Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

Fino a che punto l'azienda può leggere e controllare messaggi privati su email aziendali? I chiarimenti Cassazione

di Marcello Tansini pubblicato il
Chiarimenti Corte di Cassazione

La gestione delle email aziendali solleva interrogativi sulla privacy dei lavoratori, lecito controllo datoriale e normativa vigente. Limiti, delle policy interne e delle indicazioni della Cassazione.

Le aziende investono in infrastrutture digitali sempre più sofisticate e cresce l'attenzione sui poteri del datore di lavoro nel leggere o gestire le comunicazioni scambiate sulle caselle email professionali. Questa questione coinvolge sia le prerogative organizzative e di controllo del datore, sia la protezione effettiva della privacy dei lavoratori.

Nell'ottica di una tutela rafforzata dei diritti fondamentali, anche la giurisprudenza della Cassazione, con la sentenza n. 24204, ha chiarito confini e obblighi in tema di controlli sulle email aziendali, riaffermando principi di trasparenza, rispetto delle procedure e limiti stringenti ai poteri datoriali.

Quadro normativo: Statuto dei Lavoratori, GDPR e sentenza della Cassazione

La cornice normativa che regola l'accessibilità alle email del dipendente da parte dell'azienda è definita da una pluralità di disposizioni, tra cui lo Statuto dei Lavoratori (L. 300/1970), il Regolamento UE 2016/679 - GDPR e la giurisprudenza, sia nazionale che sovranazionale. L'articolo 4 dello Statuto vieta, salvo particolari condizioni, il controllo a distanza sulle attività dei lavoratori, prescrivendo un accordo sindacale o autorizzazione ispettiva per l'installazione di strumenti che permettono tale monitoraggio. Tuttavia, il legislatore ha escluso dal perimetro della norma quegli strumenti (tra cui le email aziendali) messi a disposizione per esigenze connesse allo svolgimento della prestazione. Resta, comunque, la necessità di un'informativa chiara e trasparente sulle modalità d'uso e sui limiti dei controlli. L'attenzione è su:

  • GDPR: il trattamento dei dati personali presenti nelle email (comprese le credenziali individuali come nome e cognome) deve essere conforme ai principi di liceità, minimizzazione e trasparenza.
  • Codice Privacy: l'articolo 114 richiama nuovamente le garanzie dello Statuto, imponendo condizioni rigorose su qualsiasi trattamento idoneo a generare controlli indiretti sull'attività lavorativa.
La sentenza della Cassazione n. 24204 ribadisce l'impossibilità per il datore di procedere a controlli occulti o sproporzionati sugli account email nominativi, sottolineando come l'account personale, se utilizzato anche per scopi privati in assenza di policy restrittive, comporti una copertura di riservatezza rafforzata. Solo informative specifiche, regole ben definite e sistemi tecnici di notifica possono legittimare un accesso dell'azienda alle comunicazioni, specialmente in caso di cessazione o assenza, sempre nel rispetto del principio di proporzionalità e previa informazione del lavoratore.

Limiti e condizioni per l'accesso alle caselle email aziendali

L'azienda può accedere agli account di posta assegnati ai dipendenti quando giustificato da esigenze oggettive e purché siano osservate precise cautele e condizioni. Nonostante le caselle siano state create per finalità produttive, la personalizzazione (ad esempio, indirizzi che riportano nome e cognome) determina la qualificazione dei dati come personali e implica la necessità di una regolamentazione stringente. Devono essere adottate misure che assicurino:

  • La comunicazione trasparente sulle regole di uso dell'indirizzo email;
  • L'esplicitazione delle finalità lecite che possono giustificare un accesso (ad esempio, garantire la sicurezza informatica o assicurare la continuità operativa);
  • La previsione di una procedura di delega per la gestione temporanea della casella in caso di assenza programmata;
  • La limitazione dell'accesso alla sola corrispondenza strettamente necessaria;
  • La temporaneità delle attività di controllo, circoscritta al periodo di oggettiva esigenza;
  • La predisposizione di risposte automatiche o avvisi ai corrispondenti che segnalino la natura aziendale dell'indirizzo.
Il datore di lavoro, senza policy preesistente che vieti l'uso personale, non è legittimato ad accedere indiscriminatamente, pena la violazione della riservatezza e, potenzialmente, l'inefficacia processuale delle prove raccolte. La gestione corretta richiede dunque equilibrio tra esigenze di controllo e rispetto dei diritti dell'interessato, evitando trattamenti eccessivi o generalizzati.

Controlli e conservazione di email e metadati: cosa è lecito e cosa no

I controlli sull'uso delle caselle di posta aziendali e la conservazione di email e metadati devono rispettare rigorose condizioni di liceità, proporzionalità e adeguatezza. Il monitoraggio sistematico o il backup indiscriminato, senza specifici fondamenti normativi o giustificazioni reali, sono vietati. Il Garante Privacy ha chiarito che:

  • La raccolta e la conservazione prolungata di email e log di accesso sono ammesse solo per finalità specifiche, quali la sicurezza della rete, e per periodi limitati (ad esempio, alcune settimane, non anni);
  • Qualsiasi controllo su corrispondenza e metadati deve essere proporzionato, minimizzando i rischi di monitoraggio occulto dell'attività lavorativa;
  • I metadati, quali orari, destinatari e informazioni tecniche, possono rivelare dettagli sensibili sulle abitudini dei dipendenti e sono, a tutti gli effetti, dati personali, richiedendo quindi la stessa tutela dei contenuti espliciti delle email;
  • L'utilizzo di software automatici di backup rappresenta una violazione se non giustificato da reali esigenze di continuità o sicurezza e deve comunque essere oggetto di accordo sindacale o autorizzazione dell'Ispettorato del Lavoro;
  • Qualora le informazioni raccolte vengano utilizzate per fini disciplinari, la loro utilizzabilità è subordinata al rispetto delle procedure e all'adeguata informativa al lavoratore.
L'accesso massivo a contenuti e metadati, soprattutto dopo la cessazione del rapporto, costituisce una condotta vietata, come ribadito sia dal Garante con il provvedimento n. 472/2024 sia dalla stessa Cassazione.

Policy interne, informativa e gestione dei casi di cessazione del rapporto di lavoro

Le aziende che intendono assegnare caselle personali dovrebbero adottare una policy interna scritta, chiara, puntuale e aggiornata. Tale policy deve prevedere:

  • Divieti o limitazioni d'uso per fini personali (ove la strategia aziendale lo richieda);
  • Modalità e tempi di accesso consentiti all'account email in caso di assenza o cessazione;
  • La possibilità di delegare un fiduciario per l'accesso in caso di assenza non programmata;
  • La configurazione obbligatoria di avvisi automatici in caso di disattivazione dell'account per cessazione, che indirizzino i nuovi contatti a un interlocutore aziendale e informino sui limiti di accessibilità alla vecchia casella;
  • Procedure per la gestione trasparente dei dati, incluso l'accesso a backup circoscritto e la cancellazione in tempi predefiniti dopo la cessazione.
L'assenza di una regolamentazione adeguata espone l'azienda a sanzioni, rischi reputazionali e contestazioni sulle modalità di raccolta e impiego delle informazioni. È essenziale, inoltre, fornire ai dipendenti una informativa completa ai sensi dell'art. 13 GDPR, in cui siano chiariti scopi, modalità, durata e diritti connessi al trattamento.

Best practices aziendali per la tutela di privacy, sicurezza e continuità operativa

Per garantire il rispetto della privacy dei lavoratori e la compliance normativa, le imprese dovrebbero seguire alcune best practices condivise, utili a prevenire contenziosi e rafforzare la sicurezza delle informazioni:

  • Valutare l'adozione di indirizzi email generici o condivisi per i ruoli aziendali che non richiedano una personalizzazione nominativa, riducendo i rischi di confusione tra uso personale e lavorativo;
  • Configurare sistemi tecnici che permettano la separazione tra dati personali e informazioni lavorative, adottando backup con retention limitate e controlli selettivi e tracciabili;
  • Implementare forme di autenticazione avanzata, filtri di sicurezza, sistemi antispam e antivirus, nel rispetto dei principi di minimizzazione;
  • Stabilire protocolli chiari per l'accesso alle caselle in caso di assenza o emergenze, facendo ricorso a risposte automatiche e procedure di delega chiare e documentate;
  • Effettuare regolari sessioni formative per i dipendenti sull'uso corretto della posta elettronica, sui rischi privacy e sulle conseguenze di eventuali violazioni delle policy interne.
Controlli datore di lavoro e azienda su dipendenti
© 2005-2025 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings