Cassazione 24204/2025: le email dei lavoratori sono inviolabili anche se presenti sul server aziendale

La Corte di Cassazione, con la sentenza n. 24204/2025, interviene con un principio destinato a incidere profondamente sulle prassi aziendali di gestione degli strumenti di lavoro: il datore di lavoro non può accedere alle e-mail dei dipendenti, neppure quando queste si trovino su server aziendali. in uso in azienda o sui pc assegnati per lo svolgimento dell’attività e pur se ciò sia determinato da finalità difensive.

Secondo la Suprema Corte, i messaggi di posta elettronica del lavoratore – anche se gestiti tramite account aziendale – costituiscono corrispondenza privata e rientrano pienamente nella tutela dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU), che protegge la vita privata e la segretezza delle comunicazioni.

 

---

 

Perché questa sentenza è rilevante per le aziende

 

L’orientamento della Cassazione chiarisce che:

• l’e-mail aziendale è uno strumento di lavoro, ma i suoi contenuti restano potenzialmente personali;
• la tutela della privacy prevale, anche quando l’impresa detiene la gestione tecnica della casella di posta;
• l’accesso indiscriminato da parte del DDL può costituire violazione:

 

• del diritto alla riservatezza,
• della libertà di corrispondenza,
• della normativa privacy (GDPR, art. 5 e 6),
• dello Statuto dei Lavoratori (art. 4).

 

La sentenza impone di rivedere e aggiornare:

• policy interne sull’uso degli strumenti informatici,
• sistemi di monitoraggio,
• informative ai lavoratori,
• protocolli disciplinari e di investigazione interna.

 

---

 

Considerazioni della dott.ssa Emilia Barbati Legal Consultant, ROdV, Deputy Legal Manager ERSG

 

«La sentenza 24204/2025 conferma un principio essenziale: gli strumenti aziendali non possono diventare un varco per accedere alla sfera privata del lavoratore.

Anche in presenza di esigenze difensive o verifiche interne, l’azienda deve attenersi ai principi di necessità, proporzionalità e minimizzazione previsti dal GDPR.

L’attività di controllo deve essere regolata da policy chiare, trasparenti e preventivamente comunicate ai lavoratori.

In ERSG sosteniamo le imprese nella predisposizione e revisione delle procedure interne affinché conformità normativa e tutela dei diritti fondamentali convivano in un sistema equilibrato.»

 

Dott.ssa Emilia Barbati Legal Consultant, ROdV, Deputy Legal Manager ERSG

 

---

 

Cosa devono fare le aziende

Alla luce del nuovo orientamento della Cassazione, è consigliabile:

 

1. Aggiornare le policy IT e privacy

• Definire chiaramente cosa è consentito e cosa no nell’uso della posta elettronica aziendale.
• Informare esplicitamente i dipendenti sulle modalità di controllo, ove ammesso.

 

2. Limitare severamente i controlli sulle e-mail

• Vietato accedere al contenuto dei messaggi senza una base giuridica adeguata.
• Ammessi solo controlli tecnologici non invasivi (log, metadati).

 

3. Implementare protocolli di Data Protection by Design

• Segregazione dei dati.
• Sistemi che evitino la lettura del contenuto dei messaggi.

 

4. Formare dirigenti, lavoratori e responsabili IT

Per evitare comportamenti inconsapevolmente illeciti.

 

5. Richiedere un assessment legale

Per verificare l’allineamento dell’organizzazione al GDPR e all’art. 4 dello Statuto dei Lavoratori.

 

---

 

Come può aiutare ERSG

 

Chi cerca informazioni su questa sentenza ha spesso necessità di:

 

• Consulenza legale su privacy

 

• Supporto nella revisione delle policy interne e dei regolamenti aziendali

 

• Audit di conformità GDPR

 

• Formazione obbligatoria e specialistica per dirigenti, responsabili IT e HR

 

ERSG dispone di un team multidisciplinare in grado di integrare:

• competenze legali
• competenze tecniche e cyber
• gestione del rischio
• formazione professionale

 

Clicca qui per richiedere consulenza specifica.

 

---

 

FAQ – Domande frequenti 

 

1. Il datore può accedere alla posta elettronica del dipendente per motivi investigativi?

No, non può leggere i contenuti della posta, nemmeno per finalità difensive.

 

2. Se l’account è intestato all’azienda, la tutela della privacy vale comunque?

Sì. L’account può essere aziendale, ma i contenuti sono tutelati come corrispondenza privata.

 

3. Il datore può controllare i log tecnici senza leggere le email? 

Sì, purché tali controlli siano limitati, proporzionati e comunicati preventivamente.

 

4. Serve il consenso del lavoratore per i controlli?

No, il consenso non è valido in rapporto datore–dipendente. Occorrono basi giuridiche adeguate.

 

5. Le aziende devono aggiornare le proprie policy?

Sì, è fortemente consigliato.

 

6. È possibile bloccare automaticamente le email senza aprirle?

Sì, tramite filtri automatizzati non invasivi.

 

7. È legittimo accedere alla casella email di un dipendente assente?

Solo con procedure formalizzate, che evitino la lettura della corrispondenza privata.

 

8. Il GDPR disciplina l’uso della posta elettronica aziendale?

Sì, in particolare negli articoli su trasparenza, minimizzazione e proporzionalità.

 

9. Lo Statuto dei Lavoratori è ancora applicabile ai controlli?

Sì, l’art. 4 continua a valere per tutti gli strumenti di lavoro.

 

10. Questa sentenza vale anche per strumenti alternativi (es. chat, Teams, WhatsApp business)?

Sì, i principi di tutela della corrispondenza valgono per ogni mezzo di comunicazione.

 

11. Le aziende rischiano sanzioni?

Sì: amministrative, risarcitorie e potenzialmente penali (in casi estremi).