Cass. sez. lav., 29/08/2025 n. 24.204, rel. Cinque:
<<10. I dati di fatto da cui partire sono quelli evidenziati nella gravata sentenza (pag. 18, cpv. 1, 2 e 3), ove è stato specificato che la posta acquisita dal datore di lavoro proveniva da account personali, sebbene inseriti sul server aziendale [non è chiaro come, sarebbe stato meglio precisarlo (prob l’avrà fatto il 1° giudice): le ha scaricate in locale in un un client di posta nel pc datoriale? Si legge che i dipendenti l’hanno negato, ma magari su altro client: cioè diverso da quello usato per mail aziendali ma pur sempre sui server aziendali], per accedere ai quali occorreva una p.w. e che le indagini compiute dalla società erano state espletate nel maggio 2014, quando tutti i dipendenti coinvolti avevano già rassegnato le proprie dimissioni (ricorso per cassazione, pag. 7 punto 2.4).
11. La Corte territoriale, pertanto, in tale contesto fattuale, ha correttamente applicato i principi di cui alla sentenza della Corte Europea per i Diritti dell’Uomo (cfr. Grande Camera, sentenza 5 settembre 2017, ricorso n. 61496/08, Barbalescu) ove, partendo dai concetti di “vita privata” (punto 71. “La Corte ritiene che la nozione di “vita privata” possa comprendere le attività professionali (si vedano Fernández Martínez c. Spagna (GC), n. 56030/07, par. 110, CEDU 2014 (estratti), e Oleksandr Volkov c. Ucraina, n. 21722/11, parr. 165-66, CEDU 2013), o le attività che hanno luogo in un contesto pubblico (si veda Von Hannover c. Germania (n. 2) (GC), nn. 40660/08 e 60641/08, par. 95, CEDU 2012). Le limitazioni alla vita professionale di una persona possono rientrare nell’articolo 8 se hanno ripercussioni sulle modalità con cui la stessa costruisce la sua identità sociale mediante lo sviluppo di rapporti con gli altri. A tale riguardo deve essere rilevato che per la maggior parte delle persone la vita lavorativa rappresenta una significativa, se non la più importante, possibilità di sviluppare rapporti con il mondo esterno (si veda Niemietz, sopra citata, par. 29)” e di “corrispondenza” (punto 72. “Inoltre, in ordine alla nozione di “corrispondenza”, deve essere osservato che nella formulazione dell’articolo 8 tale termine non è qualificato da un aggettivo, a differenza del termine “vita”. E in realtà la Corte ha già ritenuto che, nell’ambito della corrispondenza svolta mediante telefonate, non debba essere effettuata alcuna qualificazione di tale tipo. In diverse cause concernenti la corrispondenza con un avvocato non ha neanche previsto la possibilità dell’inapplicabilità dell’articolo 8 in ragione del carattere professionale della corrispondenza (si veda Niemietz, sopra citata, par. 32, con ulteriori riferimenti). Ha inoltre ritenuto che le conversazioni telefoniche siano comprese nella nozione di “vita privata” e di “corrispondenza” di cui all’articolo 8 (si veda Roman Zakharov c. Russia (GC), n. 47143/06, par. 173, CEDU 2015). In linea di massima, ciò vale anche per le telefonate effettuate o ricevute nei locali dell’impresa (si veda Halford, sopra citata, par. 44, e Amann c. Svizzera (GC), n. 27798/95, par. 44, CEDU 2000 II). Si applica lo stesso principio alle e-mail inviate dal luogo di lavoro, che godono di analoga tutela ai sensi dell’articolo 8, così come le informazioni tratte dal controllo dell’utilizzo di internet da parte di una persona (si veda Copland, sopra citata, par. 41 in fine)”, è stato affermato che le comunicazioni trasmesse dai locali dell’impresa nonché dal domicilio di una persona possono essere comprese nella nozione di “vita privata” e di “corrispondenza” di cui all’articolo 8 della Convenzione (si vedano Halford, sopra citata, par. 44; e Copland, sopra citata, par. 41).
12. In modo esatto i giudici di seconde cure hanno tenuto conto anche dei criteri fissati dalla pronuncia suddetta in tema di rispetto dei principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi), della proporzionalità (il datore di lavoro deve scegliere, nei limiti del possibile, tra le varie forme e modalità di adeguato controllo – ad es. sul flusso di comunicazioni o sul loro contenuto; con predeterminazione dei tempi di durata; etc. -, quelle meno intrusive) e della preventiva dettagliata informazione ai dipendenti sulle possibilità, forme e modalità del controllo, in modo tale che, in ossequio alla necessità di contemperare le esigenze datoriali di controllo con quelle di tutela della privacy del dipendente, non è stata ritenuta consentita un’attività di controllo massivo, mentre sono state considerate indispensabili le opportune informative in merito alla possibile attività di controllo, con esclusione, in tale ottica, di controlli preventivi proprio perché si esulerebbe dal piano “difensivo”.
13. Su tali questioni, le valutazioni della Corte di appello, in tema di ritenuta illegittimità dei controlli, costituiscono accertamenti di fatto, conformi ai principi di diritto sopra evidenziati e adeguatamente motivati e, pertanto, insindacabili in sede di legittimità.
14. Avendo riguardo al tempo di commissione dei fatti (2013) e alla circostanza che i controlli sono stati effettuati allorquando i dipendenti non erano più in servizio presso la società, poi, le statuizioni della Corte territoriale, anche in relazione ad una eventuale asserita equiparazione degli account dei lavoratori a quelli aziendali, sono in linea con i precedenti di questa Corte che, in tema di tutela della riservatezza nello svolgimento del rapporto di lavoro, ha precisato che sono illegittime la conservazione e la categorizzazione dei dati personali dei dipendenti, relativi alla navigazione in Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dal datore di lavoro – benché affidatario di compiti di rilievo pubblicistico – attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all’art. 4, comma 2, della L. n. 300 del 1970 (nel testo anteriore alle modifiche apportate dal D.Lgs. n. 151 del 2015 vigente ratione temporis), applicabili anche ai controlli diretti ad accertare comportamenti illeciti dei lavoratori quando comportino la possibilità di verifica a distanza dell’attività di questi ultimi, ed in assenza dell’acquisizione del consenso individuale e del rilascio delle informative previste dal D.Lgs. n. 196 del 2003. Il trattamento di quei dati si traduce, infatti, nella violazione dell’art. 8 della menzionata legge, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se le informazioni raccolte non siano in concreto utilizzate (Cass. n. 18302/2016).
15. La Corte distrettuale ha, invero, specificato che, oltre ad avere i dipendenti precisato che non avevano impostato alcuna opzione per ricevere le mail personali sul medesimo applicativo di posta elettronica utilizzato sul pc aziendale e di non avere concesso alcuna autorizzazione, la società non aveva dimostrato di avere impartito specifiche disposizioni finalizzate a regolamentare le modalità di controllo e/o di duplicazione della corrispondenza dei lavoratori [il punto più importante: massima attenzione nella redazione di un regolamento all’uopo]
16. Quanto, infine, alla valutazione operata dal GIP del Tribunale di Milano, che ha disposto l’archiviazione, con provvedimento del 20.10.2020, sulla condotta di H2A, deve osservarsi che, a prescindere dalla irrilevanza delle interferenze svolte relativamente agli stessi fatti in ambito di processo civile e penale essendo venuta meno la cd. pregiudizialità penale, in sede di legittimità questa Corte ha, invece, precisato che, nel caso di accesso abusivo ad una casella di posta elettronica protetta da “password”, è configurabile il delitto di accesso abusivo ad un sistema informatico che concorre con quello di violazione di corrispondenza, in relazione all’acquisizione del contenuto delle “mail” custodite nell’archivio, e con il delitto di danneggiamento di dati informatici, nel caso in cui all’abusiva modificazione delle credenziali d’accesso consegua l’inutilizzabilità della casella di posta da parte del titolare (Cass. pen. n. 18284/2019)>>.