Il grande “no” della Cassazione: “Spiare i dipendenti è illegittimo”

È una sentenza destinata a fare scuola quella appena depositata dalla Corte di Cassazione: il datore di lavoro non può conservare, categorizzare né utilizzare i dati personali dei dipendenti relativi alla navigazione web, all’uso della posta elettronica e alle chiamate telefoniche. Un verdetto che ribadisce con forza il confine invalicabile tra controllo aziendale e diritto alla privacy, e che conferma la decisione della Corte d’Appello di Milano in una causa che ha visto contrapposti una società e alcuni suoi ex dipendenti.

Il caso, nato da una controversia sull’utilizzo delle email personali dei lavoratori, ha attraversato tre gradi di giudizio. In primo grado, il Tribunale di Milano aveva parzialmente accolto il ricorso della società, ritenendo utilizzabili le comunicazioni estratte da account privati ma confluite sul server aziendale. Secondo i giudici, la corrispondenza doveva considerarsi “aperta” e dunque accessibile.

Privacy violata: la Cassazione chiude ogni spiraglio

Ma la Corte d’Appello ha ribaltato il verdetto, respingendo il ricorso del datore di lavoro. La società sosteneva che i dati fossero stati rinvenuti su dispositivi aziendali, quindi liberamente consultabili. Una tesi rigettata dalla Suprema Corte, che ha sottolineato come le email provenissero da account personali protetti da password, anche se ospitati su server aziendali.

La Cassazione ha richiamato i principi sanciti dalla Corte di Strasburgo nel 2017, secondo cui anche le comunicazioni effettuate dai locali dell’impresa o dal domicilio rientrano nella sfera della “vita privata” e della “corrispondenza”, tutelata dall’articolo 8 della Convenzione Europea dei Diritti dell’Uomo.

Il verdetto non lascia spazio a interpretazioni: il controllo del datore di lavoro deve rispettare criteri di legittimità, proporzionalità e trasparenza. Non è consentito alcun monitoraggio massivo, né tantomeno preventivo. I dipendenti devono essere informati in modo dettagliato sulle modalità e finalità del controllo, che deve essere giustificato da motivi gravi e adottato con strumenti il meno invasivi possibile.

Il vuoto normativo e le responsabilità aziendali

Nel caso specifico, i lavoratori avevano dichiarato di non aver mai autorizzato la ricezione di email personali sul software aziendale né di aver concesso accesso ai propri account. La società, dal canto suo, non ha saputo dimostrare di aver impartito direttive chiare sulle modalità di controllo o duplicazione della corrispondenza.

La sentenza segna un punto fermo nel dibattito sull’equilibrio tra esigenze aziendali e diritti individuali. In un’epoca in cui il confine tra vita professionale e privata è sempre più sfumato, la giurisprudenza riafferma con decisione che la tutela della privacy non è negoziabile.