La Corte Suprema di Cassazione, con la Sentenza n. 26682 del 2017, ha delineato – in parziale contrasto con le diverse pronunce dell’Autorità Garante per la Protezione dei Dati Personali – i limiti dell’intervento del datore di lavoro sulla posta elettronica aziendale, ed ha ribadito che si tratta di uno strumento di lavoro sul quale sono legittimi i controlli da parte dell’azienda, anche ai sensi dell’art. 4 della L. 300/1970.
Condizioni per il legittimo accesso alla posta elettronica del dipendente, anche in presenza di indirizzo individualizzato da nome e cognome, sono:
- la preventiva informazione al dipendente sull’uso corretto delle dotazioni informatiche affidategli e sull’esistenza di backup aziendali e di periodici controlli sugli stessi;
- la natura difensiva dei controlli, che devono essere svincolati dalla verifica della prestazione lavorativa e finalizzati al corretto utilizzo, da parte del lavoratore, della strumentazione affidatagli;
- attivazione dei controlli a seguito di eventi tali da ingenerare il ragionevole sospetto della sussistenza di condotte vietate;
- finalità dei controlli legata alla tutela degli interessi dell’azienda e degli stessi lavoratori rispetto a condotte illecite;
- modalità di acquisizione non eccedenti le finalità del controllo, nel rispetto dei criteri di proporzionalità, correttezza e pertinenza introdotti dalla disciplina sulla tutela dei dati personali, affinchè sia garantito il bilanciamento dei diritti del lavoratore con la finalità perseguita dal datore di lavoro;
- assenza di alternative e metodi meno invasivi per raggiungere il medesimo obiettivo.
