Il tema dei controlli informatici SUL PC AZIENDALE in uso ai lavoratori dipendenti investe profili delicati in cui si intrecciano il potere di direzione e controllo del datore di lavoro (art. 2104 e 2086 c.c.) lo Statuto dei Lavoratori (art. 4 L. 300/1970) il diritto alla riservatezza

personale e alla protezione dei dati personali (art. 8 CEDU; Il Regolamento UE 2016/679 - GDPR; d.lgs. 196/2003 come richiamato dal GDPR) e, infine, **i doveri contrattuali del lavoratore (diligenza, fedeltà, correttezza). Su questi presupposti la Corte di Cassazione – Sezione Lavoro, con la recente sentenza n. 28365 del 27 ottobre 2025, ha offerto un importante orientamento sui limiti e le condizioni di legittimità delle verifiche sui dati presenti nei dispositivi aziendali e sull’utilizzabilità delle risultanze in sede disciplinare. Nel caso di specie, un dipendente addetto ad attività commerciale era stato licenziato per giusta causa dopo che dall’analisi del notebook aziendale erano emersi oltre 54.000 accessi non autorizzati ai sistemi informatici aziendali, con estrazione e invio verso l’esterno di dati riservati dei clienti tramite il sistema di posta elettronica. Il lavoratore aveva impugnato il provvedimento disciplinare sostenendo, tra l’altro, l’illegittimità dei controlli compiuti dall’azienda, in quanto idonei a ledere la sua riservatezza e contrari alla disciplina dell’art. 4 dello Statuto dei Lavoratori. La Suprema Corte ha confermato l’orientamento dei giudici di merito ritenendo legittimo il licenziamento per giusta causa e utilizzabili le risultanze del controllo informatico, sulla base di due profili fondamentali (a e b): a) Informativa preventiva e policy aziendale. La Corte ha valorizzato il fatto che l’azienda aveva fornito ai dipendenti un’informativa chiara e preventiva sulle modalità di utilizzo delle dotazioni informatiche e sulla possibilità di effettuare controlli in presenza di anomalie o sospetti di illeciti. Tale comunicazione era stata trasmessa attraverso una policy aziendale specifica che reputava l’informativa idonea ai sensi dell’art. 4 Statuto dei Lavoratori e delle norme sulla privacy. In particolare, non si trattava di controlli generali e permanenti sull’attività quotidiana del lavoratore, ma di verifiche puntuali e funzionali al riscontro di comportamenti potenzialmente dannosi o fraudolenti. b) Natura delle condotte accertate. La condotta del dipendente ha rilevanza disciplinare e giustifica il recesso per giusta causa quando, come in questo caso, si traduce in accessi non autorizzati a sistemi informatici aziendali, sottrazione e diffusione di dati riservati di clienti e comportamento reiterato e gravemente lesivo del rapporto di fiducia e degli interessi aziendali. La Corte ha ritenuto che tali comportamenti integrino una grave violazione dei doveri di diligenza e fedeltà a cui è vincolato il lavoratore, giustificando la misura estrema del licenziamento senza preavviso. 

Requisiti giuridici per la legittimità dei controlli. Dalla giurisprudenza più recente – oltre alla sentenza n. 28365/2025 – emergono alcuni criteri di legittimità consolidati per il controllo dei sistemi informatici aziendali: Rispetto dell’art. 4 Statuto dei Lavoratori. L’art. 4 prevede limiti all’uso di strumenti di controllo da parte del datore di lavoro, con l’obbligo di informare previamente i dipendenti sulle modalità e finalità dei controlli; evitare controlli indiscriminati o permanenti sulla prestazione lavorativa. Tali controlli sono ammessi se proporzionati e mirati alla salvaguardia del patrimonio aziendale o alla prevenzione di illeciti, e non come strumento di sorveglianza ordinaria della prestazione. Fondato sospetto e controlli “difensivi”. In materia di controlli “difensivi” – volti ad accertare specifici illeciti – la giurisprudenza ha precisato che devono sussistere indizi oggettivi e riconoscibili che giustifichino l’attivazione del controllo. L’assenza di un fondato sospetto può rendere illegittimo il controllo stesso e le risultanze acquisite. **Privacy e GDPR. I controlli devono altresì rispettare la disciplina sulla protezione dei dati personali (GDPR): l’informativa deve indicare finalità, categorie di dati trattati, tempi di conservazione; le verifiche devono essere necessarie e proporzionate rispetto all’interesse legittimo del datore di lavoro; è vietato utilizzare i dati personali per finalità estranee allo scopo dichiarato. 

Implicazioni pratiche per lavoratori e aziende. Per i lavoratori dipendenti. La presenza di una informativa preventiva sull’uso degli strumenti aziendali incide significativamente sulla legittimità dei controlli e sull’utilizzabilità delle prove raccolte. L’accesso abusivo ai sistemi informatici e la diffusione di dati riservati possono configurare gravi inadempimenti contrattuali, legittimando misure disciplinari drastiche anche senza specifica clausola nel codice disciplinare. La tutela della privacy personale non è assoluta: può essere compressa se il controllo è esercitato nei limiti e per gli scopi consentiti dalla legge e dalle policy aziendali. Per i datori di lavoro e l’ufficio del Personale. È strategico adottare policy IT e disciplinari formalmente corrette e trasparenti, con informative specifiche ai sensi dell’art. 4 Statuto dei Lavoratori e del GDPR. I controlli informatici devono essere mirati e documentati, con criteri di proporzionalità e sicurezza giuridica. La mancata informativa preventiva può pregiudicare la validità delle prove acquisite e la legittimità di un eventuale licenziamento. 

Le nostre conclusioni. Dalla convergenza tra Cassazione, GDPR e Garante emerge un modello chiaro: Il controllo è legittimo se il lavoratore è informato ex ante, esiste una policy chiara. il controllo è mirato, reattivo e proporzionato, serve a tutelare sicurezza e patrimonio aziendale. Il controllo è illegittimo se occulto o generalizzato, privo di finalità difensive concrete, invasivo rispetto allo scopo, svolto in assenza di informativa. Attenzione dunque, l’uso degli strumenti aziendali è sempre potenzialmente tracciabile entro limiti leciti, la privacy non è eliminata, ma funzionalmente compressa dal rapporto di lavoro; le condotte informatiche scorrette possono fondare licenziamenti per giusta causa.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

☎ Chiamaci 3516688108

📩 contattaci ➡ azionesindacale.fvg@gmail.com