importanza di un approccio integrato
Quel che appare fondamentale, in definitiva, è l’adozione di un approccio integrato tra governance IT, sicurezza informatica, formazione e corretta applicazione del sistema disciplinare. L’adozione di una strategia che tenga conto dei diversi fattori coinvolti nella gestione del rischio di accessi illeciti dei dipendenti ai dati personali predisponendone una tutela trasversale, rappresenta infatti la chiave per tutelare efficacemente l’organizzazione da sanzioni e conseguenze per la reputazione aziendale.
