Controlli datoriali e privacy lavoratore: le email

22 Gennaio 2026
|In Concorrenza sleale, Privacy e GDPR
|By Studio Legale Adamo

Contolli datoriali e privacy lavoratore: le email

Controlli datoriali e privacy lavoratore: le email e come utilizzarle nel processo del lavoro – Cass., 29 agosto 2025, n. 24204

Giovanni Adamo e Immacolata Argentina

CONTATTACI SUBITO

Cassazione 29 agosto 2025 n. 24204 e utilizzabilità delle email nel processo del lavoro

La sentenza della Corte di Cassazione, Sezione Lavoro, 29 agosto 2025, n. 24204 (udienza 11 giugno 2025) si focalizza sull’equilibrio tra poteri di verifica del datore di lavoro e tutela della riservatezza nel rapporto di lavoro. Il tema, oggi centrale anche per l’uso quotidiano di strumenti digitali, è quello dei contolli datoriali e della privacy lavoratore quando le comunicazioni transitano da dispositivi aziendali, ma insistono su account personali protetti da credenziali.

La pronuncia è rilevante poiché collega in modo esplicito legittimità del controllo, disciplina lavoristica e normativa sulla privacy, incentrandosi sulla utilizzabilità della prova digitale. In particolare, la Cassazione conferma l’impostazione che porta all’esclusione dal materiale probatorio di contenuti acquisiti mediante controlli che violano i limiti dello Statuto dei Lavoratori e i principi del GDPR, soprattutto quando il datore non ha predisposto regole interne chiare e informative privacy coerenti.

Il caso deciso dalla Cassazione: contestazioni di concorrenza sleale e prova informatica basata su email

La controversia trovava la propria scaturigine dall’azione promossa da un datore di lavoro nei confronti di alcuni ex dipendenti, accusati di condotte contrarie ai doveri di diligenza e fedeltà, con richiami agli artt. 2104 e 2105 c.c., e ritenute idonee a integrare atti di concorrenza sleale ai sensi dell’art. 2598 c.c., con asserito sviamento di operazioni commerciali e clientela. La struttura della domanda ruotava, quindi, attorno a un duplice profilo: la violazione degli obblighi negoziali tipici del lavoro subordinato e l’illecito concorrenziale, con richiesta di tutela anche sul piano risarcitorio.

Sul versante probatorio, l’elemento che ha inciso sull’intero giudizio è rappresentato da una consulenza tecnica informatica fondata sul contenuto di email riconducibili ad account personali protetti da password, consultabili da dispositivi aziendali. Tali comunicazioni sono state utilizzate dal datore per sostenere l’esistenza di condotte illecite e, soprattutto, per attribuire un collegamento tra i comportamenti contestati e il danno economico dedotto.

In primo grado il Tribunale aveva accolto in larga misura le domande del datore. In appello, però, la Corte territoriale ha dichiarato inutilizzabili le prove informatiche, giudicando illegittimi i controlli svolti, e ha ritenuto insufficienti gli elementi indiziari per dimostrare in modo rigoroso sia gli inadempimenti imputati ai lavoratori sia il nesso causale con l’eventuale danno lamentato. Investita del ricorso principale del datore di lavoro, la Cassazione ha confermato l’impostazione della Corte d’Appello, rigettando il ricorso e dichiarando assorbito quello incidentale condizionato proposto da un ex dipendente.

Controlli datoriali e privacy lavoratore: perché le email personali diventano il nodo probatorio

Il punto non è soltanto se il datore possa, in astratto, svolgere verifiche su strumenti aziendali, ma in che modo tali verifiche possano spingersi fino a intercettare comunicazioni private. Nella vicenda esaminata, le email non provenivano da una casella aziendale disciplinata da policy interne, bensì da account personali protetti da password, sebbene accessibili da postazioni dell’impresa. Questo elemento, apparentemente tecnico, è diventato decisivo sotto due profili convergenti.

Da un lato, incide sul perimetro dei contolli datoriali e sulla loro qualificazione. Un controllo che si spinge fino a ricostruire corrispondenza privata tende a collocarsi fuori dall’area di un ordinario controllo sull’organizzazione del lavoro, perché coinvolge dati e comunicazioni che appartengono alla sfera personale del lavoratore. Dall’altro lato, incide sull’aspettativa di riservatezza e sulla conseguente valutazione di proporzionalità dell’intervento datoriale, con ricadute immediate sulla possibilità di utilizzare in giudizio ciò che è stato acquisito.

Il richiamo alla CEDU: trasparenza e proporzionalità come criteri guida per controlli datoriali e privacy lavoratore

Uno dei passaggi più significativi della decisione è il richiamo ai principi elaborati dalla Corte europea dei diritti dell’uomo in materia di vita privata e corrispondenza nel luogo di lavoro, con particolare riferimento al caso Bărbulescu c. Romania (2017). Il punto di metodo che emerge da quel filone giurisprudenziale è che l’uso di strumenti dell’impresa non determina, da solo, la perdita della tutela della vita privata: la protezione dell’art. 8 CEDU può estendersi anche alle comunicazioni inviate o ricevute sul posto di lavoro, se sussiste una ragionevole aspettativa di riservatezza e se il datore non ha predisposto un quadro chiaro di regole e informative.

In questa cornice, la Cassazione valorizza tre coordinate che diventano essenziali nel valutare qualsiasi attività di controllo: la finalità, perché l’azienda deve poter indicare un obiettivo legittimo e specifico; la proporzionalità, perché la modalità di verifica deve essere adeguata e non eccedente rispetto allo scopo; la trasparenza, perché il lavoratore deve essere messo in condizione di conoscere regole e confini del trattamento dei dati e degli eventuali controlli sugli strumenti aziendali.

Quando questi parametri mancano, il controllo si espone a censure non soltanto in termini di legittimità del trattamento dei dati, ma anche in termini di inutilizzabilità della prova, soprattutto se l’acquisizione si traduce in una raccolta ampia e generalizzata di comunicazioni.

Controlli datoriali e privacy lavoratore – Account personale su PC aziendale

La sentenza afferma con nettezza un principio: la circostanza che un account personale sia accessibile da un computer aziendale non lo trasforma in un account aziendale. In altri termini, la disponibilità del contenitore tecnologico non rende automaticamente disponibile all’impresa il contenuto comunicativo custodito in un account privato.

La presenza di credenziali personali e la protezione mediante password sono indici rilevanti di segretezza e riservatezza. Ne deriva che, anche nell’ambito di un’organizzazione che mette a disposizione device e connessioni, permane una sfera di tutela della privacy lavoratore che non può essere superata con la sola argomentazione dell’appartenenza del dispositivo all’impresa.

Questo approdo è particolarmente significativo nella prassi, perché molte realtà aziendali si trovano a gestire postazioni condivise, laptop assegnati, accessi in cloud e strumenti di comunicazione ibridi. La sentenza segnala che la qualificazione personale o aziendale dell’account non può essere determinata in modo presuntivo dal mezzo utilizzato, ma va ricostruita in base alla natura dell’account, alle regole interne e alle garanzie effettivamente predisposte.

Art. 4 Statuto dei Lavoratori e GDPR

Nel ragionamento della Corte, l’illegittimità dei controlli si fonda su due piani tra loro coordinati. Il primo è quello dell’art. 4 dello Statuto dei Lavoratori, nella versione applicabile ai fatti, che disciplina gli strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori e richiede il rispetto di specifiche garanzie. Il secondo è quello della disciplina privacy, imperniata sul Regolamento (UE) 2016/679, che impone un trattamento dei dati conforme a liceità, correttezza e trasparenza, nel rispetto dei principi di minimizzazione e limitazione della finalità.

Sotto il profilo lavoristico, la Corte ritiene che il controllo, così come realizzato, abbia consentito una verifica dell’attività dei dipendenti senza rispettare le garanzie richieste, con conseguente ricaduta sulla spendibilità processuale del materiale acquisito. Sotto il profilo privacy, la valutazione è aggravata dalla mancanza di policy specifiche, informative e istruzioni riguardanti il trattamento dei dati personali dei lavoratori, oltre che dall’estensione del controllo.

In sostanza, la sentenza evidenzia che i controlli datoriali non si salvano per il solo fatto di essere finalizzati a dimostrare un illecito, se le modalità con cui vengono svolti non sono ancorate a una base giuridica e a un assetto informativo coerente con la normativa applicabile. È qui che il rapporto tra contolli datoriali e privacy lavoratore assume la sua massima concretezza: non è una contrapposizione astratta, ma una verifica di conformità che può determinare l’esclusione della prova.

Controlli difensivi: l’esigenza di indizi specifici ed il divieto di controlli massivi

La decisione si inserisce nel solco secondo cui anche i controlli difensivi, cioè quelli diretti ad accertare condotte illecite potenzialmente lesive del patrimonio o dell’organizzazione aziendale, devono rispettare limiti rigorosi. Il concetto di difesa non diventa un lasciapassare per attività invasive e generalizzate, specie quando coinvolgono corrispondenza privata protetta da credenziali.

Nel caso esaminato assumono rilievo diversi elementi: la natura personale degli account, la protezione mediante password, l’assenza di una previa regolamentazione interna e l’esecuzione dei controlli in un momento successivo alla cessazione del rapporto. La Cassazione, in continuità con la Corte d’Appello, considera quindi non compatibili con i limiti di proporzionalità e trasparenza attività di ricostruzione massiva di contenuti personali, soprattutto quando difettano presidi organizzativi e informativi.

Onere della prova e limiti del giudizio di legittimità: il danno non è in re ipsa

Un ulteriore profilo, spesso decisivo nella pratica, riguarda l’onere della prova. La Corte di merito aveva ritenuto insufficienti gli elementi per attribuire con certezza ai lavoratori gli inadempimenti e, soprattutto, per dimostrare il nesso causale tra la condotta e il danno economico denunciato, escludendo che potesse parlarsi di un danno in re ipsa. La Cassazione, richiamando la natura del giudizio di legittimità, ribadisce che non è consentito trasformare il ricorso in un terzo grado di merito, poiché la valutazione delle prove resta riservata ai giudici di merito salvo specifiche ipotesi di violazione di norme sulle prove legali o di vizi logici e giuridici della motivazione.

Ne deriva un messaggio operativo chiaro: anche quando il datore ritiene di poter dimostrare una violazione degli obblighi di fedeltà o atti di concorrenza sleale, deve comunque fornire una prova solida del danno e del collegamento causale, individuando in concreto le operazioni o i clienti asseritamente sviati e quantificando la perdita economica. In assenza di tale prova, la domanda risarcitoria rischia di non reggere.

Archiviazione in sede penale e giudizio civile: l’autonomia della tutela della privacy

Nel giudizio è stata richiamata anche l’archiviazione disposta dal GIP nel procedimento penale relativo all’accesso agli account. La Cassazione osserva che tale archiviazione non vincola il giudice civile e che la tutela della privacy lavoratore rimane autonoma rispetto alle eventuali valutazioni penalistiche. Il fatto che in sede penale non sia stato ravvisato un reato, o che non si sia proceduto oltre, non costituisce un elemento sufficiente per legittimare, sul piano civilistico e lavoristico, modalità di acquisizione di dati potenzialmente invasive.

Questo passaggio è rilevante perché richiama l’attenzione sulla pluralità dei piani di responsabilità e di tutela: un comportamento può non essere penalmente rilevante e, tuttavia, risultare incompatibile con i vincoli dello Statuto dei Lavoratori e con i principi del GDPR, con conseguenze dirette sulla validità del materiale probatorio e sull’esito del giudizio.

Come gestire correttamente contolli datoriali e privacy lavoratore

Per gestire correttamente controlli datoriali e privacy lavoratore occorre un bilanciamento di interessi. La pronuncia evidenzia quanto sia strategico, per le imprese, adottare un impianto regolatorio e documentale capace di prevenire contestazioni. Il governo dei controlli non può essere affidato a interventi estemporanei dettati dall’emergenza o dal sospetto, ma richiede una progettazione ex ante che definisca regole di utilizzo degli strumenti, scopi dei trattamenti e modalità di eventuali verifiche, tenendo conto della proporzionalità e della tracciabilità delle attività svolte.

Sul piano della privacy lavoratore, assumono rilievo la chiarezza delle informative, la coerenza tra finalità dichiarate e controlli effettivamente praticati, la delimitazione dell’ambito di monitoraggio e l’adozione di misure che riducano al minimo l’accesso a contenuti personali. In termini di organizzazione, la distinzione tra account aziendali e account personali deve essere governata anche tecnicamente, perché la commistione tra piani diversi aumenta la probabilità di violazioni e, in sede giudiziaria, accresce il rischio che la prova venga espunta.

Per i lavoratori, la decisione conferma che l’uso di un dispositivo aziendale non equivale alla rinuncia alla riservatezza. La tutela, tuttavia, non si traduce in un diritto assoluto e indifferenziato: si innesta su regole, aspettative ragionevoli e bilanciamenti. Proprio per questo, un quadro chiaro di policy e informazione preventiva serve a tutti gli attori, riducendo le zone grigie che alimentano contenzioso.

Conclusioni: come gestire contolli datoriali e privacy lavoratore alla luce della Sentenza

La Cassazione, con la sentenza n. 24204/2025, conferma che il potere di controllo datoriale deve confrontarsi con limiti sostanziali, soprattutto quando coinvolge comunicazioni personali. Le email custodite in account privati protetti da password restano, in linea di principio, nell’area della corrispondenza privata; il fatto che l’accesso sia tecnicamente possibile da un device dell’azienda non basta a legittimare acquisizioni estese e non regolamentate. In assenza di trasparenza, proporzionalità e una cornice organizzativa coerente con art. 4 Statuto dei Lavoratori e GDPR, la conseguenza non è soltanto sanzionatoria, ma probatoria: ciò che viene raccolto può essere dichiarato inutilizzabile nel processo del lavoro.

Per le imprese, il valore pratico della decisione sta nell’invito a strutturare procedure e regole prima che si manifesti un sospetto, perché il contenzioso si vince anche con la qualità della prova e con la tenuta del percorso di acquisizione. Per chi assiste i lavoratori, la pronuncia costituisce un parametro importante per verificare la legittimità dei controlli e per contestare prove invasive. Nel bilanciamento tra contolli datoriali e privacy lavoratore, il punto di equilibrio passa, ancora una volta, dalla capacità di dimostrare che il controllo è realmente necessario, circoscritto e trasparente, nonché compatibile con lo Statuto dei Lavoratori e con il GDPR.

Controlli datoriali e privacy lavoratore: come possiamo aiutarti

Abbiamo ottenuto numerose Sentenze o provvedimenti di accoglimento (o di rigetto delle domande avversarie) in materia di concorrenza sleale dell’ex dipendente, tra le quali, fra l’altro:

  • Trib. Roma, 22 ottobre 2020confermato il provvedimento inibitorio a carico dell’ex collaboratore che impiegava documentazione soggetta a diritto d’autore dell’ex datore di lavoro;
  • Trib. Roma, 11 giugno 2020inibito in via d’urgenza all’ex collaboratore l’impiego abusivo di materiale didattico per corsi di formazione di proprietà dell’ex datore di lavoro;
  • App. Bologna, 24 ottobre 2018: condannata al risarcimento del danno la persona che aveva riprodotto su propria carta intestata offerte commerciali realizzate dall’ex datore di lavoro;
  • Trib. Firenze, 7 febbraio 2017: inibita in via d’urgenza all’ex dipendente l’utilizzazione abusiva di materiale pubblicitario di proprietà dell’ex datore di lavoro;
  • Trib. Bologna, 29 ottobre 2013: condannato al risarcimento del danno il collaboratore che aveva tentato di sottrarre clientela all’ex datore di lavoro.

Ex dipendente sottrae clienti? Chiamaci subito 051.19901374

Oppure scrivici da qui