CHAT AZIENDALE E LICENZIAMENTO: LA CASSAZIONE N. 32283/2025 TRA PRIVACY E CONTROLLI E FINALITÀ

La recente pronuncia della Suprema Corte di Cassazione n. 32283/2025[1] (Sez. Lav., ud. 08/10/2025) offre un’interpretazione con risvolti significativi sull’utilizzabilità delle conversazioni su chat aziendale ai fini disciplinari, confermando due rationes decidendi autonome che bilanciano doveri di fedeltà del lavoratore[2] con tutele privacy.

Il caso – licenziamento per giusta causa di un manager per violazione confidenzialità in selezione personale – ribadisce la liceità del monitoraggio, purché ancorato a adeguata informativa e fondato sospetto, con profonde implicazioni per il Reg. (UE) 2016/679 – G.D.P.R., Dir. (UE) 2022/2555 e compliance cyber anche delle Pubbliche Amministrazioni.​

Il fatto riguarda un dipendente, assunto come quadro con mansioni di “Reliability and Maintenance Engineering Manager”, contestato per aver violato obblighi di confidenzialità del processo di selezione, previsto dalla policy aziendale e rientrante nei doveri di diligenza e fedeltà. La prova della giusta causa è stata estratta da conversazioni su chat aziendale, usata per comunicazioni di servizio via account dedicato su Amazon Chime – A.W.S., fornito da parte del Datore di Lavoro.​

La Corte d’Appello di Torino conferma il licenziamento, rigettando le obiezioni circa la inutilizzabilità dello strumento: la chat è “destinata alle comunicazioni di servizio dei dipendenti che vi accedono mediante account aziendale, costituisce uno strumento di lavoro, ai sensi dell’art. 4, comma 2, della legge n. 300 del 1970”, funzionale alla prestazione anche se multiuso (privato/orari extra). L’informativa è data via policy sull’intranet (“vietando l’utilizzo dei sistemi elettronici […] per la commissione di atti illeciti […] e avvertendo espressamente del possibile uso, a fini disciplinari, delle conversazioni contenute nella chat”), nonché richiamata da apposito articolo nel contratto.​

Lo strumento chat è ritenuto come rientrante nei controlli difensivi a seguito di fondato sospetto da segnalazione verbale e, a seguire, scritta; l’acquisizione ex post è legittima anche per illeciti istantanei (“in presenza di un illecito istantaneo o già esaurito […] la raccolta delle informazioni utili non potesse che avvenire con riferimento ai dati già presenti sul server”).

Tale specifico motivo di doglianza e impugnazione da parte del ricorrente viene valutato dalla Suprema Corte come inammissibile nel caso de quo: « […] I controlli difensivi in senso stretto sono quindi considerati legittimi solo ove ricorra il “fondato sospetto” del datore di lavoro circa comportamenti illeciti di uno o più lavoratori e purché il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto, dovendosi assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore»[3].

La Cassazione dichiara ricorso inammissibile per giudicato sulla prima ratio (art. 4 L. 300/1970), non censurata: “ove sia impugnata una statuizione fondata su più rationes decidendi […] è necessario […] che ciascuna […] abbia formato oggetto di specifica censura”[4].​

L’art. 4 dello Statuto dei Lavoratori, L. n. 300/1970 come mod. dal D.lgs. n. 151/2015, rappresenta il fulcro della decisione. Il c. 2 esclude gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” dal divieto installazione (chat aziendale qualificata tale, già con Cass. Sez. Lav. n. 25731/2021).​ Il c. 3 garantisce, invece, l’utilizzabilità dati se “data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e […] rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”, fermo restando eventuali Accordi Sindacali con le Rappresentanze Sindacali o l’autorizzazione da parte dell’I.T.L.

La Sentenza conferma la necessità di policy consultabili o fornite tramite intranet e in sede di contrattazione per comporre una informativa adeguata, accessibile e trasparente, nonché la possibilità di utilizzare una chat aziendale e, per affinità, altri strumenti forniti direttamente dal datore di lavoro anche informatico-telematici, per fini disciplinari.

Per i controlli difensivi, che, dunque, non ricadono nel perimetro di cui all’art. 4, servono “fondato sospetto […] dati raccolti ex post […] corretto bilanciamento”. Tali accessi e controlli non sono estensibili “a ritroso” oltre sospetto, ma è, invece, possibile tale controllo per i dati conservati su server riguardo ad illeciti esauriti.​

L’art. 4 c. 3 rinvia esplicitamente al D.lgs. n. 196/2003 e ss.mm.ii., ma la sentenza integra implicitamente il Reg. UE 2016/679 (G.D.P.R.), esaminando solo le obiezioni tempestive e non considerando in punto di diritto le obiezioni tardive circa il rapporto su titolarità, consenso e necessità di Valutazione di Impatto sulla Protezione dei Dati ai sensi dell’ar.t 35 del G.D.P.R.​

• Sugli artt. 12 ss. (trasparenza) la policy in uso presso la società convenuta in giudizio descriveva “sistemi elettronici [che] includono la messaggistica istantanea” e vieta illeciti, avvertendo al contempo del possibile uso disciplinare del contenuto degli strumenti di lavoro. La base giuridica indicata risultava, coerentemente con il tipo di soggetto giuridico Datore di lavoro, l’interesse legittimo (art. 6 § 1 lett.(f) G.D.P.R., escludendo chiaramente la necessità del consenso per doveri fedeltà.​ In caso di enti pubblici, tuttavia, andrebbe valutata una differente base giuridica quale potrebbe essere quella contrattuale (art. 6 § 1 lett. (b) G.D.P.R.) ovvero una finalità riconducibile all’ampio respiro dell’art. 6 § 1 lett. (e), ad esempio tutela del patrimonio funzionale all’esercizio di pubblici poteri.
• Sull’art. 25 (privacy by design & by default) la chat in questione era stata preconfigurata con una policy minimale, garantendo l’accesso solamente tramite account aziendale, con delle impostazioni default sicure e proporzionate.​
• Sull’art. 32 (sicurezza del trattamento) l’acquisizione avveniva su server protetto, implicando un controllo degli accessi basato sui privilegi e ruoli attribuiti (cd. R.B.A.C.)[5], log, confidenzialità.​
• Sulla necessità di cui all’art. 35 (valutazione di impatto), non è stata valutata oggetto di puntuale rilevazione da parte della Suprema Corte, ma è comunque ritenuta rilevante per monitoraggio sistematico, considerato l’alto rischio di trattamenti affini dettato dalle Linee guida WP.29[6].​

La sentenza delinea un framework G.D.P.R. compliant costituito da informativa e valutazione della proporzionalità che rendono i trattamenti su chat aziendali del lavoratore leciti, purché non eccedano la “compressione della riservatezza”. In tal caso si trattava, comunque, di strumenti di comunicazione direttamente forniti e gestiti dal datore di lavoro, che, eventualmente, potevano anche essere utilizzati per comunicazioni private.

Il D.lgs. 138/2024, in G.U. 01.10.2024, che recepisce la Dir. (UE) 2022/2555, estende gli obblighi di cybersicurezza alle P.A. e soggetti critici (Allegati I-IV: digitale, energia, PA centrali/locali) richiedendo una costante e strutturata gestione rischi I.C.T.[7], notifica incidenti A.C.N.[8], nel rispetto del G.D.P.R. La sentenza si correla perfettamente al quadro riassunto, poiché il monitoraggio delle chat aziendali o attraverso strumenti di sicurezza informatica è una misura cyber che può proteggere contro ipotesi di “insider threat” (violazioni confidenzialità dati/processi) rilevabili via log chat[9].

Inoltre, lo “Strumento di lavoro” monitorabile con informativa rafforza obblighi di compliance cyber senza violare privacy. Strumenti di lavoro aziendali, tuttavia, confermano l’esclusione a priori delle politiche di Bring Your Own Device (B.Y.O.D.), specie nei soggetti critici o essenziali. Infine, in caso di fondato sospetto di commissione di illeciti ex post, il controllo è compatibile con un’analisi dei rischi proporzionata al grado di esposizione del soggetto.

Il bilanciamento tra protezione informatica e tutela dei dati personali è dettato dall’informativa (art. 12 G.D.P.R.) correlata ad una Valutazione di Impatto sulla Protezione dei Dati Personali cyber-oriented (art. 35 G.D.P.R.), entrambe necessarie per Pubbliche Amministrazioni soggette al D.lgs. n. 138/2024. I trattamenti cyber sono, dunque, leciti se trasparenti e proporzionati.

La Sentenza citata contribuisce direttamente alle seguenti conclusioni: il controllo della chat aziendale è legittimo laddove i controlli sono “diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se verificatesi durante la prestazione di lavoro” a seguito del rilievo di tali condotte; la chat o strumenti analoghi potrebbero comunque essere strumenti idonei a svolgere un controllo atto a difendere il patrimonio aziendale e, in tal caso, i “controlli […] dovranno necessariamente essere realizzati nel rispetto delle previsioni dell’art. 4 novellato in tutti i suoi aspetti” nel rispetto degli artt. 12 ss., 25, 32 G.D.P.R.

Il monito finale è che occorre un “corretto bilanciamento tra […] protezione degli interessi […] e tutela della dignità e riservatezza” nel rispetto della liceità della base giuridica di riferimento ai sensi dell’art. 6 del G.D.P.R. e, nel caso delle pubbliche amministrazioni, dell’art. 2-ter del D.lgs. n. 196/2003[10].

A cura di Dott. Edoardo Eucalipto

[1] Cfr. Sentenza Corte Suprema di Cassazione, sez. Lavoro, R.G.N. 11009/2024, dell’11.12.2025, n.  32283/2025, in www.italgiure.giustizia.it;

[2] «Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall’interesse dell’impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende», Art. 2104 – Diligenza del Prestatore di Lavoro; «Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio», Art. 2105 – Obbligo di Fedeltà, R.D. n. 262, del 16 marzo 1942, “Approvazione del Testo del Codice civile”, in www.normattiva.it;

[3] Cfr. ex multis Cass. n. 25731 del 2021; Cass. n. 25732 del 2021; Cass. n. 34092 del 2021; Cass. n. 18168 del 2023;

[4] «La prima ratio decidendi si fonda sulla qualificazione della chat aziendale come strumento di lavoro, ai sensi del novellato art. 4, comma 2, della legge n. 300 del 1970, in quanto funzionale alla prestazione lavorativa […] La seconda ratio decidendi investe la tematica dei cd. controlli difensivi. Con tale espressione si fa riferimento ai controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti […]», cfr. § 6 e 7 della Cit. Sentenza;

[5] Cfr. Role-Based Access Controls, di David Ferraiolo (NIST), Richard Kuhn (NIST), 15th National Computer Security Conference (NCSC), del 13 ottobre 1992, in csrc.nist.gov/;

[6] Cfr. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, ultima revision del 4 ottobre 2017, in https://ec.europa.eu/

[7] «I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui agli articoli 30, 31 e 32, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi […]», Art. 24 – Obblighi in materia di misure di Gestione dei Rischi per la sicurezza informatica, D.lgs. n. 138, del 04 settembre 2024, in G.U. n. 230 del 01 ottobre 2024, in www.normattiva.it/;

[8] Cfr. Art. 25 – Obblighi in materia di notifica di incidente, cit. D.lgs. n. 138/2024; Det. del Direttore generale dell’Agenzia per la Cybersicurezza nazionale, n. 379907/2025, www.acn.gov.it/;

[9] Circa l’obbligo di tracciamento e la sicurezza delle risorse umane, già l’art. 21 – Misure di Gestione dei Rischi di Cibersicurezza della Dir. UE n. 2022/2555 “”, in eur-lex.europa.eu/, individua al § 2 « Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti […] i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi; […]»; cfr. anche « Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi», § 4.5 Registrazione degli Accessi, “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009” Provvedimento del Garante per la Protezione dei Dati Personali, in G.U. n. 149 del 30 giugno 2009, in www.garanteprivacy.it;

[10] Come, peraltro, richiamato anche in ambito di Cybersicurezza nazionale, laddove «L’Agenzia per la cybersicurezza nazionale, le Autorità di settore NIS e i soggetti di cui all’articolo 3 trattano i dati personali nella misura necessaria ai fini del presente decreto e conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679. Il trattamento dei dati personali ai sensi del presente decreto da parte dei fornitori di reti pubbliche di comunicazione elettronica o dei fornitori di servizi di comunicazione elettronica accessibili al pubblico viene effettuato in conformità della legislazione dell’Unione europea in materia di protezione dei dati e della legislazione dell’Unione europea in materia di tutela della vita privata, ai sensi della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002», Art. 8 – Protezione dei dati Personali, D.lgs. n. 138/2024, in G.U. n. 230 del 01 ottobre 2024, in www.normattiva.it/.