Con la sentenza n. 28365/2025, la Corte di Cassazione torna ad affrontare il delicato equilibrio tra poteri di controllo del datore di lavoro e tutela della privacy del dipendente, in relazione all’utilizzo del computer aziendale.
Il caso trae origine dal licenziamento disciplinare intimato a un dipendente di Servizio Elettrico Nazionale S.p.A., accusato di accessi abusivi ai sistemi informatici aziendali, con estrazione e trasmissione all’esterno di dati sensibili dei clienti.
Secondo quanto ricostruito dalla Corte d’Appello di Campobasso, l’attività investigativa interna aveva accertato che il lavoratore aveva effettuato oltre 54.000 accessi abusivi al sistema SOLEWEB, con l’invio all’esterno di 125 e-mail contenenti 133 fatture di clienti, violando la policy aziendale e le norme in materia di protezione dei dati personali.
La Cassazione ha confermato integralmente la decisione dei giudici di merito, sottolineando che i controlli effettuati sul computer aziendale erano conformi all’art. 4 dello Statuto dei lavoratori, poiché la società aveva fornito ai dipendenti un’informativa preventiva chiara e completa sulle regole di utilizzo delle dotazioni informatiche e sulle eventuali verifiche in caso di anomalie.
Come si legge nella sentenza, “la datrice di lavoro informava i dipendenti della possibilità di effettuare, in caso di rilevate anomalie, verifiche e controlli nel rispetto delle previsioni di legge, riservandosi, in caso di comportamenti non conformi, di applicare le previsioni contrattuali in materia disciplinare”
Questo passaggio evidenzia come la Corte riconosca la piena legittimità dei controlli difensivi quando essi rispondano a finalità di tutela del patrimonio aziendale e siano effettuati su strumenti di lavoro (come PC, notebook o e-mail aziendale), nel rispetto delle regole di trasparenza e proporzionalità previste dalla normativa e dal GDPR.
La gravità della condotta accertata emerge con particolare evidenza dalle parole della Corte:
“Il numero impressionante di accessi abusivi al sistema SOLEWEB (54.251 per oltre 10 milioni di record), l’invio di dati sensibili all’esterno e la violazione della policy aziendale connotano di particolare gravità le condotte oggetto di contestazione disciplinare.”
Tali comportamenti, osserva la Cassazione, hanno determinato un pregiudizio al patrimonio reputazionale dell’azienda e una violazione dei doveri di fedeltà e diligenza ex artt. 2104 e 2105 c.c., giustificando la risoluzione immediata del rapporto per giusta causa.
“Per lungo tempo, durante l’orario di lavoro, il dipendente si è dedicato ad attività estranee ai compiti assegnatigli, mostrando disinteresse per il proprio lavoro e incrinando il rapporto fiduciario con la datrice di lavoro.”
La decisione si colloca nel solco della più recente giurisprudenza di legittimità (v. Cass. n. 22366/2023; Cass. n. 24564/2025), che distingue chiaramente tra:
- controlli difensivi “in senso stretto”, diretti ad accertare comportamenti illeciti del lavoratore lesivi del patrimonio aziendale, anche mediante agenzie investigative o accesso a strumenti informatici;
- controlli generalizzati e preventivi, vietati se privi di informativa o giustificazione concreta.
Nel caso di specie, l’azienda aveva rispettato tutte le garanzie previste dall’art. 4 Statuto lavoratori e dal Regolamento UE 679/2016 (GDPR), fornendo informativa chiara e specificando la possibilità di verifiche in caso di anomalie operative.
Foto di RDNE Stock Project da Pexels