Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Strumenti informatici aziendali: quando i controlli del datore di lavoro sono legittimi?

Sono legittimi i controlli sugli strumenti aziendali quando il datore di lavoro adotta (e comunica ai suoi dipendenti) una policy sull’uso di tali strumenti e disciplina i relativi controlli.

Il licenziamento di un dipendente, responsabile di oltre 54.000 accessi non autorizzati al sistema informatico aziendale e dell’invio verso l’esterno di più di 10 milioni di record contenenti dati personali e documenti contabili dei clienti, è stato confermato dalla Corte di Cassazione.

La decisione ribadisce l’importanza, per i datori di lavoro, di dotarsi di policy interne chiare e specifiche, essenziali per legittimare, quando necessario, controlli sugli strumenti aziendali e garantire un corretto bilanciamento tra esigenze organizzative, sicurezza dei dati e tutela della privacy dei lavoratori.

Con la sentenza n. 28365 del 27 ottobre 2025, la Corte di Cassazione ha confermato il licenziamento per giusta causa di un dipendente del Servizio Elettrico Nazionale S.p.a. (di seguito, anche “Società”). Il lavoratore, secondo quanto ricostruito nei precedenti gradi di giudizio, aveva utilizzato il computer aziendale per effettuare oltre 54mila accessi non autorizzati al sistema informatico aziendale in un periodo di circa sei mesi. Inoltre, aveva inviato a 125 indirizzi e-mail esterni più di 10milioni di record contenenti dati personali e documenti contabili dei clienti.

Secondo Servizio Elettrico Nazionale S.p.a., queste condotte avevano esposto la Società non solo al rischio di sanzioni da parte del Garante della protezione dei dati personali, ma anche ad un danno reputazionale. 

Il lavoratore aveva provato a difendersi nei precedenti gradi di giudizio sostenendo, da un lato, che il computer fosse di sua proprietà (e che quindi la Società non avrebbe potuto controllarne il contenuto) e, dall’altro, che tali controlli fossero comunque illegittimi perché non era mai stato informato della possibilità che la Società verificasse l’utilizzo degli strumenti informatici da lui utilizzati. Inoltre, contestava la sproporzione del licenziamento rispetto ai fatti addebitati.

La Cassazione ha rigettato integralmente il ricorso. I giudici di merito avevano già accertato che il notebook fosse di proprietà dell’azienda al momento dei controlli e che la Società avesse agito lecitamente, ai sensi dell’art. 4 dello Statuto dei lavoratori (L. 300/1970). In particolare, Servizio Elettrico Nazionale S.p.a. aveva fornito un’adeguata informativa ai dipendenti mediante la policy aziendale sull’uso delle dotazioni informatiche, nella quale era chiaramente prevista la possibilità di controlli mirati in caso di anomalie del sistema informatico. 

Proprio alla luce di questa informativa, la Corte ha ritenuto le verifiche effettuate dalla Società conformi all’art. 4 dello Statuto dei lavoratori. Inoltre, la Corte ha ribadito che la reiterazione e la gravità delle condotte contestate erano tali da compromettere irrimediabilmente il rapporto fiduciario, poiché il lavoratore aveva mostrato totale disinteresse per i doveri di fedeltà e diligenza, violando in modo consapevole e persistente le regole aziendali e mettendo a rischio la sicurezza e la riservatezza dei dati aziendali e dei clienti. Tali elementi, secondo la Cassazione, unitamente alla prova dell’avvenuta informativa, giustificano pienamente il recesso datoriale per giusta causa.

La sentenza assume particolare rilievo in quanto sottolinea come, nei casi di uso improprio degli strumenti aziendali, l’esistenza di una policy interna chiara, completa, accessibile e specifica circa le modalità di utilizzo degli strumenti di lavoro, le attività vietate e le circostanze in cui i controlli possono avvenire, sia un elemento essenziale per i datori di lavoro per poter condurre legittimamente, e dimostrare in sede giudiziale, controlli cd. difensivi sugli strumenti aziendali assegnati ai dipendenti, nel rispetto delle regole aziendali e della privacy e riservatezza dei dipendenti, in linea anche con il criterio di gradualità richiamato nelle Linee guida del Garante per posta elettronica e internet.

D’altro canto, una policy trasparente tutela anche il lavoratore, che può conoscere in anticipo le regole sull’utilizzo degli strumenti messi a disposizione e comprendere quando un controllo sia legittimo. 

You May Also Like

Privacy & Data Protection
In caso di “Hard Brexit” cambiano le regole per il trasferimento dei dati in UK
Privacy & Data Protection
Tra libertà d’informazione e diritto all’oblio: dove pende l’ago della bilancia?
Privacy & Data Protection
Facebook: il garante della privacy spagnolo multa la società per 1,2 milioni

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.