Il controllo del computer aziendale in uso al dipendente è legittimo se preceduto da adeguata informativa

In un contesto giuridico pervaso da provvedimenti e pronunce – sia della Suprema Corte che del Garante per la Protezione dei Dati Personali (“Garante della Privacy”) – che hanno circoscritto notevolmente la possibilità di controllo da parte del datore di lavoro degli strumenti tecnologici aziendali, è intervenuta una recente sentenza della Corte di Cassazione, che, al contrario, ha legittimato il monitoraggio del computer aziendale in uso al dipendente, se effettuato nel rispetto di alcune prescrizioni normative ribadite dalla Corte.

Con la sentenza n° 28365 del 27 ottobre 2025, infatti, la Corte di Cassazione ha chiarito le condizioni in presenza delle quali è consentito al datore di lavoro monitorare gli strumenti di lavoro messi a disposizione dallo stesso al lavoratore per svolgere la prestazione.

Nel caso esaminato dalla Suprema Corte, un lavoratore era stato licenziato per essersi appropriato illegittimamente e aver diffuso informazioni riservate della società presso la quale era addetto.

In particolare, a seguito del fondato sospetto di perpetrazioni di illeciti, il datore di lavoro aveva proceduto al controllo del computer aziendale in possesso del dipendente, dal quale era emerso che, nell’arco di 8 mesi, il lavoratore aveva effettuato oltre 54 mila accessi abusivi al sistema informatico aziendale, dal quale aveva estratto più di 10 milioni di record contenenti informazioni lavorative, dati personali e documenti contabili, per poi inviarli a 125 indirizzi e-mail.

Le informazioni riservate aziendali diffuse dal dipendente contenevano dati non solo dello stesso datore di lavoro ma anche di terze parti, quali i clienti.

Le condotte sopra esposte sono state ritenute dal datore di lavoro in manifesta violazione dei doveri di fedeltà e diligenza oltre che potenzialmente dannose dell’immagine e del patrimonio della società, esponendo quest’ultima alle ingenti sanzioni previste dal Garante della Privacy per la divulgazione di informazioni sensibili riguardanti terze parti, con ciò ledendo irrimediabilmente il vincolo fiduciario in essere tra lavoratore e datore di lavoro.

A seguito del licenziamento, il lavoratore aveva promosso la relativa impugnazione, deducendo l’illegittimità dei controlli effettuati sul computer ed eccependo che il datore di lavoro non aveva mai fornito adeguata informativa sulla possibilità di effettuare controlli sugli asset aziendali.

Confermando la legittimità del licenziamento, la Suprema Corte ha, al contrario, rilevato e chiarito che:

• il datore di lavoro che mette a disposizione dei lavoratori gli strumenti tecnologici necessari per lo svolgimento della prestazione lavorativa, deve preventivamente informare i dipendenti circa le regole di utilizzo del computer, di internet e della posta elettronica, nonché le attività vietate, rendendolo, altresì, edotti i lavoratori dei possibili controlli che possono essere effettuati su tali asset (così come chiarito dal Garante della Privacy nelle Linee guida del Garante per posta elettronica e internet – doc web n° 1387978 del 1° marzo 2007); e

• l’art. 4 della Legge n° 300/1970 (“Statuto dei Lavoratori”) consente di monitorare gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, raccogliendo dagli stessi le informazioni utili al fine di soddisfare le esigenze organizzative e produttive, di garantire la sicurezza del lavoro e di tutelare il patrimonio aziendale (c.d. controlli difensivi), a patto che sia fornita una previa informativa ex art. 13 Regolamento UE 2016/679 (“GDPR”), che dettagli le modalità e i limiti del controllo.

Nel caso di specie, il datore di lavoro aveva proceduto al controllo del computer aziendale (ossia di uno strumento concesso per l’esecuzione dell’attività lavorativa) a seguito del fondato sospetto di perpetrazione di illeciti – nei limiti, dunque, di cui all’art. 4 dello Statuto dei Lavoratori – e aveva in precedenza fornito a tutti i lavoratori esaustiva e adeguata informativa ex art. 13 del GDPR circa le modalità di utilizzo degli strumenti tecnologici aziendali, le condizioni alle quali era possibile per il datore di lavoro procedere al controllo degli stessi e le sanzioni disciplinari previste in caso di violazione degli obblighi incombenti sui lavoratori ai sensi di legge, di contratto e/o di regolamentazione aziendale.

Pertanto, tutte le (pre)condizioni per il legittimo controllo del computer aziendale erano state rispettate, il controllo risultava, per l’effetto, legittimo, e le condotte così accertate risultavano, quindi, in palese violazione degli obblighi di diligenza e fedeltà, così giustificando il licenziamento del dipendente, ritenuto legittimo dalla Corte di Cassazione stante l’irrimediabile lesione del vincolo fiduciario sussistente tra lavoratore e società.

Alla luce di quanto sopra, il controllo sugli strumenti tecnologici aziendali non è ex se vietato, ma è necessario che lo stesso avvenga in maniera trasparente e nel rispetto delle condizioni previste dalla legge, ossia che non sia condotto in maniera indiscriminata e senza previa informativa sui casi e i limiti di eventuali controlli sul contenuto e l’uso degli strumenti digitali.

Dunque, è legittimo il monitoraggio degli strumenti tecnologici se preceduto da adeguata informativa e se posto in essere nell’ambito di controlli difensivi, potendo giustificare l’adozione di provvedimenti disciplinari, incluso il licenziamento.

Ai fini di un legittimo monitoraggio, particolare attenzione deve essere quindi prestata alla fase informativa, divulgando una policy chiara sull’uso e sulle modalità di controllo degli asset tecnologici.

Il bilanciamento tra tutela della privacy e interesse aziendale è sicuramente sensibile e complesso da individuare, ma – con la pronuncia in oggetto – trova oggi un riferimento solido nella giurisprudenza, che individua nella trasparenza e nella proporzionalità i principi fondamentali per la liceità dei controlli.

In conclusione, appare oggi fondamentale che le società (indipendentemente dalle dimensioni aziendali) si muniscano di un articolato e dettagliato complesso di regole aziendali (policies) che disciplinino, nel rispetto della normativa vigente, l’assegnazione e l’utilizzo degli strumenti aziendali da parte dei dipendenti, regolamentando in modo accurato i casi, tipologie e modalità dei controlli datoriali su tali strumenti e le eventuali conseguenze, in caso di illegittimo utilizzo, sul piano disciplinare. Tali regole, inoltre, dovranno oggi essere integrate con gli elementi di informativa previsti dalle recenti normative in materia di intelligenza artificiale, specificando, altresì, se e quali strumenti di AI verranno utilizzati dal datore di lavoro per l’elaborazione delle informazioni raccolte tramite gli strumenti di lavoro (spesso informatici) in uso al dipendente. Il tutto, in stretto coordinamento con la normativa giuslavoristica applicabile e quindi, in primis, con le norme relative al controllo dell’attività lavorativa previste dallo Statuto dei Lavoratori. Da ultimo, non per importanza, risulta oggi essenziale che le società integrino i propri codici disciplinari (spesso ancorati alle disposizioni, di certo non “aggiornate”, dei CCNL) con ulteriori fattispecie che disciplinino i casi di utilizzo improprio degli strumenti di lavoro concessi ai dipendenti, con particolare riferimento a quelli informatici.

________

**Avv. ti Gaspare Roma, Ilaria Uletto - Studio De Berti Jacchia Franchini Forlani

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più