Con la sentenza n. 24204 del 29 agosto 2025, la Corte di cassazione Sezione Lavoro interviene nuovamente sul delicato bilanciamento tra poteri datoriali e tutela della privacy del lavoratore, riaffermando l’illegittimità della conservazione, raccolta e categorizzazione dei dati provenienti da account privati dei dipendenti, anche quando tali contenuti risultino reperibili su server o dispositivi aziendali. La vicenda riguardava alcuni ex dipendenti accusati di comportamenti sleali, contestazioni fondate su comunicazioni e-mail estratte da account personali ma rinvenute sui sistemi informatici della società. Il Tribunale di Milano aveva ritenuto utilizzabili tali messaggi, sostenendo che, una volta confluiti sul server aziendale, la corrispondenza dovesse considerarsi “aperta”. La Corte d’appello ribaltava la decisione, osservando che si trattava pur sempre di account personali protetti da password, cui il datore non poteva legittimamente accedere.
Questa impostazione è stata integralmente confermata dalla Cassazione. La Suprema Corte ha ritenuto corretta la decisione di secondo grado e ha rigettato il ricorso della società: “La posta acquisita dal datore di lavoro proveniva da account personali, sebbene inseriti sul server aziendale, per accedere ai quali occorreva una password”. La Corte d’ appello – aggiunge la Cassazione – ha “correttamente applicato i principi” sanciti dalla sentenza della Corte di Strasburgo del 2017, nella quale “è stato affermato che le comunicazioni trasmesse dai locali dell’impresa nonché dal domicilio di una persona possono essere comprese nella nozione di ‘vita privata’ e di ‘corrispondenza’” contenuta all’articolo 8 della Convenzione Europea dei diritti dell’uomo.
La Cassazione sottolinea che la Corte d’appello ha correttamente applicato i criteri fissati dalla CEDU, richiedendo il rispetto della finalità legittima — il controllo deve essere giustificato da motivi gravi —, della proporzionalità — il datore deve scegliere le modalità meno intrusive — e della preventiva e dettagliata informazione ai dipendenti sulle possibilità e modalità dei controlli. In questa prospettiva, non è ammesso un controllo massivo, mentre è indispensabile che il lavoratore sia informato preventivamente, escludendo controlli preventivi che esulano dal piano difensivo.
Nel caso concreto, i dipendenti avevano dichiarato di non aver impostato alcun inoltro delle proprie mail private sui dispositivi aziendali né di aver rilasciato autorizzazioni in tal senso, mentre la società non aveva dimostrato di aver emanato regole chiare sulle modalità di controllo o duplicazione della corrispondenza. La pronuncia ribadisce inoltre che, anche volendo ipotizzare un’equiparazione tra account personali e aziendali, resta fermo il principio secondo cui è illegittima la conservazione e categorizzazione dei dati personali relativi a navigazione Internet, posta elettronica e traffico telefonico, quando raccolti tramite sistemi di controllo installati senza il rispetto delle procedure dell’art. 4 dello Statuto dei Lavoratori. Le tutele previste dallo Statuto operano anche quando il controllo è diretto ad accertare presunti comportamenti illeciti, qualora comporti una verifica a distanza dell’attività del dipendente e manchino il consenso individuale e le informative previste dal Codice Privacy e dal GDPR.
La Corte conferma l’illegittimità dell’accesso alle e-mail private, anche se presenti sui server aziendali, precisando però che ciò non esclude del tutto la possibilità per il datore di reperire informazioni rilevanti, a condizione che le attività rispettino rigorosamente principi di proporzionalità, trasparenza e necessità. Richiamando i principi della Corte EDU del 2017, la Cassazione ribadisce che le comunicazioni elettroniche rientrano nella sfera della “vita privata” e della “corrispondenza” tutelate dall’art. 8 CEDU, e che ogni controllo deve avere finalità legittime e specifiche, utilizzare mezzi proporzionati e prevedere preventiva informazione ai lavoratori. Nel caso concreto mancavano informative, regolamenti interni e autorizzazioni espresse, e la società non aveva dimostrato procedure conformi allo Statuto dei Lavoratori, al Codice Privacy e al GDPR.
La Cassazione ribadisce dunque un orientamento consolidato: non sono consentiti controlli massivi o invasivi, né attività di monitoraggio preventivo prive di finalità difensive concrete. La raccolta di dati relativi a posta elettronica, navigazione web o traffico telefonico è ammessa solo nel rispetto delle garanzie formali e sostanziali previste dalla normativa. Significativo anche il richiamo alla giurisprudenza penale, che qualifica l’accesso non autorizzato a un account protetto da password come reato di accesso abusivo a sistema informatico e violazione di corrispondenza.
Nonostante la sentenza escluda la possibilità di giustificare i licenziamenti tramite l’accesso a e-mail private dei dipendenti, anche se presenti sui server aziendali, ciò non impedisce al datore di lavoro di reperire informazioni rilevanti, a condizione di operare nel pieno rispetto delle norme. Agire legittimamente richiede competenze tecniche e giuridiche specifiche, considerando la complessità del quadro normativo e l’evoluzione tecnologica. Il controllo è ammesso solo per motivi gravi e specifici, deve avvenire con modalità proporzionate e il lavoratore deve essere informato preventivamente e in modo dettagliato. Da ciò derivano il divieto di vigilanza indiscriminata e di controlli preventivi non giustificati da esigenze difensive concrete. Nel caso esaminato, l’assenza di regole interne e informative adeguate ha reso l’intera attività illegittima. La giurisprudenza di legittimità conferma che raccogliere e classificare dati relativi a navigazione internet, posta elettronica o traffico telefonico è vietato quando si violano l’art. 4 dello Statuto dei Lavoratori e le norme del Codice Privacy.
La sentenza conferma, in definitiva, che la tutela della dignità e della riservatezza del lavoratore rimane un limite invalicabile ai poteri datoriali, imponendo alle imprese un approccio rigoroso, trasparente e tecnicamente consapevole nell’utilizzo degli strumenti di controllo.