La Corte di Cassazione ha ribadito con una recente sentenza della sezione Lavoro che la conservazione e la categorizzazione dei dati personali dei dipendenti da parte del datore di lavoro – riguardanti la navigazione in internet, l’uso della posta elettronica e le utenze telefoniche – sono da considerarsi illegittime. Il principio conferma la decisione della Corte d’appello di Milano, che aveva accolto le ragioni di alcuni ex dipendenti contro la loro azienda.

I precedenti gradi di giudizio

In primo grado, il tribunale di Milano aveva parzialmente dato ragione alla società, ritenendo utilizzabili alcune comunicazioni email in quanto confluite sul server aziendale. La Corte d’appello ha invece ribaltato la decisione, sottolineando che si trattava comunque di account personali protetti da password, quindi tutelati dalla sfera privata. La Cassazione ha confermato: «La posta acquisita dal datore di lavoro proveniva da account personali, sebbene inseriti sul server aziendale, per accedere ai quali occorreva una password».

I principi di Strasburgo

I giudici hanno richiamato i criteri fissati dalla Corte europea dei diritti dell’uomo (Cedu) nel 2017: il controllo deve rispondere a una finalità legittima e a motivi gravi; va rispettato il principio di proporzionalità, scegliendo modalità di verifica meno intrusive; i dipendenti devono ricevere informazione preventiva e dettagliata su forme e possibilità di controllo.

Non è quindi consentito alcun controllo massivo e preventivo, perché eccede il piano difensivo e viola la privacy del lavoratore.

Il caso specifico

Nel procedimento in esame, i dipendenti avevano chiarito di non aver autorizzato la ricezione delle mail personali sul pc aziendale né di aver concesso permessi alla duplicazione della corrispondenza. La società, dal canto suo, non aveva fornito alcuna prova di aver regolamentato in modo chiaro le modalità di controllo. Il ricorso del datore di lavoro è stato dunque rigettato in via definitiva.