Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

Quando si può controllare il pc e le email di un dipendente in base alle più recenti sentenze della giurisprudenza

di Marcello Tansini pubblicato il
Pc e le email

Le sentenze della Cassazione ridefiniscono il confine tra tutela della privacy e potere di controllo aziendale su pc ed email dei dipendenti, chiarendo limiti, obblighi e responsabilità delle parti.

L'evoluzione della normativa sul tema della sorveglianza sui dispositivi aziendali e sulla posta elettronica e il rapido sviluppo delle tecnologie digitali hanno portato la Suprema Corte a definire criteri più stringenti su ciò che è lecito e su ciò che invece viola la privacy. L'utilizzo di strumenti digitali sul posto di lavoro, infatti, ha ridefinito il confine tra dati professionali e sfera privata, sollevando interrogativi per aziende e lavoratori circa la legittimità delle attività di controllo.

Proprio alla luce delle più recenti sentenze, si stanno ridefinendo i principi e le pratiche in materia di gestione delle informazioni personali e di utilizzo degli strumenti informatici aziendali, ponendo nuove regole nella delicata relazione tra necessità di tutela dell'impresa e rispetto dei diritti individuali dei dipendenti.

Il principio di inviolabilità della posta elettronica personale del lavoratore

La Cassazione, con la sentenza n. 24204 del 29 agosto 2025, ha sancito che la posta elettronica personale degli impiegati rientra nell'ambito della vita privata e della corrispondenza tutelati dall'art. 8 della Convenzione Europea dei Diritti dell'Uomo (CEDU). Il principio è stato ribadito anche se l'account di posta è ospitato su server o PC messi a disposizione dal datore di lavoro.

In altre parole, il fatto che gli strumenti informatici siano aziendali non legittima l'accesso indiscriminato alle comunicazioni personali del lavoratore. La consultazione o la conservazione di messaggi di account personali da parte del datore è dunque vietata e può integrare anche gli estremi dei reati di accesso abusivo a un sistema informatico (art. 615-ter c.p.) e violazione di corrispondenza (art. 616 c.p.) se l'account è protetto da credenziali:

  • Il dato giuridico: la protezione riguarda ogni comunicazione elettronica personale, indipendentemente dalla sua archiviazione su dispositivi aziendali.
  • Giurisprudenza europea: la Corte Europea (caso Barbulescu 2017) richiama l'obbligo di bilanciare le esigenze dell'impresa con la tutela della riservatezza, imponendo che le attività di verifica siano sempre giustificate, proporzionate e comunicate in anticipo.
  • La sfera privata prevale: l'accesso a dati privati senza una chiara base normativa e senza informazioni adeguate al dipendente resta inammissibile anche per ragioni difensive.
Nel caso esaminato, la Cassazione ha rigettato ogni tentativo aziendale di qualificare la corrispondenza email privata come corrispondenza aperta e dunque utilizzabile, chiarendo che si tratta di un diritto inviolabile che non decade nemmeno in presenza di infrastrutture informatiche dell'azienda.

Di più: la Corte di Cassazione, Sezione Lavoro, con la sentenza n. 28365 del 27 ottobre 2025 ha affermato un altro importante principio. Se il dipendente è infedele l'azienda può spiare il suo PC e può anche licenziarlo se è stato informato dei controlli. Lo ha fatto respingendo il ricorso di un dipendente licenziato per essersi appropriato e aver diffuso in modo illecito informazioni riservate dell'azienda.

Le condizioni e i limiti al controllo aziendale sugli strumenti informatici

L'orientamento della Suprema Corte indica requisiti stringenti che devono sussistere affinché il datore di lavoro possa svolgere attività di monitoraggio sui dispositivi in dotazione ai dipendenti. Il quadro normativo è articolato:

  • Finalità lecita: Il controllo può essere eseguito solo per motivi gravi e specifici, in presenza di fondati sospetti e mai a scopo di vigilanza sistematica o di mera curiosità.
  • Proporzionalità: Gli strumenti utilizzati per la verifica devono essere quanto più possibile non invasivi, privilegiando sistemi che permettano di limitare l'intrusione nella sfera personale.
  • Preventiva informativa: Il lavoratore deve essere messo in condizione di sapere, con chiarezza e anticipo, che e come potrebbe essere oggetto di controlli sugli strumenti aziendali, tramite policy interne e informative puntuali.
  • Divieto di controlli massivi: Non sono ammessi monitoraggi su larga scala o generalizzati, né verifiche preventive che non siano motivate da esigenze strettamente pertinenti.
Le disposizioni dello Statuto dei Lavoratori (art. 4, L. 300/1970) e della normativa privacy nazionale e comunitaria (GDPR) rafforzano il quadro di protezione, escludendo la legittimità di raccolta e conservazione di dati senza le procedure prescritte. I provvedimenti aziendali che non rispettano questi limiti vengono dichiarati illegittimi e privi di valore anche nei procedimenti giudiziari.

Il controllo difensivo: quando è (raramente) ammesso

La cosiddetta possibilità di controllo difensivo sui PC o sulle email dei lavoratori costituisce una rara eccezione ammessa dalla giurisprudenza. Secondo la Cassazione, i parametri da rispettare sono estremamente rigidi. In particolare, il controllo difensivo è legittimato solo se sussiste un sospetto concreto e fondato di gravi condotte illecite (come frodi o comportamenti che mettono in pericolo l'azienda) e solo per un arco temporale e una platea di soggetti ben delimitati.

  • Non è consentita la sorveglianza indiscriminata di tutti i dipendenti.
  • La raccolta di informazioni deve essere strettamente necessaria alle finalità difensive, ed effettuata con le modalità meno invasive possibili.
  • Il lavoratore deve essere stato in precedenza informato, tramite documenti chiari e policy, circa la possibilità di queste forme di controlli.
Questa impostazione trova conferma anche nelle decisioni penali: l'accesso ad account personali protetti, al di fuori dei casi sopra descritti, configura violazione di legge anche a fronte di presunti danni subiti dall'impresa. La tutela della privacy resta prioritaria rispetto alle esigenze difensive non adeguatamente motivate.

Il ruolo dell'informativa, delle policy interne e della normativa privacy

Informare in modo chiaro e trasparente i dipendenti sulle modalità di utilizzo degli strumenti informatici e sulle potenziali attività di verifica è una condizione essenziale affinché qualsiasi controllo possa considerarsi legittimo. Gli adempimenti richiesti sono molteplici:

  • Redazione di una policy dettagliata che disciplini l'uso degli strumenti digitali aziendali distinguendo tra account professionali e privati.
  • Consegna dell'informativa privacy con le finalità, i limiti e le modalità dei possibili controlli, aggiornata ai sensi del d.lgs. 196/2003 e Regolamento UE 2016/679.
  • Coinvolgimento dei rappresentanti sindacali in caso di installazione di strumenti che consentano il monitoraggio da remoto, come previsto dallo Statuto dei Lavoratori.
  • Aggiornamento periodico delle policy interne per tenere il passo con le evoluzioni normative e tecnologiche.
La mancanza, o la genericità, di documentazione e comunicazione rende illegittima qualsiasi attività di controllo, anche se localizzata o a campione. Solo adeguate policy e informative permettono di contemperare le esigenze di protezione dei dati personali con gli interessi aziendali.


Leggi anche
Controlli datore di lavoro e azienda su dipendenti
© 2005-2025 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings