Nel contesto dell’evoluzione digitale e dell’incremento dell’utilizzo di strumenti informatici nei rapporti di lavoro, il tema del controllo sulla posta elettronica dei dipendenti è oggi uno dei nodi più critici nel bilanciamento tra poteri datoriali e diritti fondamentali del lavoratore. La giurisprudenza italiana e sovranazionale ha recentemente tracciato dei confini sempre più rigorosi, soprattutto in relazione all’accesso alla posta elettronica personale dei dipendenti.

È stato definitivamente chiarito che l’accesso da parte del datore di lavoro a e-mail private del lavoratore è sempre illegittimo, anche se tali e-mail risultano archiviate su server aziendali o sul personal computer aziendale assegnato al dipendente. La tesi secondo cui tale corrispondenza sarebbe da considerarsi “aperta”, in quanto transitata per sistemi informatici aziendali, è oggi fermamente respinta.

Il quadro normativo: tra privacy, codice penale e Statuto dei lavoratori. La disciplina di riferimento si articola in più livelli: 

• L’articolo 15 della Carta Costituzionale che tutela la libertà e segretezza della corrispondenza, diritto che si estende anche alla corrispondenza elettronica.

• L’articolo 616 del Codice Penale che punisce chiunque prenda cognizione del contenuto di corrispondenza chiusa senza averne diritto, anche se avvenuta tramite sistemi aziendali.

• L’articolo 615-ter del Codice Penale che reprime l’accesso abusivo a sistemi informatici o telematici, anche se effettuato da soggetti autorizzati in via ordinaria ma per finalità estranee o in modalità illecite.

• L’articolo  4 dello Statuto dei lavoratori (L. n. 300/1970), come modificato dal D.lgs. n. 151/2015, che  impone limiti precisi ai controlli a distanza, ammettendo eccezioni solo per esigenze organizzative, produttive, di sicurezza o tutela del patrimonio, purché effettuate nel rispetto di informativa e garanzie.

• Il Regolamento UE 2016/679 (GDPR) che impone che il trattamento di dati personali avvenga con modalità trasparenti, proporzionate e nel rispetto dei diritti dell’interessato.

Vediamo ora qual è l’orientamento consolidato della giurisprudenza italiana

L’account personale è inviolabile. Il principio è stato chiaramente espresso da varie pronunce, tra cui: 

• Corte di Cassazione, Sez. Lav., sent. n. 18168/2023: La casella e-mail personale del dipendente è tutelata come corrispondenza privata. L’accesso da parte del datore, anche per finalità difensive, è illecito se effettuato senza il rispetto delle garanzie previste.

• Corte di Appello di Milano, 8 settembre 2020, n. 36: Il datore non può accedere a e-mail personali nemmeno se queste sono state salvate su dispositivi aziendali. L’uso del device aziendale non trasforma la corrispondenza privata in “materiale aziendale”.

• Cassazione Penale, Sez. V, sent. n. 542 del 20 giugno 2025 (ultima pronuncia di legittimità): E’ stato confermato il reato di accesso abusivo a sistema informatico, anche in presenza di credenziali tecniche disponibili al datore di lavoro.

L’account aziendale: controlli possibili, ma con limiti. Il controllo difensivo sulla posta elettronica aziendale è ammesso, ma solo se:

• Vi è un fondato sospetto di illecito o violazione grave;

• Il lavoratore è stato previamente informato circa le modalità e finalità dei controlli (art. 13 GDPR);

• Il controllo è proporzionato e non invasivo, in linea con quanto previsto dalla giurisprudenza e dalle Linee guida del Garante Privacy.

I tre principi su esposti sono confermati da: Cassazione, ordinanza n. 807 del 13 gennaio 2025🡪 i dati raccolti prima dell’insorgere del fondato sospetto sono inutilizzabili a fini disciplinari.  Trib. Roma, sent. 26 marzo 2019: l’assenza di una chiara informativa rende nullo l’utilizzo difensivo delle e-mail aziendali.

Sul tema c’è anche il chiaro contributo della Corte EDU: caso Barbulescu v. Romania

La Grande Camera della CEDU, nella nota sentenza Barbulescu c. Romania (5 settembre 2017), ha chiarito che "Il lavoratore ha un’aspettativa legittima di riservatezza anche rispetto a strumenti aziendali, salvo che sia stato adeguatamente informato su controlli, scopi, modalità e limiti." Questa sentenza ha avuto un impatto dirompente sul diritto interno, vincolando gli Stati membri a garantire protezioni effettive contro controlli arbitrari del datore.

La tesi della “corrispondenza aperta”: rigetto unanime. Alcuni orientamenti aziendalistici hanno tentato di sostenere la tesi secondo cui, essendo le e-mail archiviate su server aziendali, il datore ne potrebbe legittimamente accedere in quanto "corrispondenza aperta". La giurisprudenza ha smentito tale impostazione ribadendo che le e-mail personali rimangono corrispondenza chiusa, indipendentemente dal supporto fisico (Cass. pen. 13057/2015). Il contenuto della casella personale è inviolabile, anche se “tecnicamente” accessibile dal datore (Cass. pen. 542/2025). L'assenza di una informativa ex art. 13 GDPR e di uno scopo proporzionato rende l’accesso illegittimo.

Conclusione. Il quadro normativo e giurisprudenziale attuale stabilisce che l’accesso alla posta elettronica personale del lavoratore da parte del datore di lavoro è sempre illecito, anche se le e-mail sono presenti su device aziendali. La sola titolarità dei sistemi informatici aziendali non legittima un controllo arbitrario e indiscriminato, neppure per finalità difensive.L’unica eccezione ammessa riguarda l’account aziendale, oggetto di controllo difensivo solo se conforme ai requisiti di legalità, proporzionalità e trasparenza, come indicato dalla Cassazione e dalla Corte EDU.

                                             Riassumiamo nello specchietto 

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail. azionesindacale.fvg@gmail.com