In un contesto in cui la sicurezza informatica, la protezione del know-how e la prevenzione di comportamenti illeciti sono esigenze sempre più sentite dalle imprese, molti datori di lavoro si chiedono fino a che punto sia lecito controllare le e-mail dei propri dipendenti. Il confine tra il legittimo interesse dell’azienda e la tutela della privacy del lavoratore è però molto sottile, e violarlo può costare caro — sia sotto il profilo giuslavoristico che penale. Per questo motivo è fondamentale sapere cosa è permesso fare, quali limiti non si possono superare, e soprattutto quali accorgimenti adottare per non cadere in errore.

Un diritto sì, ma non assoluto. Il punto di partenza è chiaro: il datore di lavoro ha diritto di tutelare i propri strumenti e la propria organizzazione. Le caselle e-mail aziendali, infatti, sono a tutti gli effetti strumenti di lavoro messi a disposizione per finalità professionali. Tuttavia, questo diritto non è assoluto. La legge e la giurisprudenza richiedono che ogni controllo rispetti i principi di proporzionalità, trasparenza e necessità. E proprio qui iniziano i problemi per molte aziende: spesso, il controllo viene effettuato senza un’adeguata informativa, senza una policy aziendale chiara, oppure in modo indiscriminato.

Cosa ci ricorda la legge? Statuto dei lavoratori, Garante della Privacy e GDPR. Il primo riferimento normativo è l’articolo 4 dello Statuto dei Lavoratori, che vieta i controlli a distanza dell’attività dei dipendenti salvo specifiche eccezioni: esigenze organizzative o produttive, tutela della sicurezza del lavoro e tutela del patrimonio aziendale. In ogni caso, è necessario un accordo sindacale o, in mancanza, un’autorizzazione dell’Ispettorato del lavoro. A ciò si affiancano le Linee guida del Garante Privacy e il Regolamento europeo GDPR, che impongono ulteriori obblighi: è necessario informare chiaramente i lavoratori sull’esistenza dei controlli, spiegarne le finalità, limitarne la portata e garantirne la correttezza. Un altro principio cardine è quello della minimizzazione dei dati: l’azienda può accedere alle e-mail solo nella misura strettamente necessaria a raggiungere una finalità legittima, e non può in alcun modo utilizzare i dati raccolti per finalità ulteriori o generiche.

La giurisprudenza è chiara: controlli sì, ma con molte limitazioni. Nel corso degli anni, le sentenze in materia si sono accumulate e il quadro è ormai ben delineato. La sentenza più recente sul tema (sent.za n. 23158/2025 della Corte di Cassazione), ha stabilito un principio netto: anche il personale informatico interno non può accedere alle e-mail dei dipendenti senza una motivazione chiara e un’informativa preventiva. Farlo può integrare il reato di violazione di corrispondenza, punito dall’articolo 616 del codice penale. E non si tratta di un caso isolato. Già in passato, la giurisprudenza aveva affermato che non è ammissibile un controllo retroattivo e indiscriminato sulle comunicazioni aziendali, neppure se effettuato per scopi difensivi. L’accesso alle e-mail è consentito solo quando l’azienda dispone di un fondato sospetto di illecito e solo se sono stati rispettati tutti gli adempimenti di legge (informativa, policy, autorizzazioni). In altre parole: niente controlli generalizzati e niente sorveglianza preventiva o continua.

Le regole da seguire per non incorrere in sanzioni. Le norme da seguire sono ben declinate: Ecco le principali: Predisporre una policy interna chiara. Ogni azienda dovrebbe adottare un regolamento interno che spieghi: quali sono le regole sull’uso delle e-mail aziendali; in che casi è previsto il controllo e con quali modalità; chi sono i soggetti autorizzati ad accedere alle comunicazioni; quali sono le eventuali conseguenze disciplinari. Fornire un’informativa trasparente ai dipendenti. L’informativa deve essere consegnata prima di effettuare qualsiasi controllo. Deve spiegare in modo semplice: che l’e-mail è uno strumento aziendale; che potrebbero essere effettuati controlli; su quali basi giuridiche; con quali garanzie per il lavoratore. Effettuare i controlli solo in caso di sospetto fondato. Non si può accedere alla posta elettronica dei lavoratori “per scrupolo” o “per sicurezza”. Occorre avere motivi documentabili per sospettare un comportamento illecito o lesivo dell’azienda. Limitare l’accesso ai dati strettamente necessari. Anche quando l’accesso è giustificato, non è lecito leggere tutte le e-mail indiscriminatamente. Il controllo deve essere mirato, selettivo e proporzionato. **Documentare le attività svolte. È consigliabile tenere traccia di ogni attività di controllo: chi ha autorizzato, perché, in che modo è stato eseguito, quali dati sono stati trattati.

I rischi per le aziende che violano le regole. Controllare la posta elettronica dei lavoratori senza rispettare questi passaggi può avere conseguenze molto gravi: Le prove raccolte potrebbero essere dichiarate inutilizzabili in sede giudiziaria. Un licenziamento basato su e-mail acquisite illegittimamente può essere annullato. Il lavoratore può ottenere un risarcimento del danno per violazione della privacy. In caso di accessi abusivi, i responsabili possono essere perseguiti penalmente. Il Garante Privacy può irrogare sanzioni pecuniarie anche molto elevate.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail. azionesindacale.fvg@gmail.com