Il procedimento trae origine dal licenziamento per giusta causa di un dipendente di una società di servizi, accusato di aver effettuato accessi non autorizzati ai sistemi informatici aziendali e di aver trasmesso a terzi dati sensibili e documenti interni. L’azienda aveva rilevato tali condotte tramite controlli effettuati sul computer aziendale in dotazione al lavoratore. I log di accesso e le verifiche forensi avevano evidenziato attività anomale, consistenti nella copia e nell’invio di file riservati a un indirizzo esterno non istituzionale.

Il dipendente, impugnando il licenziamento, ha sostenuto che tali controlli fossero illeciti per violazione dell’art. 4 della legge n. 300/1970 (Statuto dei lavoratori) e delle norme del Regolamento UE 2016/679 (GDPR), in quanto effettuati senza preventiva autorizzazione dell’Ispettorato del lavoro e in assenza di un’informativa chiara sull’uso e sul monitoraggio degli strumenti aziendali.

Il Tribunale, in primo grado, aveva respinto il ricorso del lavoratore, ritenendo il licenziamento legittimo in quanto il controllo informatico era stato effettuato in via difensiva, per accertare condotte illecite potenzialmente lesive del patrimonio aziendale. 

In sede di appello, la Corte territoriale ha confermato tale impostazione, evidenziando che la società aveva preventivamente informato i dipendenti, mediante una policy interna, dell’uso corretto dei dispositivi informatici e della possibilità di verifiche “in caso di anomalie”. Secondo i giudici di secondo grado, tale informativa costituiva un valido presupposto per la liceità del trattamento dei dati personali. Inoltre, la Corte ha ritenuto che i comportamenti accertati — accessi abusivi e divulgazione di informazioni riservate — configurassero una violazione irreparabile del vincolo fiduciario che lega datore e lavoratore, rendendo proporzionato il recesso per giusta causa ai sensi dell’art. 2119 c.c. 

Con la sentenza n. 28365 del 27 ottobre 2025, la Suprema Corte ha rigettato il ricorso del lavoratore, consolidando un principio di diritto di rilievo sistematico.
La Cassazione ha ribadito che i controlli difensivi sui dispositivi aziendali sono leciti quando: gli strumenti sono di proprietà del datore di lavoro e destinati all’attività lavorativa; è stata fornita adeguata informativa preventiva sulle modalità d’uso e sulla possibilità di verifica; i controlli sono mirati e proporzionati, attivati solo a fronte di comportamenti anomali o sospetti concreti. 

Nel caso in esame, la società aveva rispettato tali condizioni: la policy interna era chiara, i controlli non erano generalizzati e l’accertamento dell’abuso era fondato su riscontri oggettivi. Pertanto, la Suprema Corte ha confermato la legittimità del licenziamento per giusta causa, escludendo la violazione dell’art. 4 dello Statuto dei lavoratori e delle norme sulla privacy.

La sentenza n. 28365/2025 della Corte di Cassazione rappresenta un significativo contributo – sul piano giuridico e scientifico – alla disciplina dei controlli aziendali nei rapporti di lavoro, con rigore nel bilanciamento tra tutela della riservatezza e esigenze del datore, e sul piano tecnico-giuridico offre un modello interpre­tativo aggiornato all’era digitale. In estrema sintesi: l’azienda che intende esercitare controlli sui dispositivi deve predisporre un’informativa chiara, dimostrare che l’uso abusivo abbia effettivamente compromesso il vincolo fiduciario, e il lavoratore deve essere messo in condizione di conoscere le regole d’uso.