La Corte di cassazione, con la sentenza n. 24204 del 29 agosto 2025, ha deciso che il datore di lavoro non può conservare e categorizzare i dati personali dei dipendenti recuperati da account privati.

La pronuncia dei giudici di legittimità ruota intorno ad una causa avviata da un datore di lavoro nei confronti di un gruppo di dipendenti dimissionari volta a richiedere il risarcimento dei danni, derivanti dai comportamenti sleali commessi da detti dipendenti, accertati mediante consulenza tecnica informatica con riferimento a comunicazioni email effettuate con account privati dei lavoratori.

Il Tribunale del lavoro ha considerato utilizzabile la consulenza tecnica informatica effettuata dalla società datrice di lavoro perché tutte le comunicazioni e-mail dei lavoratori, sebbene estratte da account privati, erano state fatte confluire sul server aziendale per cui la corrispondenza doveva considerarsi aperta e non chiusa.

Diversamente la Corte d’appello che, ha richiamato la giurisprudenza sulle problematiche sull’uso della posta elettronica aziendale e sul controllo e/o l’utilizzo della stessa da parte del datore di lavoro e ha sottolineato che non sussistevano i presupposti per ritenere la corrispondenza oggetto della consulenza come aperta e quindi ha rilevato l’inutilizzabilità dell’accertamento tecnico e la mancanza di prova della responsabilità dei dipendenti.

La Suprema Corte ha condiviso la decisione di secondo grado e ha rigettato il ricorso della società.

Secondo la Corte di cassazione i dati di fatto da cui partire sono che la posta elettronica acquisita dal datore di lavoro proveniva da account personali, sebbene inseriti sul server aziendale, per accedere ai quali occorreva una password e che le indagini compiute dalla società erano state espletate quando tutti i dipendenti coinvolti avevano già rassegnato le proprie dimissioni.

La sentenza richiama anche la pronuncia della Corte europea dei diritti dell’uomo del 5 settembre 2017 che sancisce i principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi), della proporzionalità (il datore di lavoro deve scegliere, nei limiti del possibile, tra le varie forme e modalità di adeguato controllo, quelle meno intrusive) e della preventiva dettagliata informazione ai dipendenti sulle possibilità, forme e modalità del controllo.

In ossequio alla necessità di contemperare le esigenze datoriali di controllo con quelle di tutela della privacy del dipendente, non è stata ritenuta consentita un'attività di controllo massivo, mentre sono state considerate indispensabili le opportune informative in merito alla possibile attività di controllo, con esclusione, in tale ottica, di controlli preventivi proprio perché si esulerebbe dal piano 'difensivo'".

Anche in relazione ad una eventuale asserita equiparazione degli account dei lavoratori a quelli aziendali, è stato più volte precisato che in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro, sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all’art. 4 della legge n. 300 del 1970 (che trovano applicazione anche ai controlli diretti ad accertare comportamenti illeciti dei lavoratori quando comportino la possibilità di verifica a distanza dell’attività di questi ultimi) ed in assenza dell’acquisizione del consenso individuale e del rilascio delle informative previste dal d.lgs. n. 196/2003 e del Regolamento UE n. 2016/679 (GDPR).

Il trattamento di questi dati si traduce nella violazione dell’art. 8 della L. 300/1970 che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se le informazioni raccolte non sono in concreto utilizzate.

Nel caso esaminato dalla Suprema corte, i dipendenti non avevano impostato alcuna opzione per ricevere le mail personali sul medesimo applicativo di posta elettronica utilizzato sul pc aziendale e non avevano concesso alcuna autorizzazione, mentre la società non ha dimostrato di avere impartito specifiche disposizioni finalizzate a regolamentare le modalità di controllo e/o di duplicazione della corrispondenza dei lavoratori.