Fino a che punto è lecito per un datore di lavoro controllare la posta elettronica personale del dipendente?

Massima

In tema di controllo datoriale sull’utilizzo della posta elettronica da parte dei dipendenti, è illegittima l’acquisizione e l’utilizzo in giudizio di comunicazioni provenienti da account personali, anche se accessibili da dispositivi aziendali, in assenza di preventiva informativa e di rispetto dei principi di proporzionalità, necessità e finalità legittima, secondo i criteri stabiliti dalla giurisprudenza della Corte EDU. Ne consegue l’inutilizzabilità delle prove così acquisite e il rigetto delle domande risarcitorie fondate su tali elementi.

Il caso

La vicenda trae origine da un contenzioso tra la società H2H S.r.l. e alcuni suoi ex dipendenti, accusati di concorrenza sleale e violazione dei doveri di fedeltà e diligenza (artt. 2104 e 2105 c.c.), per aver collaborato con una società concorrente (Loyalteam S.r.l.) durante il rapporto di lavoro. Il Tribunale di Milano aveva accolto parzialmente le domande della società, condannando i lavoratori al risarcimento del danno. La Corte d'Appello di Milano, in riforma della sentenza di primo grado, aveva invece escluso la responsabilità dei dipendenti, ritenendo inutilizzabili le prove acquisite tramite controllo della posta elettronica personale. La società ricorrente ha proposto ricorso per cassazione articolato in cinque motivi, tra cui la violazione delle norme sulla privacy, l'errata valutazione delle prove e la mancata considerazione del danno subito. I lavoratori hanno resistito con controricorso, proponendo anche ricorso incidentale condizionato.

La questione

Inun rapporto di lavoro, fino a che punto è lecito per un datore di lavoro controllare la posta elettronica personale del dipendente per dimostrare una presunta concorrenza sleale?

Le soluzioni giuridiche

La Corte di Cassazione ha confermato la decisione della Corte d'Appello, ribadendo l'illegittimità del controllo datoriale effettuato sui contenuti delle e-mail personali dei dipendenti, anche se accessibili da dispositivi aziendali. La sentenza richiama espressamente i principi elaborati dalla Corte Europea dei Diritti dell'Uomo nella sentenza Barbulescu c. Romania (Grande Camera, 2017), secondo cui la corrispondenza elettronica, anche se avvenuta in ambito lavorativo, rientra nella sfera della “vita privata” e della “corrispondenza” tutelata dall'art. 8 CEDU.

La Corte ha sottolineato che il datore di lavoro può effettuare controlli solo se: vi è una finalità legittima (es.difensiva), il controllo è proporzionato e non massivo, i lavoratori sono preventivamente informati in modo chiaro e dettagliato.

Nel caso di specie, tali condizioni non risultavano rispettate: le e-mail provenivano da account personali, protetti da password, e non vi era prova di una policy aziendale che regolasse l'uso della posta elettronica o informasse i dipendenti dei controlli. Inoltre, la Corte ha ritenuto irrilevante l'archiviazione del procedimento penale per accesso abusivo, ribadendo l'autonomia del giudizio civile.

Il Provvedimento analizzato impone alle Organizzazioni un ripensamento strutturale delle politiche di gestione dei dati dei dipendenti. In particolare, si evidenzia la necessità di: redigere policy aziendali trasparenti, che definiscano chiaramente le modalità di utilizzo degli strumenti informatici e le eventuali attività di monitoraggio; informare preventivamente i lavoratori, in modo dettagliato, circa la possibilità di controlli, le finalità, la durata e la natura degli stessi; raccogliere il consenso, ove richiesto, e rispettare i principi di liceità, minimizzazione, pertinenza e proporzionalità previsti dal GDPR e dal Codice Privacy.

La Corte ha chiarito che l'assenza di tali misure comporta l'inutilizzabilità delle prove acquisite, con conseguenze dirette sull'esito del giudizio. Le Organizzazioni devono quindi adottare un approccio compliance-oriented, integrando la privacy nella cultura aziendale e nella governance interna.

La Cassazione ha ribadito che il controllo difensivo, per essere legittimo, deve essere: successivo all'insorgere di un fondato sospetto, mirato su condotte specifiche e non generico o massivo; giustificato da esigenze concrete di tutela del patrimonio aziendale, proporzionato rispetto allo scopo perseguito.

In assenza di tali requisiti, il controllo si configura come illecito e le prove raccolte non possono essere utilizzate in giudizio. Questo principio è stato confermato anche dalla sentenza della Cass. n.18168/2023, la quale ha dichiarato illegittimo il licenziamento basato su e-mail aziendali controllate senza informativa e senza limiti temporali.

La Ordinanza Cass. 30079/2024 ha ulteriormente precisato che il datore di lavoro ha l'onere di documentare le ragioni del controllo, dimostrare la sua necessità e proporzionalità, e garantire il rispetto delle norme sulla protezione dei dati personali. La sentenza Cass. 24204/2025 si colloca in perfetta sintonia con la giurisprudenza della Corte Europea dei Diritti dell'Uomo, in particolare con la suddetta e celebre sentenza Barbulescu c. Romania (Grande Camera, 2017).

In quel caso, la Corte EDU ha stabilito che: le comunicazioni elettroniche sul luogo di lavoro rientrano nella sfera della vita privata e della corrispondenza tutelata dall'art. 8 CEDU, il datore di lavoro deve informare chiaramente e preventivamente il dipendente circa la possibilità di monitoraggio; il controllo deve essere necessario, proporzionato e giustificato, e non può essere invasivo o indiscriminato.

La Corte EDU ha condannato la Romania per non aver garantito un adeguato bilanciamento tra i diritti del lavoratore e quelli del datore di lavoro. Tale orientamento è stato recepito dalla Cassazione italiana, che ha integrato i principi europei nella propria giurisprudenza.

La sentenza Cass. 24204/2025, insieme a Cass. 18168/2023 e Cass. 30079/2024, rappresenta un trilogo giurisprudenziale che definisce con precisione i confini del controllo tecnologico nel rapporto di lavoro. Tali provvedimenti convergono su un punto fondamentale: la tutela della dignità e della riservatezza del lavoratore è prioritaria, e ogni attività di monitoraggio deve essere rigorosamente regolamentata.

Questa evoluzione giurisprudenziale impone alle Organizzazioni di adottare un modello di sorveglianza responsabile, fondato su trasparenza, legalità e rispetto dei diritti fondamentali; in tal modo sarà possibile evitare contenziosi e garantire un ambiente di lavoro etico e conforme alle normative.

Osservazioni

La sentenza analizzata si inserisce nel solco di una giurisprudenza sempre più attenta alla tutela della privacy del lavoratore, anche in ambito digitale; essa conferma che l’uso di strumenti aziendali non comporta automaticamente la rinuncia alla riservatezza, specie se si tratta di account personali. La Corte valorizza il principio di proporzionalità e la necessità di un bilanciamento tra poteri datoriali e diritti fondamentali del lavoratore.

Dal punto di vista probatorio, la decisione evidenzia l’importanza di una corretta gestione delle fonti di prova: l’inutilizzabilità delle e-mail ha determinato il rigetto delle domande risarcitorie, in assenza di altri elementi sufficienti a dimostrare il nesso causale tra le condotte contestate e il danno lamentato. La Corte ha inoltre ribadito i limiti del sindacato di legittimità, escludendo la possibilità di rivalutare il merito delle prove.

In conclusione, la sentenza de qua rappresenta un importante monito per i datori di lavoro: l’adozione di policy chiare, trasparenti e rispettose della normativa privacy è condizione imprescindibile per la legittimità dei controlli e per l’utilizzabilità delle prove in giudizio.