La Corte di Cassazione, con l’ordinanza 807/2025, ha ribadito che un datore di lavoro può controllare l’email aziendale di un dipendente solo per verificare fatti successivi al momento in cui è sorto un fondato sospetto di illecito. Non è quindi ammesso, ai fini disciplinari, effettuare controlli retroattivi sulle email inviate prima della nascita del sospetto.
Il caso esaminato riguardava il licenziamento di un dirigente, deciso in base a informazioni acquisite tramite il controllo della sua posta elettronica aziendale. Questo controllo era stato avviato dopo un “alert” del sistema informatico, ma aveva riguardato anche email precedenti all’alert stesso. La Corte d’appello aveva giudicato inutilizzabili le informazioni raccolte in questo modo, annullando l’intero procedimento disciplinare.
La Cassazione ha confermato questa decisione, chiarendo che i controlli sui mezzi informatici aziendali devono rispettare specifici limiti. È consentito verificare l’uso di strumenti digitali aziendali solo se vi è un fondato sospetto di illecito, ma il controllo deve riguardare solo dati acquisiti dopo l’insorgere del sospetto. In questo caso, invece, l’azienda aveva effettuato un controllo retrospettivo su dati precedenti all’alert, violando l’articolo 4 dello Statuto dei lavoratori, che permette solo controlli tecnologici ex post.
Inoltre, la Cassazione ha chiarito che il datore di lavoro non può cercare nel passato elementi a conferma del sospetto e usarli a fini disciplinari. Questo principio vale anche se il dipendente ha ricevuto l’informativa sulla privacy, perché tale informativa non legittima controlli contrari alle regole previste dallo Statuto dei lavoratori