Con la sentenza n. 28365 del 27 ottobre 2025, la Corte di Cassazione, Sezione Lavoro, interviene sul tema del bilanciamento tra il potere di controllo datoriale e il diritto alla protezione dei dati personali e alla riservatezza dei lavoratori confermando la legittimità del licenziamento per giusta causa di un dipendente per aver divulgato dati personali, informazioni e documenti aziendali. La contestazione disciplinare era stata fondata sulla base di quanto emerso da un controllo effettuato dall’azienda sul pc aziendale assegnato al lavoratore.
La Corte d’Appello ha rilevato che l’attività compiuta dalla datrice di lavoro doveva ritenersi conforme alle prescrizioni dell’art. 4, L. 300/1970 in quanto aveva dato prova che era stata fornita una adeguata informativa al lavoratore “mediante diffusione della policy aziendale sull’utilizzo delle dotazioni informatiche” e che con la predetta policy “la datrice di lavoro informava […] i dipendenti della possibilità di effettuare, in caso di rilevate anomalie, verifiche e controlli nel rispetto delle previsioni di legge, riservandosi, in caso di accertamento di comportamenti non conformi alle disposizioni aziendali, la possibilità di applicare le previsioni contrattuali in materia disciplinare”.
Ad avviso della Corte di Cassazione, pertanto, la società aveva rispettato quanto previsto dall’articolo 4, L. 300/1970 fornendo preventivamente ai lavoratori adeguate informazioni sulla possibilità di effettuare verifiche e controlli sugli strumenti informatici aziendali.
Quali sono le implicazioni per i datori di lavoro?
- Aggiornamento o, in mancanza, redazione di policy e disciplinari aziendali finalizzati a definire i corretti utilizzi degli strumenti di lavoro assegnati ai lavoratori e a chiarire ed informare sulle modalità e tipologie di controlli datoriali effettuati dall’azienda che devono essere impostati nel pieno rispetto di quanto previsto dallo Statuto dei Lavoratori e dalla normativa in materia di protezione dei dati personali.
- Definizione di regole chiare e precise sull’utilizzo della posta elettronica aziendale e di Internet nonché delle attività vietate, quali ad esempio il download di file audio o video non inerenti all’attività lavorativa.
- Individuazione, attraverso nomine puntuali, dei soggetti responsabili, e quindi espressamente autorizzati, ad effettuare i controlli avendo cura di fornire loro apposite istruzioni operative e formazione.
- Definizione di politiche di conservazione delle informazioni e dei log in conformità con quanto stabilito dalla normativa applicabile, dall’Autorità Garante per la protezione dei dati e dalle politiche aziendali sul tema.
Quali le conseguenze in caso di non conformità?
Le conseguenze, per i datori di lavoro, sono duplici. Se da un lato l’azienda rischia di essere esposta alle pesanti sanzioni previste dalla normativa in materia di protezione dei dati personali per illecito trattamento di dati personali, dall’altro le informazioni raccolte sono totalmente inutilizzabili a tutti i fini connessi al rapporto di lavoro, inclusa la possibilità di fondare su di esse un provvedimento disciplinare.
