Il datore che accede alle mail di ex dipendenti viola il diritto alla segretezza della corrispondenza

L’utilizzo della posta elettronica e, in generale, di piattaforme digitali è divenuto lo strumento lavorativo “privilegiato” per lo svolgimento della prestazione lavorativa e per le comunicazioni all’interno delle organizzazioni aziendali.

In ragione di ciò, negli ultimi anni, la giurisprudenza e il Garante per la Protezione dei Dati Personali (“Garante della Privacy”) hanno, di sovente, affrontato il tema relativo ai limiti di utilizzabilità da parte del datore di lavoro – ai più diversi fini – della corrispondenza privata del lavoratore.

In relazione a tale tematica, nella newsletter n. 528 del 22 ottobre 2024, il Garante della Privacy aveva già avuto modo di chiarire che il datore di lavoro non può accedere e/o tenere copia dei messaggi inviati via e-mail dal dipendente per finalità esulanti quelle note e dichiarate ai lavoratori, essendo ciò in manifesta violazione della normativa in materia di protezione dei dati personali.

Allo stesso modo, la Corte di Cassazione (inter alia, con le pronunce n. 5936 e 5334 del 2025 nonché n. 21965 del 2018) ha più volte ribadito che l’utilizzo, da parte del datore di lavoro, delle comunicazioni e conversazioni private del lavoratore – con qualsivoglia mezzo effettuate, quale Whatsapp, posta elettronica, etc. – viola il diritto alla libertà e segretezza della corrispondenza privata di cui all’art. 15 della Costituzione.

In particolare, con riferimento all’utilizzo di tali comunicazioni nell’ambito di procedimenti disciplinari, la Suprema Corte ha chiarito esplicitamente che i messaggi scambiati in chat e/o conversazioni private non possono essere usate dal datore di lavoro a tali fini, trattandosi di corrispondenza chiusa, inviolabile ed inutilizzabile da parte di soggetti terzi estranei alla conversazione, anche ove effettuata con strumenti aziendali.

Sul solco già tracciato da tali pronunce e provvedimenti, si pone anche la recente sentenza della Corte di Cassazione, Sezione Lavoro, n. 24204 del 29 agosto 2025.

Tale pronuncia merita particolare attenzione in quanto, richiamando la sentenza n. 61496/08 del 5 settembre 2017 della Corte Europea per i Diritti dell’Uomo, sottolinea nuovamente un aspetto fondamentale nell’ambito dei rapporti di lavoro: le comunicazioni e-mail provenienti dagli account personali di posta elettronica dei lavoratori, sebbene fatte confluire sul server aziendale e trasmesse dai locali dell’impresa, devono essere comprese nella nozione di “vita privata” e di “corrispondenza” di cui all’art. 8 della Convenzione Europea dei Diritti dell’Uomo, beneficiando, dunque, della tutela alla riservatezza di cui all’art. 15 della Costituzione.

La vicenda oggetto della sentenza n. 24204 del 29 agosto 2025 trae origine dall’utilizzo da parte di una società, di e-mail di ex dipendenti, provenienti dagli account privati ma veicolate nel server aziendale, per dimostrare la realizzazione da parte degli stessi di atti di concorrenza sleale ex artt. 2598 e 2043 c.c. e di condotte in violazione dei doveri di diligenza e fedeltà ex artt. 2104 e 2105 c.c.

Dal canto suo, la società, parte del giudizio, rilevava che la suindicata corrispondenza era da ritenersi aperta e non chiusa, dato che presente all’interno del server aziendale e, dunque, accessibile dal datore di lavoro; inoltre, il datore di lavoro sottolineava che una simile apprensione di dati era volta al mero fine di accertare e comprovare comportamenti illeciti posti in essere dagli ex dipendenti e non per controllare l’attività lavorativa degli stessi.

Ebbene, contrariamente a quanto sostenuto dalla società, la Corte di Cassazione ha evidenziato che – anche volendo considerare le e-mail oggetto del caso di specie come aziendali e non personali – l’accesso e la conservazione dei dati personali relativi all’utilizzo della posta elettronica, alla navigazione in Internet e alle utenze telefoniche da essi chiamate, seppur effettuate dai locali aziendali, con gli strumenti forniti dal datore di lavoro e al fine di accertare condotte illecite, sono da ritenersi illegittimi se non effettuati nel meticoloso rispetto della vigente normativa giuslavoristica e privacy.

In particolare, anche nell’ambito di controlli diretti all’accertamento di illeciti, il datore di lavoro non può accedere e/o usare la corrispondenza dei propri dipendenti (ivi incluse le comunicazioni e-mail), neppure dopo la cessazione del rapporto di lavoro e per accertare eventuali condotte illecite degli stessi:

• se proveniente da un account protetto da password;

• senza fornire al dipendente un’esaustiva informativa ex art. 13 Regolamento (UE) 2016/679;

• senza esperire le procedure di consultazione delle rappresentanze sindacali aziendali o di autorizzazione da parte dell’Ispettorato del Lavoro ex art. 4, comma 1, L. n. 300/1970, dato che da simili utilizzi deriva la possibilità di un controllo a distanza dell’attività lavorativa del dipendente.

Inoltre, l’acquisizione di dati ed informazioni dei dipendenti, effettuata attraverso il controllo della corrispondenza degli stessi (anche se disponibile su dispositivi aziendali), potrebbe integrare, secondo la Cassazione, anche un’ipotesi di violazione dell’art. 4, L. n. 300/1970, ossia un’ipotesi di indagine sulle opinioni dei lavoratori, vietata dall’ordinamento.

Oltre a quanto sopra, la categorizzazione e conservazione dei dati personali relativi all’utilizzo della posta elettronica – ricorda la Corte di Cassazione – può configurare, altresì, il reato di violazione della corrispondenza di cui all’art. 616 c.p., oltre che quello di accesso abusivo ad un sistema informatico di cui all’art. 615-ter c.p., se la raccolta dei dati avviene accedendo a una casella di posta elettronica protetta da password.

In conclusione, ancora una volta, il test di bilanciamento effettuato dalla Corte di Cassazione ha attribuito preminenza ai diritti fondamentali – di rango costituzionale e comunitario – di segretezza della corrispondenza e di dignità e riservatezza dei lavoratori rispetto al potere di controllo del datore di lavoro.

Il monitoraggio da parte del datore di lavoro – a qualsivoglia fine effettuato – del lavoratore, con raccolta e conservazione di suoi dati personali, deve quindi essere sempre eseguito nel rispetto della normativa vigente (giuslavoristica e privacy), deve essere strettamente limitato a quanto previsto e consentito dall’ordinamento e non deve mai ledere i diritti fondamentali dell’uomo.

Pertanto, ancora una volta, la Cassazione evidenzia la necessità (e non solo opportunità) di disciplinare dettagliatamente, a livello aziendale e con appositi regolamenti/policy, i casi, le modalità e le condizioni di qualsiasi tipo di controllo aziendale sull’utilizzo di strumenti – anche elettronici – impiegati dai lavoratori, siano essi personali od aziendali, ponendo rigida attenzione tanto alle norme giuslavoristiche (in particolare, a quelle di cui allo Statuto dei Lavoratori), quanto alle norme sulla privacy, con particolare riguardo soprattutto al controllo della corrispondenza elettronica dei lavoratori.

_______

*Avv. ti Gaspare Roma, Ilaria Uletto - Studio De Berti Jacchia Franchini Forlani

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più