L’azienda può effettuare controlli retroattivi sul pc del dipendente dopo aver ricevuto un alert di violazione dei sistemi di sicurezza aziendale ma soltanto se in precedenza ha fornito al lavoratore «un’informativa chiara e trasparente sulla policy che consente questa attività: lo ha spiegato a PMI.it Andrea Cavalloni, partner di 42 Law Firm.
Il riferimento è alla recente pronuncia della Corte di Cassazione (sentenza n. 28365 del 27 ottobre 2025) sul caso relativo al licenziamento di un dipendente che aveva violato i dati aziendali. Un aspetto rilevante della pronuncia, secondo il legale, riguarda appunto il fatto che la Suprema Corte ha evidenziato la legittimità della verifica anche in termini di retroattività dei controlli: «in passato i Tribunali del Lavoro hanno spesso consentito di utilizzare solo le informazioni recepite successivamente a un alert; invece la nuova sentenza chiarisce che, a fronte della segnalazione di una violazione, il datore di lavoro può eseguire controlli relativi alla precedente condotta del dipendente».
Controlli su attività pregressa: la sentenza di Cassazione
Il legale si occupa di tutela del know how aziendale e sottolinea come, in ambito giuslavoristico, il tema dell’acquisizione e validità della prova sia da sempre particolarmente dibattuto. Facciamo però un passo indietro e partiamo dalla sentenza in questione, relativa al ricorso contro il licenziamento di un dipendente che aveva effettuato oltre 54mila accessi abusivi ai sistemi aziendali nell’arco di un periodo di otto mesi, mandando poi 125 email a indirizzi esterni contenenti fatture in violazione dei dati dei clienti. Le motivazioni del licenziamento, effettuato per giusta causa, riguardano in realtà anche altre condotte del dipendente.
Il punto innovativo della sentenza è tuttavia quello relativo alla liceità dei controlli sullo storico, come nel caso in oggetto (gli accessi abusivi e le condotte illecite erano state compiute prima che arrivassero gli alert).
Come anticipato, in casi come questo «sono decisive le informazioni sulle policy. Che invece, soprattutto nelle PMI, spesso non ci sono oppure sono generiche, o predisposte come semplici atti formali. In questi casi, quando poi l’impresa deve difendersi da atti illeciti, non riesce ad acquisire la prova».
La policy aziendale sulla sicurezza
Come deve essere messa a punto quindi una buona informativa aziendale? «Innanzitutto, deve essere ben dettagliata: bisogna specificare cosa si controlla, quando e con quali modalità, indicando chi può accedere ai dati e come si conservano». Deve contenere una sezione specifica sui controlli, con le prassi in materia di utilizzo di Internet, computer e strumenti aziendali. «Ogni azienda può decidere in quale modo organizzarla. Ad esempio, ci sono imprese che integrano anche una policy specifica sull’intelligenza artificiale, che invece io consiglio di tenere separata».
La parte relativa ai controlli deve contenere una serie di elementi chiave: «cosa controlla, quando si attivano i controlli, come avvengono, perchè si effettuano. ed a proposito della recente sentenza di Cassazione, per poterla applicare è bene inserire nella modalità dei controlli anche la possibilità di andare a ritroso nel tempo».
Particolarmente delicato, poi, è il tema degli strumenti a uso promiscuo, come il pc o lo smartphone aziendale di cui però il dipendente si serve anche nella vita privata. «In questi casi non sempre la situazione si risolve con un’informativa; meglio valutare le singole fattispecie».
Strategie per tutelare i dati aziendali
In ogni caso, gli aspetti fondamentali sono l’esistenza della policy, il modo in cui è organizzata e quello in cui è formulata. Infine, deve essere stata fornita in modo chiaro e facilmente comprensibile al dipendente. «Quando vado in una nuova azienda, il documento o non c’è o è molto generico, quindi non rappresenta una tutela adeguata. Spesso riscontro anche carenze sulle indicazioni relative agli elementi base della sicurezza informatica, come l’accesso ai dati e la relativa tracciabilità». Cavalloni propone quindi una breve check list per tutelare i dati aziendali:
- policy IT aggiornata e adeguatamente divulgata;
- informativa privacy e nomina del dipendente ad incaricato del trattamento dei dati;
- procedure in caso di incidente e di alert;
- importanza dei ruoli, chiaramente divisi fra IT, consulenti, HR;
- formazione su utilizzo strumenti informatici.
Molte imprese continuano a registrare carenze in questi ambiti perfino dopo aver avuto delle emergenze.
