Controlli datoriali e tutela dei lavoratori: nel solco delle pronunce del Garante Privacy, il caso di e-mail estratte da account personali

Controlli datoriali e tutela dei lavoratori: il filo rosso da Cassazione alla CEDU nel solco delle pronunce del Garante Privacy

Con la sentenza n. 24204 del 29 agosto 2025 la Corte di Cassazione, Sezione Lavoro, è tornata a pronunciarsi su un tema delicatissimo: fino a che punto il datore di lavoro può spingersi nei controlli sull’attività dei dipendenti senza violarne la privacy? Una questione che tocca direttamente l’organizzazione aziendale, la gestione delle risorse umane e, soprattutto, la tenuta di un sistema di garanzie ormai sempre più integrato tra diritto interno ed europeo.

Il caso nasceva dall’utilizzo a fini probatori di e-mail estratte da account personali, ma confluite nei server aziendali. La Suprema Corte ha posto un principio chiaro: anche se transitano da sistemi aziendali, quelle comunicazioni restano private e non possono essere considerate alla stregua di semplici strumenti di monitoraggio datoriale. Una presa di posizione netta, che richiama tanto la giurisprudenza della Corte Europea dei Diritti dell’Uomo quanto i numerosi interventi del Garante Privacy.

Abbiamo chiesto un commento all’avvocato giuslavorista Luca Viola, founder di Lexpertise, che ha seguito con attenzione l’evoluzione di queste tematiche.

«La Cassazione – osserva Viola – ha messo al centro la tutela del lavoratore, ricordando che non tutto ciò che passa dai server aziendali diventa automaticamente “aziendale”. Si tratta pur sempre di comunicazioni personali, che godono di una protezione piena. L’accesso da parte del datore di lavoro, in assenza di precise garanzie, è una vera e propria ingerenza nella vita privata».

Un passaggio, quello della Cassazione, che dialoga apertamente con la giurisprudenza europea. «Il richiamo all’articolo 8 della CEDU e al caso Barbulescu – continua Viola – è fondamentale. La Corte di Strasburgo ha chiarito che anche sul posto di lavoro la corrispondenza resta protetta. Ne deriva un principio di grande attualità: i controlli datoriali non possono mai essere generici o indiscriminati, ma devono rispondere a criteri di proporzionalità e necessità. In mancanza, non solo sono illegittimi, ma rendono inutilizzabili le prove raccolte».

Da qui il tema centrale: i limiti ai poteri datoriali. «Non è sufficiente predisporre policy generiche – sottolinea Viola –, la trasparenza deve essere concreta: i lavoratori devono sapere con chiarezza quali strumenti di controllo potranno essere adottati, come funzionano e per quali finalità. Solo così si tutela realmente il diritto alla dignità e alla riservatezza».

Monitoraggio dei metadati e controlli difensivi

Il ragionamento trova un riscontro diretto anche nei provvedimenti del Garante Privacy. Emblematico il caso Regione Lazio del 2022, con la sanzione inflitta per il monitoraggio dei metadati delle e-mail istituzionali degli avvocati dell’Avvocatura regionale. «Quel provvedimento – ricorda Viola – ha dimostrato quanto sia facile travalicare i limiti. In assenza di una base giuridica, senza informativa e con una conservazione sproporzionata dei dati, si è violato l’articolo 4 dello Statuto dei lavoratori e le regole del GDPR. Il Garante ha tracciato una linea netta, che oggi deve essere tenuta ben presente da tutte le organizzazioni».

Un altro punto delicato riguarda i cosiddetti controlli difensivi. «Sono ammessi – spiega l’avvocato – solo quando esistono elementi concreti e sempre se condotti in modo proporzionato. Ma se diventano strumenti di sorveglianza generalizzata o vengono attivati ex post senza informare i lavoratori, si cade in una violazione grave dei diritti fondamentali».

In conclusione, per l’avv. Luca Viola il quadro che emerge è ormai chiaro: «C’è un filo rosso che lega Cassazione, CEDU e Garante Privacy. La tecnologia non può diventare strumento di sorveglianza indiscriminata. Può servire a migliorare l’organizzazione e proteggere gli asset aziendali, ma entro confini precisi. Per le imprese significa una cosa: rafforzare la trasparenza, aggiornare le procedure interne, coinvolgere i sindacati o l’Ispettorato quando la legge lo richiede. Solo così si evitano responsabilità e sanzioni, ma soprattutto si rispettano dignità e diritti fondamentali dei lavoratori».

I punti chiave per le aziende:

• Comunicazioni personali intoccabili: anche se transitano sui server aziendali, restano private.
• Test di proporzionalità: ogni controllo deve avere una finalità legittima, essere necessario e adeguato.
• Trasparenza obbligatoria: i lavoratori devono essere informati in modo chiaro e preventivo sui controlli possibili.
• Policy non generiche: occorre dettagliare strumenti e modalità, non limitarsi a richiami standard.
• Autorizzazioni e accordi: in molti casi servono l’ok sindacale o l’autorizzazione dell’Ispettorato del lavoro.
• Controlli difensivi limitati: ammissibili solo se fondati su elementi concreti e mai trasformabili in sorveglianza generalizzata.
• Rischio sanzioni: violazioni delle regole comportano non solo inutilizzabilità delle prove, ma anche responsabilità legali e sanzioni economiche.

Claudio Bonato