L’accesso alle e-mail del lavoratore è vietato anche se le stesse sono presenti nel server aziendale.
Questo è quanto ha sottolineato la Corte di Cassazione (ord. 29 agosto 2025, n. 24204).
La pronuncia richiama ampiamente i principi elaborati al riguardo dalla Corte Europea dei Diritti dell’Uomo: la corrispondenza, anche nel caso in cui si tratti di e-mail inviate dal luogo di lavoro, rientra nella “vita privata” come tutelata dall’art. 8 della CEDU.
Inoltre, la Corte ha rammentato i criteri fissati in tema di rispetto dei principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi), della proporzionalità (il datore di lavoro deve scegliere, nei limiti del possibile, tra le varie forme e modalità di adeguato controllo), e della preventiva dettagliata informazione ai dipendenti sulle possibilità, forme e modalità del controllo.
Nel caso di specie, secondo la Cassazione, gli accertamenti svolti dalla Corte d’appello, insindacabili in sede di legittimità, sarebbero stati conformi ai principi di diritto.
La vicenda riguardava alcuni dipendenti ai quali era stata contestata una condotta sleale sulla base di informazioni ottenute mediante una consulenza tecnica informatica. Secondo il giudice territoriale, le e-mail acquisite dal datore provenivano da account personali, sebbene presenti nel server aziendale; si trattava, dunque, di comunicazioni che potevano essere comprese nelle nozioni, appunto, di vita privata e di corrispondenza.
La Corte di Cassazione, nel confermare la decisione di appello, ha ricordato, in particolare, che, in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro, la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in Internet, all'utilizzo della posta elettronica ed alle utenze telefoniche, acquisiti dal datore di lavoro, attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all'art. 4, comma 2, della L. n. 300 del 1970, ed in assenza dell'acquisizione del consenso individuale e del rilascio delle informative previste dal D.lgs. n. 196/2003, sono illegittime.
Il trattamento di quei dati si traduce, infatti, nella violazione dell'art. 8 della suddetta legge, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se le informazioni raccolte non siano in concreto utilizzate.
Inoltre, la società non aveva dimostrato di avere impartito specifiche disposizioni finalizzate a regolamentare le modalità di controllo e/o di duplicazione della corrispondenza dei lavoratori.
In argomento si veda anche Log di navigazione e metadati dei lavoratori nonché Posta elettronica del dipendente: no del Garante Privacy al backup della casella di posta,