Controllo della posta elettronica dei dipendenti: la Cassazione riafferma i limiti del datore di lavoro

Corte di Cassazione chiarisce il bilanciamento tra poteri datoriali di controllo e diritto alla riservatezza dei lavoratori in merito alla posta elettronica.

La Corte di Cassazione, Sezione Lavoro, con la sentenza n. 3013/2025 (pubblicata il 29 agosto 2025), ha affrontato un tema cruciale per le aziende: la possibilità di utilizzare la corrispondenza elettronica dei dipendenti come prova in giudizio. La pronuncia offre spunti rilevanti sul rapporto tra esigenze datoriali e tutela della vita privata dei lavoratori.

Il caso esaminato dalla Cassazione

La vicenda nasce da un contenzioso tra un datore di lavoro e alcuni ex dipendenti accusati di concorrenza sleale e violazione dei doveri di fedeltà (artt. 2104 e 2105 c.c.). Il Tribunale di Milano, in primo grado, aveva ritenuto utilizzabili le e-mail rinvenute su server aziendali, anche se provenienti da account personali, qualificandole come “corrispondenza aperta”. La Corte d’Appello di Milano, invece, aveva dichiarato tali prove inutilizzabili, escludendo che si trattasse di corrispondenza liberamente accessibile. La

Cassazione ha confermato questa seconda impostazione

Il contesto normativo e giurisprudenziale Il tema si colloca all’incrocio tra diverse normative: lo Statuto dei Lavoratori (art. 4 l. 300/1970), il Codice Privacy (d.lgs. 196/2003, art. 11 e 24), il GDPR e l’art. 8 della Convenzione Europea dei Diritti dell’Uomo. La Cassazione ha richiamato la giurisprudenza della Corte EDU (sentenza Barbulescu c. Romania, 2017), ribadendo che anche le e-mail inviate o ricevute dal luogo di lavoro rientrano nella nozione di “vita privata” e “corrispondenza” tutelate dall’art. 8 CEDU.

Il principio affermato dalla Cassazione

La Corte ha sottolineato che l’accesso ai messaggi di posta elettronica personale dei dipendenti, anche se memorizzati su server aziendali, richiede precise garanzie. Non è sufficiente il mero possesso tecnico dei sistemi informatici da parte del datore di lavoro: serve una chiara informativa preventiva ai dipendenti, la proporzionalità del controllo e la sua finalità difensiva. È stato ribadito che controlli massivi e generalizzati non sono ammissibili e che le prove raccolte senza rispettare tali condizioni risultano inutilizzabili in giudizio.

Il richiamo ad altre pronunce e al Garante

La decisione si pone in linea con precedenti pronunce della Cassazione, che avevano già dichiarato illegittimi i controlli informatici non autorizzati (Cass. 18302/2016) e riconosciuto la violazione della privacy in caso di conservazione e categorizzazione dei dati di navigazione e posta elettronica senza informativa (Cass. 29867/2020). Inoltre, richiama indirettamente le indicazioni del Garante per la protezione dei dati personali, che nelle linee guida sul controllo a distanza dei lavoratori ribadisce la necessità di policy aziendali chiare, informative specifiche e valutazioni di impatto ove necessario.

Ruoli e responsabilità delle parti

Il datore di lavoro ha certamente il diritto di tutelare i propri interessi economici e prevenire comportamenti scorretti, ma tale diritto incontra i limiti posti dalla normativa sulla protezione dei dati e dai diritti fondamentali del lavoratore. I dipendenti, dal canto loro, restano vincolati ai doveri di fedeltà e correttezza, ma possono opporre la tutela della riservatezza quando il controllo non è stato effettuato secondo legge.

Riflessioni pratiche per aziende ed enti

La sentenza rappresenta un forte richiamo alle imprese sull’importanza di predisporre policy aziendali chiare in materia di uso degli strumenti informatici e posta elettronica. Le aziende devono:

  • Informare preventivamente i dipendenti circa le modalità e i limiti di eventuali controlli.

  • Assicurarsi che ogni attività di monitoraggio sia proporzionata e giustificata da finalità specifiche, non generiche.

  • Evitare controlli indiscriminati o massivi, che rischiano di essere dichiarati illegittimi e di invalidare le prove raccolte.

Conclusioni operative

La Cassazione conferma che la tutela della privacy dei lavoratori è un elemento centrale anche nel rapporto di lavoro subordinato. Per le aziende, ciò significa che la prevenzione passa dalla compliance: adottare regolamenti interni trasparenti, informare i dipendenti e garantire che eventuali controlli siano sempre limitati, mirati e proporzionati. Solo così si può trovare un equilibrio tra esigenze di difesa aziendale e rispetto dei diritti fondamentali della persona, riducendo il rischio di contenziosi e di sanzioni, sia giudiziarie che da parte del Garante.

Richiedi ulteriori informazioni

Se desideri approfondire ulteriormente questo tema o ricevere supporto operativo su come gestire correttamente i controlli aziendali nel rispetto della normativa privacy, puoi contattarci per maggiori informazioni.

Condividi l'articolo
Facebook
Twitter
LinkedIn
WhatsApp