C’è un riflesso quasi automatico, nelle imprese e spesso anche nelle aule giudiziarie, che scatta ogni volta che un rapporto di lavoro degenera in conflitto: tutto viene ricondotto alla dimensione giuslavoristica, come se il resto – privacy compresa – fosse un rumore di fondo destinato a dissolversi davanti alla “sostanza” del licenziamento, della giusta causa, della difesa in giudizio. Il provvedimento del Garante per la protezione dei dati personali del 18 dicembre 2025 e la sentenza della Cassazione civile, sezione lavoro, del 27 ottobre 2025 dimostrano invece che questo riflesso è sbagliato, e che anzi proprio nel conflitto tra datore e lavoratore la protezione dei dati personali diventa una cartina di tornasole della legittimità complessiva dell’azione datoriale.
Le due decisioni parlano la stessa lingua, ma con accenti diversi. La Cassazione guarda al problema dal punto di vista del diritto del lavoro e dei controlli datoriali sugli strumenti informatici; il Garante osserva la stessa materia dal lato del trattamento dei dati e dei diritti dell’interessato. Il risultato, però, è sorprendentemente coerente: ciò che è organizzativamente comodo non è necessariamente giuridicamente lecito, e ciò che è funzionale alla difesa non è automaticamente sottratto alle regole del GDPR.
La sentenza della Cassazione nasce da un contesto ormai tipico. Il lavoratore utilizza il notebook aziendale per compiere operazioni gravemente pregiudizievoli per l’impresa, arrivando a trasferire all’esterno dati di clienti e informazioni riservate. Il datore di lavoro acquisisce le evidenze informatiche, le utilizza nel procedimento disciplinare e poi in giudizio, e il licenziamento viene confermato. A una lettura superficiale, sembrerebbe una vittoria piena dell’azienda, fondata sul principio per cui gli strumenti sono aziendali e il loro uso improprio giustifica la sanzione espulsiva.
Ma la Cassazione non ragiona mai in questi termini semplicistici. Quello che salva l’operato del datore non è la proprietà del computer, bensì la circostanza – accertata in fatto – che il lavoratore fosse stato adeguatamente informato delle regole di utilizzo e delle possibili verifiche sugli strumenti assegnati. La Corte insiste sul punto perché è lì che si innesta l’articolo 4 dello Statuto dei lavoratori: non conta tanto che il controllo sia tecnicamente possibile, quanto che sia giuridicamente prevedibile per chi lavora. La policy, l’informativa, la conoscibilità delle regole diventano la base su cui si regge l’intero impianto disciplinare.
Il provvedimento del Garante, pochi mesi dopo, racconta una storia diversa ma complementare. Qui non c’è il controllo durante il rapporto, bensì la gestione di una casella di posta elettronica individuale dopo la cessazione del rapporto stesso. L’azienda mantiene attivo l’account, inoltra le e-mail verso altri indirizzi interni, conserva la corrispondenza invocando esigenze organizzative e di difesa, e nel frattempo ignora un’istanza formale di accesso ai dati presentata dall’ex dirigente. È una situazione che molte imprese considerano “normale”, quasi fisiologica, soprattutto quando il rapporto si è chiuso in modo conflittuale.
Il Garante, però, spezza questa normalità apparente. Ricorda che la casella e-mail individualizzata non è un semplice contenitore aziendale, ma un luogo di trattamento di dati personali e di corrispondenza protetta. Ricorda soprattutto che il diritto di accesso non si sospende perché c’è un contenzioso in corso, e che il GDPR non prevede zone franche in cui il titolare può decidere di rispondere “quando e come gli conviene”. Anche quando il datore invoca esigenze difensive, deve comunque misurarsi con i principi di liceità, minimizzazione e limitazione della conservazione, e deve spiegare, motivare, rispondere.
È qui che le due discipline si incastrano davvero. La Cassazione ci dice che il controllo sugli strumenti di lavoro può essere legittimo, ma solo se è inserito in un quadro trasparente e regolato. Il Garante ci dice che quel controllo, e ancor più la gestione dei dati che ne derivano, non può mai trasformarsi in un accesso indistinto e prolungato alla vita digitale di una persona, neppure quando quella persona non è più un dipendente ma un ex dirigente in causa con l’azienda.
In fondo, il filo che unisce le due decisioni è uno solo: la proporzionalità. Proporzionato deve essere il controllo, rispetto alla finalità perseguita; proporzionato deve essere il trattamento dei dati che ne consegue; proporzionato deve essere il tempo di conservazione; proporzionata deve essere la compressione dei diritti dell’interessato, se e nella misura in cui la legge lo consente. Quando questa proporzionalità manca, il controllo diventa sorveglianza e la conservazione diventa accumulo indiscriminato.
Quello che emerge, allora, non è un conflitto tra Statuto dei lavoratori e GDPR, ma una loro integrazione necessaria. Il primo stabilisce quando e a quali condizioni il datore può guardare dentro gli strumenti di lavoro; il secondo stabilisce cosa può fare con ciò che vede, per quanto tempo e con quali garanzie per la persona interessata. Ignorare uno dei due piani significa esporsi a una fragilità giuridica che prima o poi emerge, sotto forma di sanzione amministrativa, inutilizzabilità delle prove o delegittimazione complessiva dell’azione datoriale.
In definitiva, le due decisioni del 2025 ci ricordano che nel lavoro digitale non esistono scorciatoie. La tecnologia rende tutto più facile, ma il diritto continua a pretendere misura, trasparenza e responsabilità. E quando queste mancano, non basta invocare l’organizzazione dell’impresa o la difesa in giudizio: il sistema, oggi più che mai, chiede conto anche del rispetto della persona che lavora, persino – e forse soprattutto – quando il rapporto si è ormai spezzato.
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.