La Corte Suprema di Cassazione ha sancito, con una sentenza depositata nelle ultime settimane, l’illegittimità della conservazione e categorizzazione da parte del datore di lavoro dei dati personali dei dipendenti relativi a navigazione Internet, uso della posta elettronica e telefonate effettuate tramite utenze aziendali.
La pronuncia conferma una decisione della Corte d’Appello di Milano, che si era espressa a favore di alcuni ex dipendenti contrari a un controllo ritenuto eccessivo e invasivo da parte della società datrice di lavoro.
Il caso e la decisione di primo grado
In primo grado, il Tribunale di Milano aveva parzialmente accolto il ricorso della società, ritenendo utilizzabili le comunicazioni mail prodotte dai lavoratori perché, pur provenendo da account privati, erano state gestite tramite il server aziendale e quindi considerate aperte e accessibili.
La Corte d’Appello e la Suprema Corte: tutela della privacy e proporzionalità
La Corte d’Appello ha invece respinto il ricorso del datore di lavoro, sottolineando che, sebbene le email fossero archiviate su sistemi di proprietà dell’azienda, esse provenivano da account personali protetti da password, garantendo così una sfera privata che il datore di lavoro non poteva violare indiscriminatamente.
La Cassazione ha confermato questa posizione, richiamandosi a una sentenza della Corte Europea dei Diritti dell’Uomo del 2017, che ha riconosciuto come “vita privata” e “corrispondenza” anche le comunicazioni scambiate dal domicilio o dagli stessi locali aziendali.
Secondo la Suprema Corte, i controlli devono rispettare alcuni principi fondamentali: devono essere giustificati da gravi motivi, adottare modalità meno intrusive e prevedere una preventiva informazione ai dipendenti sulle forme e modalità del controllo.
Un controllo massivo e preventivo, senza un’effettiva motivazione e senza la dovuta comunicazione, è pertanto da considerarsi illecito.
Mancanza di autorizzazione e regolamentazione interna
Nel caso specifico, i dipendenti avevano precisato di non aver autorizzato la ricezione di mail personali sui programmi aziendali e di non aver mai concesso permessi per la duplicazione o il controllo di tali corrispondenze.
La società, dal canto suo, non aveva fornito prove di disposizioni interne che regolamentassero il controllo o la duplicazione delle comunicazioni dei lavoratori.
