Controlli datoriali retrospettivi: una stretta dell’ambito di liceità?

La tematica dei controlli datoriali retrospettivi, anche se effettuati con strumenti tecnologici, si arricchisce di una nuova significativa precisazione giurisprudenziale. Con l’Ordinanza n. 807/2025 del 13 gennaio scorso, la Corte di Cassazione sembrerebbe aver circoscritto ulteriormente l’ambito di liceità di tali controlli, stabilendo che essi possono ritenersi legittimi solo se riguardanti informazioni acquisite successivamente all’insorgenza del fondato sospetto di illecito da parte del dipendente.

Questo principio, confermando l’orientamento espresso da una corte territoriale (Tribunale di Roma, sez. I lavoro, sent. n. 1870/2024), introduce un limite stringente alla possibilità per il datore di lavoro di indagare sulla casella di posta elettronica dei propri dipendenti.

Il caso di specie e l’iter giudiziario

La vicenda sottoposta all’esame della Suprema Corte trae origine dal licenziamento intimato da una società ad un proprio dirigente, motivato dall’acquisizione di informazioni tramite un controllo sulla sua casella di posta elettronica aziendale. Tale verifica era stata avviata a seguito di un “alert” generato dal sistema informatico aziendale, segnalante una possibile anomalia. Tuttavia, la Corte di appello (Corte di Appello di Milano, sent. n. 235/2022) aveva evidenziato come il controllo avesse riguardato i file di log contenenti informazioni antecedenti all’insorgenza dell’alert, determinando così l’inutizzabilità di tali informazioni a fini disciplinari. La Corte d’Appello aveva inoltre escluso che la mera consegna dell’informativa privacy al dipendente potesse sanare la violazione dell’Articolo 4 della L. 300/1970, come modificato dal D.Lgs. 151/215 (“Statuto dei Lavoratori”).

La società datrice ha dunque proposto ricorso in Cassazione, ma la Suprema Corte ha confermato la decisione della Corte d’appello territoriale, ribadendo che i limiti entro cui i controlli difensivi, anche tecnologici, sugli strumenti aziendali possono essere considerati leciti. Si tratta, cioè, di specifici presupposti previsti sia alla disciplina giuslavoristica sia dalla normativa in materia di protezione dei dati personali (i.e. il Regolamento (UE) 679/2016 – “GDPR” -, il D.Lgs. 196/2006 come modificato dal D.Lgs. 101/2018 e ss.mm.ii – “Codice Privacy”. GDPR e Codice Privacy di seguito complessivamente intesi come la “Normativa Privacy”).

I presupposti dei controlli difensivi in senso stretto

Il controllo oggetto dell’Ordinanza della Cassazione rientra nella categoria dei controlli difensivi in senso stretto sono quei controlli volti ad accertare specificamente condotte illecite ascrivibili, in base ad indizi concreti, a singoli dipendenti, anche se ciò si verifichi durante la prestazione di lavoro.

La giurisprudenza è costante (Cass. Civ., Sez. Lav., 25732/2021, Cass. Civ., Sez. Lav., 34092/2021, Cass. Civ., Sez. Lav., 18168/2023) nel ritenere che questa tipologia di controlli – a differenza dei controlli difensivi in senso lato[1] – non rientri nel perimetro applicativo dell’Articolo 4 dello Statuto dei Lavoratori, sempre che, però, vengano rispettati specifici presupposti (per maggiori approfondimenti sul tema, si rinvia ad un nostro precedente contributo, disponibile su AgendaDigitale). In particolare, i controlli devono:

• essere finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti;
• essere svolti in presenza di un fondato sospetto circa la commissione di un illecito ed effettuati “ex post”, solo dopo che tale sospetto sia sorto;
• assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore;
• effettuati nel rispetto della Normativa Privacy e dei rilevanti provvedimenti delle autorità di controllo (i.e. Linee Guida del Garante Privacy per posta elettronica e internet del 10 marzo 2007; Documento di indirizzo del 6 giugno 2024 “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”) – che oltre a prevedere il rispetto dei principi generali del GDPR, sanciscono specifici obblighi informativi (ossia l’obbligo di prevedere un’informativa privacy idonea e completa ai sensi dell’Articolo 13 del GDPR, nonché la pubblicazione di una policy o un regolamento interno sull’utilizzo degli strumenti informatici) e precise tempistiche di conservazione nel tempo dei dati raccolti, le quali con riguardo ai metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica non dovrebbero comunque superare i 21 giorni, salvo specifiche necessità[2].  

Ma in cosa differisce il principio della Suprema Corte rispetto ai suoi precedenti orientamenti?

La novità introdotta dalla Cassazione riguarda il concetto stesso di “fondato sospetto”, il quale deve costituire il presupposto temporale e logico per l’avvio dei controlli difensivi, anche tecnologici. L’”alert” generato dal sistema informatico può, in astratto, ingenerare un tale sospetto; tuttavia, la Corte ha ritenuto che il controllo eseguito su dati archiviati e memorizzati nel sistema in epoca anteriore all’alert stesso, si pone in contrasto con l’Articolo 4 dello Statuto dei Lavoratori.

La Suprema Corte ha pertanto chiarito che:

• il controllo ex post deve riguardare esclusivamente informazioni acquisite dopo l’insorgenza del fondato sospetto[3];
• è precluso al datore di lavoro ricercale elementi di conferma del sospetto nel passato lavorativo, in dati pregressi e archiviati e utilizzare gli stessi per scopi disciplinari;
• l’utilizzo di dati raccolti antecedentemente al sospetto farebbe venir meno l’equilibrio tra esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, con la tutela della dignità e della riservatezza del lavoratore verrebbe meno ed equivarrebbe a legittimare l’uso di dati probatori raccolti prima (e archiviati nel sistema informatico), a prescindere dal fondato sospetto di condotte illecite da parte del dipendente.

Conseguenze operative per i datori di lavoro

L’orientamento della Cassazione chiarisce, restringendolo, l’ambito di liceità del controllo datoriale, sposando quanto già affermato da alcuni tribunali locali (come nella sentenza 1870/2024 del Tribunale di Roma, oggetto di un nostro precedente commento su AgendaDigitale): se, in base all’orientamento giurisprudenziale precedente, a dover essere effettuata ex post era l’attività di controllo, potendo la stessa avere ad oggetto anche informazioni raccolte in un periodo di tempo precedente al sorgere del sospetto, con l’Ordinanza in oggetto, la Cassazione ritiene che solo le informazioni successive potranno fondare l’eventuale esercizio dell’azione disciplinare.

Seppur significativo, l’orientamento della Cassazione sembrerebbe confermare un principio affermato a più riprese anche dal Garante Privacy: l’e-mail aziendale non dovrebbe servire come strumento per precostituirsi prove future in quanto rappresenta uno strumento di lavoro. Il trattamento dei dati effettuato accedendo alla posta elettronica dei dipendenti per finalità di tutela giudiziaria deve infatti riguardare esclusivamente contenziosi in corso o situazioni precontenziose, non anche ad ipotesi di tutela astratte o indeterminate (Garante Privacy Provvedimento n. 472 del 17 luglio 2024 – per maggiori approfondimenti, qui)

Conseguentemente, fermo restando il rispetto degli obblighi posti dalla Normativa Privacy, i datori di lavoro si ritrovano, di fatto, a dover scegliere tra due alternative: (i) effettuare controlli retrospettivi, anche tecnologici, adottando una delle garanzie previste dall’Articolo 4 Statuto dei Lavoratori e, dunque, stipulare un accordo con le rappresentanze sindacali o, in mancanza, l’autorizzazione dell’ispettorato territoriale del lavoro; oppure (ii) implementare sistemi alternativi alla posta elettronica. Come affermato anche dal Garante Privacy (provvedimenti n. 53/2018, doc. web n. 8159221, n. 214/2020, doc. web. n. 9518890, n. 472/2024, doc. web. 10053224), i sistemi di posta elettronica, per loro caratteristiche intrinseche, non sono in grado di assicurare caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità, che si rendono invece necessarie per conservare e archiviare adeguatamente i documenti. Ne deriva, dunque, che la legittima necessità di assicurare la conservazione della documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale deve essere soddisfatta tramite l’implementazione di sistemi di gestione documentale.

[1] Si tratta, cioè, di quei controlli posti a tutela del patrimonio aziendale e riguardanti tutti i (o gruppi di) dipendenti nello svolgimento della loro prestazione di lavoro che rientrano tout court nell’ambito di applicazione dell’Articolo 4 dello Statuto dei Lavoratori.

[2] Il Garante Privacy, il 6 giugno 2024, ha pubblicato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, con cui ha fornito precise indicazioni circa il periodo di conservazione dei c.d. metadati (per un maggior approfondimento sul tema si veda un nostro precedente contributo, disponibile qui).

[3] Nello specifico, la Corte di Cassazione afferma che si ha un controllo ex post “solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni”.