CASSAZIONE: ACCOUNT MAIL PRIVATI RESTANO TALI ANCHE SE CONFIGURATI SU SERVER AZIENDALI

Con la sentenza n. 24204 del 29 agosto 2025 la Corte di Cassazione ha richiamato i principi stabiliti dalla Corte Europea nella sentenza Barbulescu in materia di vita privata e corrispondenza tutelati dall’art. 8 della CEDU. 

La casella di posta elettronica dei dipendenti, anche se “ospitata” su server aziendale, non può essere controllata o utilizzata dall’azienda.

A stabilirlo la Corte di cassazione con la sentenza n. 24204 del 29 agosto 2025.

I FATTI

Il Tribunale di Milano ha condannato tre ex dipendenti per concorrenza sleale nei confronti dell’azienda presso cui lavoravano, condannandoli a risarcire il danno patito dall’ex datrice di lavoro. Nel corso del giudizio di primo grado, la condotta sleale dei dipendenti è stata accertata mediante una consulenza tecnica informatica sulle comunicazioni email effettuate con account privati dei lavoratori. Tale consulenza è stata ritenuta utilizzabile in quanto le comunicazioni mail dei lavoratori, sebbene estratte da account privati, erano state fatte confluire sul server aziendale per cui la corrispondenza doveva considerarsi aperta e non chiusa.

Diversamente, la Corte d’Appello di Milano, con sentenza n. 504/2020, richiamando la giurisprudenza sulle problematiche dell’uso della posta elettronica aziendale e sul controllo e/o utilizzo della stessa da parte del datore di lavoro, ha ritenuto che non sussistevano i presupposti per qualificare la corrispondenza oggetto della consulenza come “aperta” e, conseguentemente, ha rilevato l’inutilizzabilità dell’accertamento tecnico e la mancanza di prova della responsabilità dei dipendenti, non desumibile da altre risultanze processuali.

Avverso la sentenza di secondo grado l’azienda ha proposto ricorso per cassazione. 

I MOTIVI DEL RICORSO

La società ha denunciato la violazione e falsa applicazione dell’ex art. 360 co. 1 n. 3 cpc, degli artt. 615 ter e 616 c.p., nonché degli artt. 115 e 116 c.p.c. e dell’art. 2697 cod. civ., in quanto la sentenza ha

“erroneamente applicato i principi sulla cd. corrispondenza “aperta” anche in conseguenza del travisamento dei fatti accertati dalla consulenza tecnica di ufficio prodotta dalla S.r.l. e non contestata dai resistenti”. In particolare, la ricorrente ha dedotto che “la corrispondenza prodotta era stata tutta rinvenuta sui sistemi informatici aziendali di sua proprietà, quali personal computer e server e, quindi, consultabile senza alcuna chiave di accesso in quanto la società era titolare di menzionati sistemi informatici e aziendali; si precisa che una dipendente aveva creato, sin dal marzo 2013, una alberatura di cartelle dedicata a S.r.l., poi cancellata, e tale fatto era stato ignorato dalla Corte territoriale”, inoltre, “la GIP del Tribunale di Milano nell’archiviare li procedimento per violazione degli artt. 616 ter e 616 c.p. nei confronti dei vertici della società, aveva escluso sia una violazione della corrispondenza in senso proprio, sia un accesso abusivo ad un sistema informatico e che i lavoratori non avevano mai contestato la circostanza di avere consentito di ricevere la posta personale sul medesimo applicativo di posta elettronica utilizzato sul p.c. aziendale”.

LA SENTENZA DELLA CASSAZIONE

A parere della Suprema Corte,

“la Corte territoriale, in tale contesto fattuale, ha correttamente applicato i principi di cui alla sentenza della Corte Europea per i Diritti dell’Uomo (cfr. Grande Camera, sentenza 5 settembre 2017, ricorso n. 61496/08, Barbulescu), ove, “partendo dai concetti di “vita privata” (punto 71. “La Corte ritiene che la nozione di “vita privata” possa comprendere le attività professionali (si vedano Fernández Martínez c. Spagna [GC], n. 56030/07, § 110, CEDU 2014 (estratti), e Oleksandr Volkov .c Ucraina, n. 21722/11, §§ 165-66, CEDU 2013), o le attività che hanno luogo in un contesto pubblico (si veda Von Hannover c. Germania (n. 2) [GC], nn. 40660/08 e 60641/08, § 95, CEDU 2012). Le limitazioni alla vita professionale di una persona possono rientrare nell’articolo 8 se hanno ripercussioni sulle modalità con cui la stessa costruisce la sua identità sociale mediante lo sviluppo di rapporti con gli altri. A tale riguardo deve essere rilevato che per la maggior parte delle persone la vita lavorativa rappresenta una significativa, se non la più importante, possibilità di sviluppare rapporti con il mondo esterno (si veda Niemietz, sopra citata, § 29)“ e di “corrispondenza” (punto 72. “Inoltre, in ordine alla nozione di “corrispondenza” deve essere osservato che nella formulazione dell’articolo 8 tale termine non è qualificato da un aggettivo, a differenza del termine “vita”. E in realtà la Corte ha già ritenuto che, nell’ambito della corrispondenza svolta mediante telefonate, non debba essere effettuata alcuna qualificazione di tale tipo. In diverse cause concernenti la corrispondenza con un avvocato non ha neanche previsto la possibilità dell’inapplicabilità dell’articolo 8 in ragione del carattere professionale della corrispondenza (si veda Niemietz, sopra citata, § 32, con ulteriori riferimenti). Ha inoltre ritenuto che le conversazioni telefoniche siano comprese nella nozione di “vita privata” e di “corrispondenza” di cui all’articolo 8 (si veda Roman Zakharov c. Russia [GC], n. 47143/06, § 173, CEDU 2015). In linea di massima, ciò vale anche per le telefonate effettuate o ricevute nei locali dell’impresa (si veda Halford, sopra citata, $ 44, e Amann c. Svizzera [GC], n. 27798/95, Numero sezionale 3013/2025 § 44, CEDU 2000 II). Si applica lo stesso principio alle e-mail inviate dal luogo di lavoro, che godono di analoga tutela ai sensi dell’articolo 8, costa pubblicazione29/08/2025 come le informazioni tratte dal controllo dell’utilizzo di internet da parte di una persona (si veda Copland, sopra citata, § 41 ni fine)”, è stato affermato che le comunicazioni trasmesse dai locali dell’impresa nonché dal domicilio di una persona possono essere comprese nella nozione di “vita privata” e di “corrispondenza” di cui all’articolo 8 della Convenzione (si vedano Halford, sopra citata, § 44; e Copland, sopra citata, § 41).

I giudici di seconde cure, inoltre, hanno tenuto conto dei criteri fissati dalla CEDU

“in tema di rispetto dei principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi), della proporzionalità (il datore di lavoro deve scegliere, nei limiti del possibile, tra le varie forme e modalità di adeguato controllo – ad es. sul flusso di comunicazioni o sul loro contenuto; con predeterminazione dei tempi di durata; etc. ,- quelle meno intrusive) e della preventiva dettagliata informazione ai dipendenti sulle possibilità, forme e modalità del controllo in modo tale che, in ossequio alla necessità di contemperare le esigenze datoriali di controllo con quelle di tutela della privacy del dipendente, non è stata ritenuta consentita un’attività di controllo massivo, mentre sono state considerate indispensabili le opportune informative in merito alla possibile attività di controllo, con esclusione, in tale ottica, di controlli preventivi proprio perché si esulerebbe dal piano “difensivo””.

Nel caso di specie, i dipendenti non avevano impostato alcuna opzione per ricevere le mail personali sull’applicativo di posta elettronica utilizzato sul pc aziendale e non avevano concesso alcuna autorizzazione alla società, mentre quest’ultima non aveva dimostrato di avere impartito specifiche disposizioni finalizzate a regolamentare le modalità di controllo e/o di duplicazione della corrispondenza dei lavoratori.

Inoltre, la Cassazione ha osservato che

“ anche in relazione ad una eventuale asserita equiparazione degli account dei lavoratori a quelli aziendali, è stato più volte precisato che in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro, sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all’art. 4 della legge n. 300 del 1970”. 

Pertanto, le tutele dello Statuto dei Lavoratori trovano applicazione anche nel caso di controlli diretti ad accertare comportamenti illeciti dei lavoratori quando comportino la possibilità di verifica a distanza dell’attività di questi ultimi, ed in assenza dell’acquisizione del consenso individuale e del rilascio delle informative previste dal d.lgs. n. 196/2003 e del Regolamento UE n. 2016/679 (GDPR). In tal caso,

“il trattamento di quei dati si traduce, infatti, nella violazione dell’art. 8 della menzionata legge, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se le informazioni raccolte non siano in concreto utilizzate”

Infine, la Cassazione ha precisato che

“nel caso di accesso abusivo ad una casella di posta elettronica protetta da “password”, è configurabile il delitto di accesso abusivo ad un sistema informatico che concorre con quello di violazione di corrispondenza, in relazione all’acquisizione del contenuto delle “mail” custodite nell’archivio, e con il delitto di danneggiamento di dati informatici, nel caso in cui all’abusiva modificazione delle credenziali d’accesso consegua l’inutilizzabilità della casella di posta da parte del titolare (Cass. pen. n. 18284/2019)”.

Il ricorso dunque è stato respinto.

QUI LA SENTENZA PER INTERO