Nell’era digitale ogni dipendente utilizza strumenti informatici aziendali, prima fra tutti la posta elettronica. Ciò ha aperto nuovi fronti di contenzioso: fino a che punto il datore di lavoro può accedere alle email aziendali di un dipendente? E quando, invece, scatta la tutela della privacy e del segreto della corrispondenza? Le leggi e i tribunali italiani, bilanciando il diritto alla riservatezza del lavoratore con l’esigenza dell’azienda di proteggere i propri interessi, hanno tracciato principi precisi. In passato lo Statuto dei Lavoratori (art. 4, L. 300/1970) vietava rigidamente i controlli a distanza sui dipendenti. Oggi la normativa – rivista dal 2015 – e la giurisprudenza ammettono alcuni controlli, ma solo in presenza di specifiche condizioni e con limiti stringenti. Vediamo allora cosa prevede la legge e cosa insegnano le sentenze più recenti: “Il Grande Fratello vi guarda”, scriveva Orwell, ma nel mondo reale odierno un controllo indiscriminato sui lavoratori non è consentito.
Controlli difensivi e limiti legali
La regola generale è che il datore di lavoro non può monitorare arbitrariamente l’attività del dipendente. Tuttavia, sono ammessi i controlli difensivi, ossia verifiche mirate a prevenire o reprimere condotte illecite del lavoratore che danneggino l’azienda. Questo principio si è consolidato grazie a modifiche legislative (Jobs Act 2015) e conferme giurisprudenziali. Ad esempio, la Cassazione civ., Sez. Lav., sent. n. 7272/2024 ha giudicato legittimo il licenziamento di un dipendente dell’INPS che aveva compiuto accessi non autorizzati ai database dell’ente: in quel caso, i controlli informatici attuati dal datore post factum – ovvero dopo aver nutrito un fondato sospetto di illecito – sono stati considerati leciti e giustificati dalla finalità difensiva. Importante, ha chiarito la Suprema Corte, è che tali verifiche avvengano nel rispetto dell’art. 4 Statuto Lav.: gli strumenti di controllo possono essere utilizzati solo per proteggere beni estranei al mero adempimento della prestazione lavorativa (ad esempio, per evitare furti di dati, prevenire reati o accertare gravi infedeltà) e solo dopo che sussistano concreti indizi di comportamenti illeciti. In altre parole, prima di quel momento le comunicazioni del dipendente devono restare private. Nel caso esaminato (dipendente sorpreso a consultare banche dati riservate), la Cassazione ha anche precisato che non è necessaria un’informativa preventiva specifica al lavoratore per quel tipo di controllo difensivo: se l’azienda scopre ex post un abuso grave, può acquisire ed utilizzare le prove degli illeciti, fermo restando il rispetto delle procedure disciplinari. Nullum crimen sine lege – non c’è reato senza legge – ma anche nessuna sanzione disciplinare senza regole: il datore di lavoro deve sempre agire entro i confini tracciati dalla normativa.
No ai controlli retroattivi e generalizzati
Un punto fermo emerso dalla giurisprudenza recente è il divieto di controlli a tappeto o retrospettivi su periodi in cui non vi erano sospetti. La Cassazione civ., Sez. Lav., ord. n. 807/2025 ha affrontato il caso di un dirigente licenziato in base a email aziendali esaminate dall’azienda prima che sorgesse un sospetto concreto. In quel caso un sistema informatico aveva lanciato un alert su possibili irregolarità, ma l’azienda, anziché limitarsi a verificare da quel momento in poi, aveva “frugato” anche nelle email pregresse del dipendente. La Corte ha confermato l’illegittimità di tale operato: i controlli difensivi sono consentiti solo ex post, cioè a partire dall’insorgere di un fondato sospetto, e devono riguardare solo le comunicazioni successive a quella data. Andare a ritroso nel tempo alla cieca, in assenza di sospetti pregressi, equivale a una pesca esplorativa vietata. Questo perché un controllo retroattivo su dati archiviati viola l’art. 4 Statuto dei Lavoratori e i principi di proporzionalità e minimizzazione del trattamento dei dati personali (impliciti nel GDPR). Le informazioni così raccolte diventano inutilizzabili sul piano disciplinare: in base alla Cassazione, l’intero procedimento disciplinare basato su prove ottenute in modo illecito va travolto. Nemmeno il fatto di aver consegnato ai dipendenti un’informativa generale sul trattamento dei dati rende lecita una simile intrusione: la privacy del lavoratore non può essere aggirata con un pretesto. Dunque, un datore di lavoro accorto, anche quando ha ragione di indagare, deve limitare il controllo allo stretto necessario e al periodo sotto sospetto. Ogni eccesso sarà censurato dai giudici, con rischio di annullamento del licenziamento e possibili conseguenze legali.
Account aziendale vs. corrispondenza privata
Una distinzione fondamentale chiarita di recente riguarda la natura “privata” o meno delle email del dipendente. Ci si potrebbe chiedere: se un lavoratore usa l’account email aziendale, i messaggi appartengono all’azienda? Possono essere letti liberamente dai superiori? La risposta della giurisprudenza è netta: no, la corrispondenza personale è tutelata a prescindere dal device o account usato. La Cassazione civ., Sez. Lav., sent. n. 24204/2025 ha sancito che le email dei dipendenti sono da considerarsi corrispondenza privata inviolabile, anche quando transitano e rimangono sui server aziendali o sul PC dell’ufficio. Questa pronuncia ha fatto scalpore perché ha confermato la condanna di un’azienda che, per difendersi in giudizio contro alcuni ex dipendenti accusati di slealtà, aveva recuperato e prodotto le loro email (inviate anni prima da account personali, ma conservate sul server aziendale). La Corte d’Appello prima e la Cassazione poi hanno dato torto all’azienda: quelle comunicazioni, ancorché trovate su dispositivi aziendali, erano email private protette da password, quindi equiparabili a “corrispondenza chiusa”. L’accesso non autorizzato da parte del datore di lavoro ha violato la sfera privata dei lavoratori. Addirittura, la Cassazione ha evidenziato che simili condotte possono integrare fattispecie di reato: in caso di accesso abusivo a caselle di posta protette (senza il consenso dell’utente), si configura il delitto di accesso abusivo a sistema informatico (art. 615-ter c.p.), in concorso con il reato di violazione di corrispondenza (art. 616 c.p.) qualora vengano acquisite comunicazioni riservate. Insomma, forzare l’account email di un dipendente non è solo un illecito civile, ma potrebbe portare il datore di lavoro davanti al giudice penale. “Vince la privacy del dipendente”, hanno chiosato i commentatori di questa sentenza: l’interesse alla riservatezza personale prevale perfino sulle esigenze aziendali di difesa in giudizio, se queste ultime possono essere perseguite con mezzi meno invasivi. Anche la Corte Europea dei Diritti dell’Uomo (caso Barbulescu c/Romania, 2017) – richiamata espressamente in Cassazione – ha stabilito criteri rigidi: ogni controllo delle comunicazioni deve avere una finalità legittima, essere preceduto da un’adeguata informativa al dipendente, e attuato con modalità proporzionate e non eccessive. Sono bandite forme di sorveglianza occulta e massiva: il lavoratore non può essere spiato costantemente “just in case”, neppure sugli strumenti aziendali.
Obblighi per le aziende e tutele per i lavoratori
Cosa insegnano in concreto queste decisioni? Da un lato, le aziende hanno il diritto di tutelarsi da condotte illecite dei propri dipendenti (furti di informazioni, concorrenza sleale, violazioni del dovere di fedeltà, ecc.), ma devono farlo nel rispetto della legge. È fondamentale predisporre policy aziendali chiare sull’uso di email, internet e strumenti di lavoro, informando per iscritto i lavoratori su eventuali controlli (ad esempio, nel regolamento interno o codice disciplinare). Il datore di lavoro potrà effettuare verifiche solo quando necessario, per giustificati motivi, e limitatamente a quanto serve per accertare infrazioni gravi. Ogni eccesso di controllo – specie su aspetti della vita privata del dipendente – espone l’azienda a rischi: le prove raccolte in modo illegittimo verranno scartate in giudizio; il provvedimento disciplinare (es. licenziamento) potrà essere annullato; inoltre l’azienda potrebbe subire sanzioni dal Garante Privacy e, nei casi più gravi, incorrere nei reati citati. Dal lato opposto, il lavoratore deve sì usare gli strumenti aziendali in modo corretto (ricordiamo che il dipendente ha un obbligo di diligenza e fedeltà verso il datore, art. 2105 c.c.), ma mantiene il diritto alla tutela della propria sfera privata. Ciò significa che, salvo eccezioni lecite, le sue comunicazioni personali non possono essere lette o conservate indebitamente dall’azienda. Se un lavoratore scopre di essere stato controllato oltre i limiti consentiti (magari l’azienda ha letto le sue email private o monitorato la sua attività senza accordo né informativa), può reagire: impugnare l’eventuale sanzione disciplinare, segnalare la violazione al Garante per ottenere provvedimenti correttivi e risarcitori, o addirittura sporgere denuncia se vi è stata intrusione illecita nei suoi account. In sintesi, il messaggio che emerge dalla più recente giurisprudenza è chiaro: rispetto e moderazione. Il datore di lavoro dovrà vigilare senza spiare, il dipendente dovrà essere leale ma senza rinunciare alla propria dignità e riservatezza. L’equilibrio si regge su trasparenza, proporzionalità e reciproca correttezza.
“Chi controlla il passato controlla il futuro. Chi controlla il presente controlla il passato.” scriveva Orwell in 1984. Eppure, nel nostro presente, il controllo non può e non deve essere assoluto: le regole giuridiche esistono proprio per impedire che uno dei due protagonisti del rapporto di lavoro – sia esso il datore o il dipendente – prevarichi l’altro. Le ultime sentenze non fanno che ricordarci che il diritto funge da arbitro, assicurando che né la sicurezza aziendale né la privacy personale vengano sacrificati oltre il lecito.
Conclusioni
Le evoluzioni normative e giurisprudenziali in materia di controllo delle email aziendali mostrano un indirizzo univoco: sì ai controlli mirati e giustificati da reali esigenze, no alla vigilanza indiscriminata. Ogni azienda farebbe bene a aggiornare le proprie policies interne alla luce di questi principi, così da prevenire controversie e operare nella legalità. Allo stesso tempo, i lavoratori conoscano i propri diritti: la privacy non si lascia fuori dalla porta dell’ufficio. La sfida è trovare un punto di equilibrio, e il diritto fornisce proprio la bussola per orientarsi.
Avv. Marco Panato, avvocato del Foro di Verona e Dottore di Ricerca in Diritto ed Economia dell’Impresa – Discipline Interne ed Internazionali - Curriculum Diritto Amministrativo (Dipartimento di Scienze Giuridiche, Università degli Studi di Verona).
E' autore di pubblicazioni scientifiche in materia giuridica, in particolare nel ramo del diritto amministrativo. Si occupa anche di docenza ed alta formazione.
