Sono illegittime la conservazione e la categorizzazione , da parte del datore di lavoro, dei dati personali dei dipendenti tratti da account privati.
È quanto è tornata a sancire la Cassazione, con la sentenza n. 24204 del 29.08.2025 depositata nelle scorse settimane dalla sezione Lavoro, confermando quanto deciso dalla Corte d'appello di Milano nell'ambito di una causa che vedeva contrapposta una società e alcuni ex dipendenti.
Nel dettaglio, le indagini e gli accessi da parte del datore di lavoro erano avvenuti a seguito delle dimissioni di un gruppo di dipendenti per intentare un’azione risarcitoria dei danni causati dai comportamenti sleali di detti dipendenti, accertati mediante consulenza tecnica informatica con riferimento a comunicazioni mail effettuate mediante account privati dei lavoratori.
In primo grado, il tribunale di Milano aveva accolto parzialmente il ricorso della società, relativamente all'utilizzabilità, nel procedimento, delle comunicazioni mail dei lavoratori, affermando che, sebbene fossero state estratte da account privati, erano state fatte confluire sul server aziendale, per cui la corrispondenza doveva considerarsi aperta e non chiusa.
Di opposto avviso, i giudici d'appello, che avevano quindi respinto il ricorso del datore di lavoro, il quale, invece, sosteneva che la corrispondenza prodotta era stata "tutta rinvenuta sui sistemi informatici aziendali di sua proprietà", quali personal computer e server e, quindi, "consultabile senza alcuna chiave di accesso" in quanto la società era titolare dei sistemi informatici e aziendali.
La Suprema Corte ha ritenuto corretta la decisione di secondo grado e ha rigettato il ricorso della società: "la posta acquisita dal datore di lavoro proveniva da account personali, sebbene inseriti sul server aziendale, per accedere ai quali occorreva una password". La Corte d’ Appello – aggiunge la Cassazione - ha "correttamente applicato i principi" sanciti dalla sentenza della Corte di Strasburgo del 2017, nella quale "è stato affermato che le comunicazioni trasmesse dai locali dell'impresa nonché dal domicilio di una persona possono essere comprese nella nozione di 'vita privata' e di 'corrispondenza'" contenuta all'articolo 8 della Convenzione Europea dei diritti dell'uomo.
I criteri della CEDU e la tutela della privacy – La Cassazione rileva che nel giudizio di appello si è giustamente tenuto in considerazione anche dei criteri fissati dalla CEDU "in tema di rispetto dei principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi), della proporzionalità (il datore di lavoro deve scegliere, nei limiti del possibile, tra le varie forme e modalità di adeguato controllo, quelle meno intrusive) e della preventiva dettagliata informazione ai dipendenti sulle possibilità, forme e modalità del controllo in modo tale che, in ossequio alla necessità di contemperare le esigenze datoriali di controllo con quelle di tutela della privacy del dipendente, non è stata ritenuta consentita un'attività di controllo massivo, mentre sono state considerate indispensabili le opportune informative in merito alla possibile attività di controllo, con esclusione, in tale ottica, di controlli preventivi proprio perché si esulerebbe dal piano 'difensivo'".
Nel caso in esame, osserva la Corte, i dipendenti avevano "precisato che non avevano impostato alcuna opzione per ricevere le mail personali sul medesimo applicativo di posta elettronica utilizzato sul pc aziendale e di non avere concesso alcuna autorizzazione", mentre "la società non aveva dimostrato di avere impartito specifiche disposizioni finalizzate a regolamentare le modalità di controllo e/o di duplicazione della corrispondenza dei lavoratori".
Ancora, la pronuncia osserva che, “ anche in relazione ad una eventuale asserita equiparazione degli account dei lavoratori a quelli aziendali, è stato più volte precisato che in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro, sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all’art. 4 della legge n. 300 del 1970. “
Le tutele dello Statuto dei Lavoratori trovano, pertanto, applicazione anche ai controlli diretti ad accertare comportamenti illeciti dei lavoratori quando comportino la possibilità di verifica a distanza dell’attività di questi ultimi, ed in assenza dell’acquisizione del consenso individuale e del rilascio delle informative previste dal d.lgs. n. 196/2003 e del Regolamento UE n. 2016/679 (GDPR).
I limiti al controllo del datore di lavoro Nonostante l’esito della sentenza, dal quale è emersa l’impossibilità di giustificare i licenziamenti tramite l’accesso a comunicazioni email private sebbene allocate su server aziendale, risulterebbe comunque eccessivo pensare che giuste istanze di reperimento di informazioni siano sempre e comunque destinate a restare insoddisfatte.
Il punto è che avvalersene, anche con piena consapevolezza dei limiti che comunque si incontrano nel bilanciamento dei diversi interessi, richiede conoscenze e peculiari competenze tecniche nell’ambito di un settore in cui operano più fonti sovranazionali e diverse normative nazionali e ciò in scenari di profondi cambiamenti scientifici e tecnologici con inusitate potenzialità e con conseguenti nuove problematiche nei rapporti con i diversi quadri normativi (non sempre ben coordinati) .
In un simile contesto, occorre tener ben presente che :
- il controllo può essere giustificato solo da motivazioni gravi e specifiche;
- le modalità scelte devono essere le meno invasive possibili;
- i lavoratori devono ricevere un’informativa chiara e preventiva sulle possibilità e sui limiti dei controlli.
Non sono, quindi, ammissibili attività di vigilanza indiscriminata, né controlli preventivi slegati da esigenze difensive concrete. Nel caso di specie, la mancanza di regole interne precise e di informative adeguate ha reso l’intera operazione illegittima.
Fortemente consolidato è l’orientamento della giurisprudenza di legittimità in materia, che in altri casi ha escluso la possibilità di raccogliere e classificare dati personali relativi alla navigazione web, all’uso della posta elettronica o delle utenze telefoniche in violazione delle norme dello Statuto dei Lavoratori (art. 4) e del Codice della privacy.
Altrettanto significativo è anche il richiamo alla giurisprudenza penale: l’accesso abusivo a un account e-mail protetto da password integra non solo la violazione di corrispondenza (art. 616 del c.p.), ma anche il reato di accesso abusivo a sistema informatico (art. 615 ter del c.p.).
WST Law & Tax