Controlli a distanza: il punto tra privacy e diritto del lavoro

Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.

La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.

Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.

In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).

L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.

Videosorveglianza

Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.

Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.

Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.

I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.

Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).

Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.

Gps sui veicoli in uso ai dipendenti

Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.

L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.

Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.

Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.

Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Geolocalizzazione di smartphone, tablet e dispositivi mobili

Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.

Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.

Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.

A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.

______________________________________________

Photo by Tobias Tullius on Unsplash

Brexit e privacy: cosa è cambiato, cosa può ancora cambiare

Dopo un lungo e dibattuto iter, il 31 gennaio 2020 il Regno Unito ha definitivamente lasciato l’Unione Europea.

Da tale momento ha preso il via un periodo di transizione, cd. bridging mechanism, finalizzato a consentire (da un lato) il graduale adeguamento dell’ordinamento britannico alla nuova situazione e (dall’altro) una transizione ordinata dei rapporti economici, amministrativi e giuridici tra Unione Europea e United Kingdom.

Tra i vari hot topics che hanno caratterizzato il caso ed il processo di realizzazione della Brexit, importantissimo è indubbiamente quello relativo alla protezione dei dati personali dei cittadini europei e alla possibilità che questi vengano trasferiti verso Paesi terzi.

La questione, già di per sé rilevante essendosi concluso definitivamente il processo di uscita dall’Unione (il Regno Unito è oggi ufficialmente e a tutti gli effetti un Paese terzo), diventa ancora più delicata alla luce delle future riforme che il Governo di Londra ha dichiarato di voler attuare.

Evoluzione della normativa privacy tra UE e UK

Per meglio comprendere i termini della faccenda è necessario passare in rassegna l’evoluzione normativa che ha caratterizzato negli ultimi anni – dall’inizio del processo fino al completamento della Brexit – l’ordinamento giuridico britannico dal punto di vista della data protection.

Prima della rottura definitiva con l’UE, le fonti normative vigenti in Gran Bretagna in materia di protezione dei dati erano due: una di matrice europea, Regolamento 2016/679 (“GDPR”), e una interna, il Data Protection Act del 2018 (“DPA”).

Nel 2018 poi, con l’intento di gettare solide basi per il cambiamento, il Parlamento inglese ha emanato l’European Union (Withdrawal) Act con un duplice scopo: abrogare l’European Communities Act del 1972 (con cui il Regno Unito aderiva alle tre comunità europee della CEE, CECA ed Euratom), e fornire una base giuridica affinché il diritto nazionale derivato dall’UE e la legislazione europea direttamente applicabile-incorporati nel diritto interno britannico in virtù del medesimo atto- potessero essere modificati.

Risultato di tale operazione “sartoriale” è stata la nascita del cd. retained EU law: un diritto comunitario modellato “su misura” alle esigenze e prospettive di uno Stato che, pur rivendicando indipendenza rispetto alle istituzioni europee, continua entro certi limiti a rispettarle (è stato infatti previsto che il retained law venga pur sempre interpretato dai giudici interni alla luce della giurisprudenza della Corte di Giustizia Europea e dei principi fondamentali dell’Unione, in vigore prima dell’uscita definitiva dell’UK dall’Unione).

Un esempio di legislazione secondaria, emanata in virtù dell’European Union (Withdrawal) Act e capace di modificare il retained law, è rappresentato dal “Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations, 2019 (DPPEC Regulations). Tale documento, a far data dal 1° gennaio 2021, ha modificato sia il DPA nazionale che il recepimento della normativa GDPR europea, creando così quello che oggi è conosciuto come ”UK GDPR”.

Brexit: cosa cambia in materia di trasferimento dei dati extra-UE

Il trasferimento dei dati verso Paesi terzi è oggetto apposita regolamentazione da parte del GDPR, regolamentazione – a questo punto –  applicabile a tutti gli effetti anche al Regno Unito.

I meccanismi previsti dal capo V (art. 44 e ss.) rispondono all’esigenza di assicurare alle persone fisiche coinvolte il medesimo livello di protezione offerto del Regolamento, e sono (in alternativa tra loro):

  • decisione di adeguatezza ex art. 45 GDPR: il trasferimento è ammissibile sulla base di una decisione di adeguatezza della Commissione Europea che stabilisca che il paese terzo garantisce una protezione adeguata (equivalente cioè a quella offerta dal GDPR stesso). I criteri utilizzati dalla Commissione per l’adozione della decisione sono vari, tra cui figurano lo stato di diritto del paese terzo e il suo rispetto nei confronti dei diritti fondamentali e delle libertà degli individui;
  • garanzie adeguate ex art. 46 GDPR: in mancanza di una decisione di adeguatezza, il titolare del trattamento può trasferire i dati verso un paese terzo soltanto nel caso in cui siano state fornite garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Esempio di tali garanzie sono le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93 (e contenute nella loro versione più aggiornata nella Direttiva 2021/914);
  • norme vincolanti d’impresa, ex art. 47 GDPR, per i gruppi che le hanno stipulate con l’Autorità di controllo;
  • deroghe, ex art. 49 GDPR: nel caso in cui non dovessero risultare utilizzabili gli strumenti previsti dagli articoli precedenti, in via residuale il trasferimento può comunque essere lecito perché, a titolo esemplificativo, il soggetto interessato ha prestato espressamente il consenso o perché il trasferimento è necessario per l’esecuzione di un contratto.

Come extrema ratio – laddove non fossero applicabili le deroghe specificamente elencate – l’art. 49 stabilisce che il trasferimento è pur sempre lecito se fondato sulla deroga di carattere generale del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportazione dei dati su cui non prevalgano gli interessi e le libertà degli interessati. Non si tratta di semplici interessi legittimi del titolare ma di interessi essenziali, come ad esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave ed immediato.

Per gestire la questione del trasferimento dei dati verso il Regno Unito, la Commissione Europea ha emanato due decisioni di adeguatezza, una relativa al GDPR e una relativa al LED (Law Enforcement Directive, 2016/680), entrambe facenti parte del più ampio TCA (Trade and Cooperation Agreement), l’accordo volto a regolare gli scambi commerciali UE-UK.

La peculiarità di tali decisioni è la previsione di una “sunset clause”, (un unicum nella storia delle decisioni ex art. 45 GDPR) che limita l’adeguatezza della decisione a quattro anni (la scadenza è prevista al 27 giugno 2025), riservando alla Commissione stessa il potere di monitorare e verificare attivamente l’assetto in materia di privacy garantito dal diritto britannico.

In altri termini l’Unione, pur non rinunciando aprioristicamente alla possibilità di “avere a che fare” con il Regno Unito, si riserva la possibilità di cambiare idea nel caso il cui dovessero cominciare ad essere attuate riforme in grado di minare quel grado di protezione adeguato che il GDPR intende tutelare e che richiede per legittimare il trasferimento dei dati.

La decisione della Commissione appare quanto mai saggia soprattutto alla luce del fatto che la Gran Bretagna sta vivendo un periodo di potenziale (e audace) cambiamento.

Possibili scenari

Tra le molte proposte di riforma in grado di allontanare Londra dalle posizioni europeiste – a titolo esemplificativo, estendere l’utilizzo del legittimo interesse come base giuridica e facilitare il trattamento dei dati da parte di enti pubblici e privati per finalità di interesse pubblico (tra cui anche la lotta al covid-19)- , la più preoccupante riguarda l’ampliamento della lista dei paesi ai quali il Regno Unito intende concedere l’adeguatezza per il trasferimento dei dati, dal momento che tra i nuovi stati figurerebbero anche gli Stati Uniti.

Una riforma in tal senso potrebbe seriamente minare la stabilità della decisione di adeguatezza emessa, con ricadute su due diversi ed egualmente importanti ambiti.

In primo luogo, un allontanamento della legislazione UK dai principi fondanti del GDPR porterebbe forzatamente a rendere più difficoltosi i trasferimenti “diretti” di dati tra Europa e Gran Bretagna, in quanto le tutele accordate dal Regolamento ai cittadini europei potrebbero venire meno al mutare dell’assetto dell’ordinamento inglese.

Non è solo la normativa specialistica in materia di data protection ad avere un impatto diretto sulla decisione di adeguatezza emessa dalla Commissione UE: le stesse tutele generali accordate ai cittadini dallo stato, e lo stesso Stato di diritto, potrebbero comportare una violazione frontale della privacy del singolo.

Si pensi, ad esempio, al tema degli ordini esecutivi diretti con cui le forze di polizia accedono ai dati, in potenziale violazione dei diritti costituzionalmente tutelati – almeno, nell’Unione Europea – di riservatezza e libertà.

Proprio in quest’ottica, ed alla luce della caduta del EU-US Privacy Shield (il sistema di autocertificazione “fatto fuori” dalla sentenza Schrems II), al fine del trasferimento dei dati verso gli Stati Uniti, ad oggi – per qualsiasi business operante in UE – non è più sufficiente il solo riferimento alle Clausole Contrattuali Tipo della Direttiva 2021/914, la cui struttura è stata ricalcata dall’International Data Transfert Agreement approvato dal Garante inglese (ICO).

Se davvero il Regno Unito dovesse aprire le porte ai liberi trasferimenti di dati verso gli Stati Uniti ad esempio mediante l’emissione di una autonoma decisione di adeguatezza, allora si presenterebbe un grosso problema, dal momento che potrebbe di fatto venire elusa la fase dei controlli – particolarmente rilevanti – oggi imposti dal GDPR e dalla sua interpretazione fissata dalla Corte di Giustizia dell’Unione Europea.

L’eventuale revoca della decisione di adeguatezza comprometterebbe insomma, con tutta probabilità, il funzionamento dell’accordo sugli scambi commerciali (TCA) e aprirebbe una nuova frontiera nel settore dei trasferimenti internazionali per le aziende operanti in UE.

Gli occhi dell’Unione – e in particolare della Commissione – rimangono così puntati oltremanica in attesa degli sviluppi prospettati dal governo di Londra. E noi con loro.

_________________________________________________

Photo by Rocco Dipoppa on Unsplash

Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash

La volgarizzazione del marchio (e altre vicende)

Sono molteplici i fattori da cui dipende il successo di una impresa.

Tra questi, un ruolo decisivo è svolto dal marchio e dalla sua capacità di imporsi sul mercato per rendere i prodotti di cui si fa promotore immediatamente identificabili nel mare magnum di quelli in commercio.

Proprio in virtù della loro capacità di proporsi alla collettività, i marchi sono oggetto di una particolare regolamentazione fondata sulla importantissima esigenza di assicurare, fin dal principio e per tutta la durata della loro utilizzazione, che questi conservino i requisiti che la legge prescrive come essenziali per la loro esistenza.

Particolarmente importante risulta allora la questione della cd. volgarizzazione del marchio, quel “caso-limite” che ci permette di comprendere come non sempre l’eccesso di popolarità di un marchio, ed il suo inserimento “intensivo” nella vita dei consumatori, comporti un effettivo vantaggio per l’impresa che se ne serve.

Il profilo normativo

Tanto nella normativa del Codice civile quanto in quella del Codice della Proprietà Intellettuale, D.Lgs. 30/2005, il marchio viene descritto come quel segno distintivo idoneo a distinguere i prodotti e i servizi resi da un’impresa da tutti i prodotti e servizi resi da altre imprese, operanti nel medesimo settore.

Perché sia valido, la legge richiede che soddisfi tre requisiti: novità, liceità e capacità distintiva, per questa intendendosi l’idoneità di assolvere alla fondamentale funzione di rendere l’impresa che se ne avvale e i prodotti da questa commercializzati facilmente distinguibili da prodotti affini riconducibili ad altre imprese.

È proprio il requisito della capacità distintiva che impone agli operatori economico-commerciali il divieto di usare quali propri marchi segni generici, che non permetterebbero al consumatore di comprendere immediatamente a quale impresa si ricolleghi il prodotto o servizio oggetto del loro interesse.

Per questo suo ruolo nodale, il marchio gode di una specifica tutela ottenibile mediante la sua registrazione (art. 20 D.Lgs. 30/2005): tra i vantaggi, l’importantissima possibilità di usare in maniera esclusiva il marchio, vietando dunque qualsiasi sua utilizzazione non autorizzata.

Sebbene il marchio registrato rappresenti un marchio più efficacemente tutelato, particolare rilevanza assume nella prassi commerciale anche la figura del marchio di fatto, marchio non registrato che tuttavia assolve pur sempre alla funzione di rendere conoscibile e distinguibile l’impresa sul mercato, nel rispetto dei requisiti di novità, liceità e capacità distintiva.

Per quanto non possa formare oggetto di utilizzazione esclusiva, il marchio di fatto è tutelato dall’ordinamento, in caso di successiva registrazione da parte di altra impresa, nei limiti dell’uso che di esso veniva fatto prima della registrazione (cd. preuso).

Il marchio “troppo popolare”

Ma cosa succede quando un marchio diviene così diffuso e utilizzato da diventare, nell’immaginario e nell’espressione collettiva, il prototipo assoluto che identifica un determinato prodotto?

Il fenomeno, noto come volgarizzazione del marchio, descrive quella particolare condizione in cui finisce per versare il marchio quando perde la sua capacità distintiva, finendo per descrivere un genus piuttosto che un singolo e ben individuato prodotto o servizio.

Per quanto indubbiamente sia il sintomo di un successo commerciale, il marchio volgarizzato è un marchio esposto ad un grandissimo rischio: la decadenza, ex art. 13, comma 4 e 26, comma 2 lettera a) D.Lgs. 30/2005.

Le cause possono essere diverse: azioni inadeguate od omissioni compiute dal titolare, ma anche fatti indipendenti alla sua volontà.

Il trait d’union tra le varie ipotesi è la percezione, viziata, del pubblico nei confronti del marchio e del prodotto o servizio al quale si riferisce: non più “uno specifico rotolo di carta assorbente prodotto dalla Scottex”, ma “un qualsiasi rotolo di carta assorbente, da chiunque prodotto”.

Esempi famosi di tale fenomeno sono i marchi, ormai termini di uso comune, “Scotch”, “Rimmel”, “Kleenex”, un tempo tutti riferibili a ben precisi prodotti di ben determinate case produttrici.

Il caso più eclatante riguarda il famosissimo “Walkman”, marchio registrato dalla Sony.

Il termine diventò così popolare in Austria da essere utilizzato per riferirsi a qualsiasi registratore portatile di musica- a prescindere dalla casa produttrice e, dunque da Sony- tanto da comportare nel 2002, ad opera di una pronuncia della Corte Suprema Austriaca, la decadenza della Sony da tutti i diritti connessi all’uso di tale marchio in territorio austriaco.

Come tutelarsi, anche dopo la registrazione del marchio?

Si possono assumere diversi efficaci accorgimenti per scongiurare le conseguenze negative della volgarizzazione:

  • accompagnare sempre il marchio registrato con il simbolo della registrazione;
  • depositare il marchio in tutti i Paesi di potenziale interesse attuale e futuro;
  • attuare campagne pubblicitarie e strategie di marketing adeguate;
  • ribadire spesso che il marchio “è un marchio registrato”;
  • richiedere, nel caso di menzione in una enciclopedia o in un dizionario, che il marchio venga espressamente menzionato come registrato (art. 12 Reg. 2017/1001).

Esempio virtuoso di impresa sensibile alla tutela del marchio è rappresentato dalla maison fiorentina Gucci: in una recentissima pronuncia (n. 27217/2021 credits: Sole 24Ore) la Prima Sezione Civile della Suprema Corte ha ribadito, proprio mediante l’accoglimento con rinvio della doglianza dell’illustre ricorrente, l’esistenza in favore dei cd. marchi notori di una tutela rafforzata, che va ben oltre il semplice rischio di confusione tra i prodotti (art. 20, lett. e) D.Lgs. 30/2005).

La tutela, riservata ai soli titolari di marchi caratterizzati da un elevato stato di rinomanza, consente di impedire che altri registrino o usino segni uguali o simili, anche per prodotti o servizi non affini a quelli per cui il marchio era stato registrato (tutela ultra-merceologica).

La ratio è chiaramente impedire che attraverso fenomeni come la diluizione o corrosione del marchio (la diffusione cioè di una moltitudine di marchi, tutti simili a quello notorio) e la volgarizzazione, il consumatore si trovi nella condizione di non riuscire più a distinguere i singoli marchi, finendo per associare quello “notorio” ad un prodotto generico anziché ad uno specifico.

_________________________________

Photo by Austin Chan on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Lo Smart Working: nuova normalità

Il prossimo 31 marzo, salvo novità dell’ultima ora, terminerà lo “stato di emergenza” in vigore sin dall’inizio dell’epidemia Covid-19 (marzo 2020), che ha consentito – tra le altre cose – di svolgere le mansioni lavorative di milioni di persone “da remoto” e/o con modalità “agili”, senza tuttavia dover sottostare ai requisiti fissati dalla legge in materia (l. n. 81/2017, QUI un link diretto a Normattiva).

Dal 1 aprile 2022, pertanto, le aziende che intendono continuare a consentire lo svolgimento del lavoro da remoto dovranno implementare una delle opzioni concesse dalla normativa speciale, e pertanto implementare in alternativa (i) il c.d. “Lavoro Agile” (o smart working) o (ii) il c.d. “telelavoro”, di cui alla risalente normativa in materia.

In mancanza di accordo individuale – firmato dal lavoratore e relativo protocollo – redatto dall’azienda – e/o di altri strumenti normativi (es. telelavoro) non sarà più consentito il lavoro da remoto.

Concentriamoci allora su quali aspetti fondamentali deve valutare l’azienda e, in seguito, quali documenti deve predisporre, anche alla luce del Protocollo stipulato dalle parti sociali in data 7 dicembre 2021 (reperibile QUI).

Gli aspetti da valutare

Un primo tema, fondamentale, è l’organizzazione aziendale: in questa nostra “nuova normalità” non si può trascurare il fatto che le persone si siano ormai abituate a lavorare (anche) da remoto, in movimento, altrove. Al contempo, le esigenze – della struttura, dei clienti, ecc. – sono di fondamentale importanza per la riuscita del progetto.

Tale valutazione ha impatti, ad esempio, riguardo alla “finestra” giornaliera di esecuzione della prestazione (es. fascia oraria 8-19, nella quale svolgere le 8 ore).

Un altro tema fondamentale riguarda la c.d. “security” tecnologica delle informazioni: è posto in capo al datore di lavoro, anche dall’ultimo Protocollo stipulato tra le parti sociali (dicembre 2021), di garantire strumenti adeguati sia alla corretta resa della prestazione, che alla riservatezza e tutela delle informazioni aziendali.

Allo stesso modo non può mancare anche una riflessione in materia privacy, riguardante i dati personali dei lavoratori, quanto al loro trattamento ed alle possibili caratteristiche dei sistemi implementati in ottica di c.d. “controllo da remoto”.

Infine, fissate tutte le linee guida generali, è assolutamente opportuno effettuare un ragionamento di “flessibilità” sia sulle variazioni a livello individuale (es. meno giornate, diminuzione su richiesta, ecc.) che di tipo “organizzativo” (es. richiamo in sede per necessità imposte dall’attività svolta e/o da uno specifico cliente).

I documenti da predisporre

I requisiti di legge prevedono, in primo luogo, la stipula di un accordo individuale tra azienda e lavoratore, che contenga le indicazioni fondamentali del nuovo assetto del rapporto di lavoro e del suo svolgimento, tra cui:

  • giornate di lavoro agile assegnate (meglio se per “unità organizzative”);
  • finestra oraria giornaliera di esecuzione della prestazione;
  • le modalità di eventuale allontamento (durante la prestazione) e interruzione o disconnessione (al termine della prestazione);
  • strumenti forniti per la prestazione (con particolare attenzione agli aspetti di security);
  • la durata e le modalità di recesso da parte di ciascun attore coinvolto.

Al di là dell’accordo, è consigliato – quasi necessario – stilare anche un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione “smart”.

Accanto agli aspetti strettamente inerenti il lavoro agile, inoltre, la funzione RSPP è opportuno che condivida una informativa in materia di salute e sicurezza sul lavoro inerente le tematiche di operatività da casa, postazione di lavoro, infortuni in itinere ed altro.

In aggiunta, si suggerisce la predisposizione e/o revisione di un regolamento dell’uso degli strumenti aziendali e del codice disciplinare per riscontrare le novità operative introdotte dall’assetto organizzativo aggiornato.

Suggerimenti operativi

Un primo aspetto che ha impatto sulla ricezione, da parte dei dipendenti, di un progetto di smart working è la comunicazione: è importante avvisare i lavoratori che il progetto è in sviluppo, fissando incontri di approfondimento o raccogliendo informazioni tramite survey per capire – tra le tante cose – se ad esempio le persone preferiscono 3, 4 o 5 giorni di lavoro agile rispetto a quello in azienda.

Allo stesso modo, va gestita con grande attenzione la contrattazione individuale, con cui si arriva alla firma dell’accordo con il singolo lavoratore: ciascuna persona può avere esigenze o desideri diversi (tra i tanti, una abitazione personale non adeguata o, invece, delle esigenze familiari particolari) che hanno grandi impatti sulla riuscita del progetto.

Gli aspetti normativi sono infine numerosi, e derivano non solo dalla normativa strettamente in materia di smart working, ma anche – ad esempio – in ambito privacy e sicurezza sul lavoro: per questa ragione è sempre opportuno coinvolgere, sin dall’inizio, tutti i consulenti e referenti aziendali interessati dall’ambito di innovazione e variazione derivante dal lavoro agile, per rendere questa “nuova normalità” sempre più una quotidianità ordinaria e conforme alla normativa non emergenziale.

________________________________________

Photo by Kevin Bhagat on Unsplash

Le novità introdotte dal D.Lgs. 170/2021 al Codice del Consumo

Dal 1° gennaio 2022 sono entrati in vigore nuovi rilevanti aggiornamenti del Codice del Consumo (D.Lgs. 206/2005), introdotti dal D.Lgs. 170/2021, in attuazione della Direttiva UE 2019/771. Gli articoli novellati sono quelli dal 128 al 135-septies del Codice del Consumo, che si applicheranno ai contratti di vendita, sia online che offline, conclusi successivamente alla data di entrata in vigore delle modifiche, tra un consumatore e un venditore (c.d. “B2C”) relativi a beni mobili materiali.

Riportiamo di seguito le novità più interessanti e di impatto per i termini e condizioni di vendita, in particolare come presenti sui siti di eCommerce.

Beni

Le seguenti categorie di beni si aggiungono a quelle già previste dal Codice del Consumo:

  • qualsiasi bene mobile materiale, anche da assemblare;
  • l’acqua, il gas e l’energia elettrica quando sono confezionati per la vendita in un volume delimitato o in quantità determinata;
  • gli animali vivi;
  • beni digitali;
  • qualsiasi bene mobile materiale che incorpora, o è interconnesso con, un contenuto digitale o un servizio digitale in modo tale che la mancanza di detto contenuto digitale o servizio digitale impedirebbe lo svolgimento delle funzioni proprie del bene (“beni con elementi digitali”).

Requisiti

Sono ora previsti specifici requisiti soggettivi e oggettivi dei Beni, razionalizzati rispetto al passato.

Per essere conforme al contratto di vendita, il bene deve possedere i seguenti requisiti soggettivi:

  • la corrispondenza alla descrizione, al tipo, alla quantità e qualità contrattuali; inoltre, la funzionalità, la compatibilità, l’interoperabilità e le altre caratteristiche previste dal contratto di vendita;
  • l’idoneità ad ogni utilizzo particolare voluto dal consumatore, che sia stato da questi portato a conoscenza del venditore al più tardi al momento della conclusione del contratto di vendita e che il venditore abbia accettato;
  • la completezza, ossia deve essere fornito assieme a tutti gli accessori, alle istruzioni, anche inerenti all’installazione, previsti dal contratto di vendita;
  • l’aggiornamento come previsto dal contratto di vendita.

Oltre a rispettare i requisiti soggettivi di conformità, sussistono ulteriori requisiti oggettivi del bene, previsti qualora siano pertinenti:

  • essere idoneo agli scopi per i quali si impiegano di norma beni dello stesso tipo, tenendo eventualmente conto di altre disposizioni dell’ordinamento nazionale e del diritto dell’Unione europea, delle norme tecniche o, in mancanza, dei codici di condotta dell’industria applicabili allo specifico settore;
  • ove pertinente, possedere la qualità e corrispondere alla descrizione di un campione o modello che il venditore ha messo a disposizione del consumatore prima della conclusione del contratto;
  • ove pertinente, essere consegnato assieme agli accessori, compresi imballaggio, istruzioni per l’installazione o altre istruzioni, che il consumatore può ragionevolmente aspettarsi di ricevere;
  • essere della quantità e possedere le qualità e altre caratteristiche, anche in termini di durabilità, funzionalità, compatibilità e sicurezza, ordinariamente presenti in un bene del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, tenuto conto della natura del bene e delle dichiarazioni pubbliche fatte dal o per conto del venditore, o da altre persone nell’ambito dei precedenti passaggi della catena di transazioni commerciali, compreso il  produttore, in particolare nella pubblicità o nell’etichetta.

Difetti di conformità

In generale, non vi è difetto di conformità se, al momento della conclusione del contratto di vendita, il consumatore era stato specificamente informato del fatto che una caratteristica particolare del bene si discostava dai requisiti oggettivi di conformità previsti da tali norme e il consumatore ha espressamente e separatamente accettato tale scostamento al momento della conclusione del contratto di vendita.

Responsabilità del venditore

Le caratteristiche previste sono:

  • il venditore è responsabile per qualsiasi vizio di conformità del bene esistente al momento della consegna e che si manifesta entro due anni. Ciò vale anche con riferimento ai beni con elementi digitali, con una possibile estensione della responsabilità nel caso in cui il contratto preveda la fornitura continuativa del contenuto digitale per più di due anni;
  • l’azione diretta a far valere i difetti non dolosamente occultati dal venditore si prescrive in 26 mesi dalla consegna, in caso di beni usati le parti possono convenire un termine prescrizionale non inferiore a 1 anno;
  • è stato eliminato l’obbligo del consumatore di denunciare i vizi entro due mesi dalla scoperta.

___________________________________________________________________________

Photo by Tim Mossholder courtesy of the Author and of Unsplash

Il “caporalato” come reato presupposto ex D.Lgs. 231/2001

Una riflessione sui presidi in grado di prevenire la commissione del reato di “caporalato” e il relativo contenuto (necessario) del Modello di Organizzazione, Controllo e Gestione redatto ai sensi del D. Lgs. 231/2001.

Il caporalato come fenomeno attuale – i “riders”

Ha avuto ampia eco mediatica l’avvio di un’indagine dalla Procura milanese in materia di sicurezza sul lavoro, immigrazione irregolare e casi di caporalato, riguardo all’attività dei c.d. “riders”, quei fattorini che, attraverso società di intermediazione, si occupano di consegnare cibo ovvero altri articoli a domicilio per conto di grandi aziende di distribuzione. 

Come è noto, per caporalato si intendeil fenomeno sociale, sempre più diffuso su tutto il territorio nazionale, dell’intermediazione illecita e sfruttamento del lavoro”. 

Si tratta di una realtà particolarmente diffusa nel settore della produzione agricola e che, spesso, vede il coinvolgimento di associazioni di stampo mafioso, associazioni dedite al traffico di esseri umani ed allo sfruttamento dell’immigrazione clandestina.

Nel contesto di tale indagine, la Sezione misure di prevenzione del Tribunale di Milano ha disposto, tra l’altro, l’amministrazione giudiziaria ex art. 34 del Codice antimafia della filiale italiana dell’Azienda oggetto di indagine, proprio per caporalato.

Ciò che, in questa sede, rileva è che, tra le varie verifiche effettuate dagli inquirenti, vi è stata quella finalizzata ad individuare l’esistenza del modello organizzativo ex D.Lgs. n. 231/2001 e specificamente – ove pure esistente – la sua idoneità a prevenire il reato ipotizzato, ex art. 603-bis c.p.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le modifiche introdotte con la Legge 29 ottobre 2016, n. 199 e il “nuovo” art. 603 bis c.p.

Per inquadrare normativamente la fattispecie, va ricordato che con la Legge 29 ottobre 2016, n. 199, recante «Disposizioni in materia di contrasto ai fenomeni del lavoro nero, dello sfruttamento del lavoro in agricoltura e di riallineamento retributivo nel settore agricolo» sono state introdotte rilevanti novità relativamente alla lotta al caporalato.

Con la suddetta Legge sono state, infatti, inserite garanzie per la tutela della dignità dei lavoratori, in particolare quelli agricoli, attraverso la riformulazione della fattispecie di cui all’ articolo 603-bis c.p.

Inoltre, dato particolarmente rilevante in questa sede, con la Legge n. 199 del 29 ottobre 2016, Il Legislatore inserisce il reato di caporalato nel catalogo dei reati presupposto previsti dal D.Lgs 231/2001.

Il 18 ottobre 2016, con la legge n° 199, è stato completamente riscritto l’art. 603 bis del Codice Penale.

La principale novità consiste nella individuazione, come autore del reato di “caporalato”, anche del datore di lavoro che ponga in essere una condotta di sfruttamento del lavoratore, e non più soltanto dell’intermediario.

In secondo luogo non si fa più riferimento ai requisiti dello stato di necessità del lavoratore ed alla violenza, minaccia o intimidazione, che limitavano i confini dell’elemento oggettivo del reato.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le ricadute pratiche sul modello organizzativo, di gestione e di controllo ex D.Lgs. 231/2001

Il reato di caporalato, nella nuova formulazione dell’articolo 603-bis c.p., rivela, alla luce della disciplina “231” prevista per l’azienda, una stretta correlazione con i contenuti del modello di organizzazione e gestione di cui la stessa dovrebbe dotarsi preventivamente.

Le società – ed in particolare quelle di media e piccola dimensione – sono, pertanto, chiamate a dotarsi di un Modello organizzativo ex D. Lgs. 231/2001, finalizzato ad individuare e prevenire le condotte illecite di cui all’art. 603-bis c.p.

Tra l’altro, il reato di caporalato ben può vedere, nella medesima vicenda criminale, il concorso materiale o formale di alcuni reati già precedentemente considerati presupposto ex D.Lgs. 231/2001 come, ad esempio, il delitto di “Impiego di cittadini di paesi terzi il cui soggiorno è irregolare” (articolo 25-duodecies), che potrebbe concorrere nell’ipotesi in cui l’impresa utilizzatrice occupasse alle proprie dipendenze lavoratori stranieri privi di permesso di soggiorno, sottoponendoli alle condizioni di sfruttamento di cui al 603-bis, ovvero al contestuale concorso del reato di “Omicidio colposo” o “lesioni colpose gravi o gravissime” (articolo 25-septies), qualora si determinasse anche un evento lesivo, oppure la morte del lavoratore straniero privo di permesso di soggiorno, impiegato dall’impresa utilizzatrice in condizioni di sfruttamento. Inoltre, nel quadro criminogeno così dipinto, tutt’altro che inverosimile, il caporalato ben potrebbe configurarsi come uno tra i reati-scopo dei “delitti di criminalità organizzata” di cui all’articolo 24-ter, D. Lgs. 231/2001, commessi anche con i caratteri della transnazionalità, tra cui, “Associazione per delinquere” ed “Associazioni di tipo mafioso anche straniere”.

O, ancora, si pensi alla riduzione o mantenimento in schiavitù o in servitù (600 c.p.), alla tratta di persone (601 c.p.), all’acquisto e alienazione di schiavi (602 c.p.).

Alla luce del quadro dei reati presupposto evidenziati sopra, i processi più delicati saranno, senz’altro:

1) il processo di ricerca, assunzione e inserimento del personale e il processo di gestione dei fornitori: occorre porre attenzione sugli aspetti retributivi, sulle ferie e sui turni di riposo. I lavoratori dovranno essere inquadrati con contratti che rispettino almeno le condizioni di lavoro e il salario minimo dell’ultimo contratto collettivo nazionale CCNL sottoscritto.

2) Il processo di individuazione dei fornitori: nell’ambito degli accordi commerciali con gli stessi, occorrerà esigere la trasmissione di tutta la documentazione che possa risultare utile alla verifica del rispetto della normativa da parte dei partner commerciali, in particolare della clausola relativa all’obbligo di rispettare il Modello Organizzativo ed il proprio Codice Etico.

3) Il processo relativo alla sicurezza sui luoghi di lavoro, soprattutto in merito alla conformità delle procedure previste dal Modello rispetto alla normativa prevenzionistica, in particolare di cui al D. Lgs. n. 81/2008, cosiddetto testo unico sicurezza sul lavoro.

________________________________________________________

Photo by Taha on Unsplash

Controlli “difensivi”: legittimo l’uso dei dati solo se il lavoratore è correttamente informato

Con recente pronuncia (n. 25732/2021, consultabile QUI), la Corte di Cassazione è intervenuta su un tema spinoso, che riguarda il difficile bilanciamento tra la tutela della sfera di riservatezza del lavoratore e la garanzia di protezione dei beni aziendali (in senso lato).

I fatti di causa

Una lavoratrice, dipendente di una Fondazione, veniva licenziata – per giusta causa – per aver navigato continuativamente in internet a fini privati durante l’orario lavorativo, in particolare facendo accesso ad alcuni siti non sicuri fonte di diffusione di un virus nella rete aziendale, con successiva compromissione di vari dischi di rete ed files (c.d. data breach).

Dopo aver visto dapprima accolta la propria domanda di reintegrazione in primo grado, e successivamente rigettata la medesima domanda in sede di appello, la lavoratrice proponeva ricorso per Cassazione denunciando la violazione e la falsa applicazione, per ciò che qui rileva, dell’art. 4 dello Statuto dei Lavoratori e del Codice Privacy (n.b. i fatti si sono svolti in epoca antecedente sia all’entrata in vigore del GDPR, sia alla modifica dell’art. 4 St. Lav per opera del Jobs Act).

La tesi, in sostanza, poggiava sulla contestazione della decisione in appello di aver ritenuto utilizzabili, a fini disciplinari, le informazioni acquisite in violazione dei diritti, in particolare, di informativa, contenuti nell’allora vigente Codice Privacy (D. Lgs. 196/2003).

In effetti, l’Autorità Garante, investita della questione, aveva confermato la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle finalità ed aveva intimato alla Fondazione di astenersi da ulteriori trattamenti.

Veniva poi contestata la mancata tipizzazione del comportamento imputato alla lavoratrice tra gli illeciti disciplinari e tra le regole ed i principi del Codice Etico aziendale.

La disciplina dei controlli sui lavoratori

La vicenda in oggetto si concentra sull’ambito applicativo dei controlli sui lavoratori, la cui disciplina generale è dettata dall’art. 4 dello Statuto dei Lavoratori (L. 300 del 1970) nonché dal GDPR e dalle linee guida e pronunce sul tema dell’Autorità Garante.

L’art. 4 St. Lav. citato, in particolare, ha subito una radicale riforma nel 2015: l’originaria versione dello stesso, applicabile ratione temporis alla vicenda in oggetto, prevedeva un generale divieto di uso di strumenti di controllo a distanza.

Nel corso degli anni però la giurisprudenza, a tutela del patrimonio e dell’immagine aziendale, aveva determinato che i c.d. “controlli difensivi”, cioè i controlli effettuati dopo l’attuazione del comportamento illecito, e quindi dopo l’insorgenza del sospetto in merito al comportamento scorretto, non fossero soggetti a tale divieto, pur nel rispetto dei principi di buona fede e correttezza.

La riforma dell’art. 4 St. Lav. ha fatto cadere il precedente divieto, prevedendo la possibilità per il datore di lavoro di effettuare controlli sui lavoratori nel rispetto di determinate modalità ed a condizioni tassative.

Tuttavia, ai fini dell’utilizzabilità dei dati raccolti (anche a scopo disciplinare), è condizione necessaria, a prescindere dallo strumento di controllo utilizzato, fornire al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

La decisione della Corte

La Corte ha accolto il ricorso della lavoratrice: attraverso un’approfondita disamina giuridica sull’ambito di applicazione dei controlli difensivi pre e post riforma, le doglianze della lavoratrice sono state ritenute fondate in quanto, in sentenza: (i) non era stato verificato se i dati di navigazione fossero stati raccolti prima o dopo l’insorgere del fondato sospetto (ii) non era stato valutato il corretto bilanciamento tra le esigenze di protezione dei beni aziendali rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

Nello specifico, viene sottolineato che il datore di lavoro potrebbe, in difetto di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire e conservare per lungo tempo ed ininterrottamente ogni tipologia di dato e, poi, invocare la natura mirata e successiva del controllo.

A parere della Suprema Corte, la Corte d’Appello aveva anche omesso di verificare l’utilizzabilità dei dati raccolti ai fini disciplinari, sempre in mancanza di adeguata informativa.

La sentenza in oggetto, nel confermare che sono consentiti i controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza di un fondato sospetto, ribadisce l’importanza di un corretto bilanciamento tra:

  • da un lato, le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e
  • dall’altro, le imprescindibili tutele della dignità e della riservatezza del lavoratore, per cui il controllo mirato sul singolo lavoratore deve riguardare dati acquisiti successivamente all’insorgere del sospetto.

In mancanza delle condizioni suddette, i dati raccolti non possono essere utilizzati ai fini disciplinari in conformità a quanto statuito dall’art. 4 St. Lav., in particolare dai commi 2 e 3.

Un’informativa adeguata

L’utilizzabilità delle informazioni e dei dati acquisiti, a tutti i fini connessi al rapporto di lavoro, anche disciplinari, dipende, in sostanza, dall’adeguatezza dell’informativa fornita.

Ma in cosa consiste un’informativa “adeguata”?

Prima di tutto, l’informativa deve – oggi – riportare tutti gli elementi previsti dall’art. 13 GDPR, e non limitarsi a fare generici riferimenti a finalità, relative basi giuridiche e tempi di conservazione, ma essere specifica e ben dettagliata, oltre che leggibile, chiara e comprensibile nella sua formulazione grafica e testuale.

Per quanto riguarda la navigazione in internet, fermo restando il divieto di controllo indiscriminato della navigazione (v. Newsletter Garante Privacy 22.06.2021: l’episodio riguarda il Comune di Bolzano, sanzionato per Euro 84.000,00), la raccolta dei dati di navigazione è legittima e può essere utilizzata in funzione disciplinare contro il lavoratore, purché egli ne sia informato e quindi consapevole dell’effettuazione di controlli, delle modalità degli stessi, dei comportamenti consentiti o meno e delle conseguenze disciplinari e/o penali correlate.

L’informativa dovrà essere coordinata e coerente con il disciplinare interno, il quale deve essere redatto in modo chiaro e adeguatamente pubblicizzato.

Si segnala che il Garante ha emanato, già nel 2007, delle linee guida sull’utilizzo della posta elettronica e di internet nel rapporto di lavoro (consultabile QUI) cui è possibile fare riferimento.

______________________________________

Photo by Alex Kotliarskyi on Unsplash

Il requisito dell’interesse-vantaggio nell’infortunio sul lavoro

Da tempo in Dottrina e Giurisprudenza si dibatte in merito alle modalità di individuazione del carattere di “interesse o vantaggio” della condotta che dà vita ad un infortunio mortale.

La questione è particolarmente rilevante in quanto è sulla presenza di tale carattere che si basa la responsabilità dell’Ente ai sensi del D. Lgs. 231/2001.

La recente pronuncia del Tribunale di Bari – il fatto

Recentemente il Tribunale di Bari – Prima Sezione Penale monocratica- si è pronunciato sul tema con la Sentenza n. 1718/2021, depositata lo scorso 9.6.2021, emessa al termine del processo che vedeva imputata, tra gli altri, la Società Sirti S.p.A. ai sensi del D. Lgs. 231/2001.

Il procedimento in questione trae origine da un infortunio sul lavoro con esito mortale per un dipendente della Società imputata, avvenuto nel 2013.

In particolare l’uomo veniva travolto e schiacciato accidentalmente da un automezzo utilizzato per trasferire materiale da un cantiere all’altro e condotto da un suo collega.

A seguito dell’istruttoria dibattimentale, si evince che quel giorno, così come era già avvenuto in precedenza, alcuni dipendenti della Sirti S.p.A. decidevano unilateralmente di stoccare materiale presso un’area di proprietà di una ditta fornitrice della loro datrice di lavoro, senza dunque informare o chiedere alcun permesso agli apicali della Società (né al responsabile dell’Unità produttiva né all’RSPP incaricato).

Peraltro si è accertata la mancata regolamentazione contrattuale tra Sirti S.p.A. e la ditta proprietaria dell’area in cui è stato depositato il materiale.

Le Motivazioni dell’assoluzione dell’Ente imputato ex D. Lgs. 231/2001: la mancata sussistenza di interesse e vantaggio

Ciò che rileva particolarmente in questa sede (in cui non ci occuperemo delle ragioni su cui si basa l’assoluzione delle persone fisiche) è analizzare il capo di imputazione di Sirti S.p.A.: il Pubblico Ministero accusa la Società di avere consentito il verificarsi dell’evento lesivo omettendo di adottare, prima della commissione del reato, il modello di organizzazione e gestione idoneo alla prevenzione degli infortuni sul lavoro di cui all’art. 30 D. Lgs. n. 81/2008.

Secondo le valutazioni del Pubblico Ministero, la società imputata adottava un modello che consentiva di utilizzare come ambiente di lavoro un’area priva di agibilità ad uso deposito senza avere preventivamente valutato i rischi relativi oltreché senza avere adottato misure di sicurezza, il tutto con la finalità di perseguire il proprio personale interesse economico.

Quest’ultimo, secondo il Pubblico Ministero, si basava sul risparmio di spesa derivante dalla mancata adozione del suddetto Modello nonché dalla mancata realizzazione del sopralluogo presso l’area dove è avvenuta la morte del dipendente.

Ciò che ancor più interessa sono le motivazioni che hanno condotto all’assoluzione della Società.

Il Giudice, prima di tutto – e come si anticipava al principio di questo commento – si interroga sull’esistenza o meno del carattere di “interesse o vantaggio” di Sirti come fine della commissione del reato.

Tale analisi è particolarmente importante perché incarna la condicio sine qua non su cui si basa la responsabilità della Società ai sensi del D. Lgs. n. 231/2001.

Il Giudice, nelle motivazioni, fa riferimento all’entrata in vigore dell’articolo 25 septies del D. Lgs. 231/2001, relativo ai reati di natura colposa commessi in violazione delle norme in tema di salute e sicurezza sui luoghi di lavoro ed in particolare si occupa di analizzare i dubbi, emersi in dottrina e giurisprudenza e relativi alla possibilità di collegare interesse e vantaggio ad una condotta colposa.

Ci si chiede, infatti, quale vantaggio può trarre un’impresa dalla morte o dalle lesioni di un proprio operaio ovvero quale interesse, ex ante, può collegarsi dalla prospettiva della realizzazione di un siffatto danno.

Riportando lo stralcio della Sentenza in oggetto, si rileva come il Giudice sottolinei che “sul punto si sono succedute numerose teorie atte a determinare una plausibile congiunzione tra l’art. 5 del Decreto Legislativo n. 231 del 2001 e l’art. 25-septies del medesimo decreto, e la più corretta è sicuramente quella che facendo leva su un’interpretazione puramente oggettiva della norma, si è soffermata esclusivamente sull’analisi della condotta dell’agente poiché considerata unico elemento idoneo a integrare un beneficio in favore dell’ente. Viene così abbandonato ogni aspetto “soggettivo” che invece è tipico dei reati dolosi.

Tale tesi è sicuramente quella che ha trovato il maggior numero di consensi sia in dottrina che in giurisprudenza, in quanto riconosce effettivamente come il vantaggio ottenuto dall’ente sia esclusivamente di carattere oggettivo, consentendo pacificamente di incardinare il percorso di ascrizione della responsabilità della persona giuridica in piena conformità con l’art. 5, Decreto Legislativo n. 231 del 2001

Nella sentenza si legge inoltre che “l’interpretazione complessiva delle norme citate (art. 25-septies e art. 5 del Decreto Legislativo n. 231/ 2001) richiede necessariamente all’interprete di concentrarsi sul vantaggio che l’Ente ha tratto, non dall’evento lesioni o morte, bensì dalla violazione della disciplina antinfortunistica che ha dato causa all’evento”.

Secondo la Prima Sezione Penale del Tribunale di Bari, l’unica condotta colposa rilevante tale da poter implicare l’imputabilità dell’Ente ex D. Lgs. 231/2001, sarebbe quella consistente nella “volontaria violazione delle norme antinfortunistiche o perché espressione di una politica d’impresa o perché ha comportato un risparmio di spesa”.

Nella sentenza si afferma che “la violazione delle norme antinfortunistiche deve essere sempre cosciente e volontaria (in caso contrario non si potrebbe determinare il perseguimento di un interesse o di un vantaggio), ma l’evento non può mai essere voluto (altrimenti il delitto sarebbe doloso)”.

Il Giudice ha concluso che “la scelta di utilizzare un deposito temporaneo è stata fatta autonomamente, senza interpellare i vertici societari e per una questione di “comodità” per alcuni dipendenti” aggiungendo che “la previsione di manovratori a terra non avrebbe avuto per la Sirti alcun aggravio di spese e, dunque, non si registra alcun tipo di vantaggio o di interesse in quanto gli uomini che avrebbero potuto guidare il […] da terra erano presenti”. Alla luce delle suddette considerazioni, che hanno di fatto escluso la sussistenza delle condizioni necessarie di interesse e/o vantaggio, il Giudice ha dichiarato la mancata responsabilità dell’Ente imputato, assolvendolo perché l’illecito non sussiste.

Giurisprudenza degli ultimi anni in merito al D. Lgs. 81/08

Tale Sentenza si inserisce nella giurisprudenza della Suprema Corte in tema di responsabilità dell’Ente in presenza di infortuni sul lavoro.

 A tal proposito, occorre ricordare la pronuncia delle Sezioni Unite della Corte di Cassazione che nel 2014, nella sentenza relativa alla nota vicenda ThyssenKrupp, hanno osservato come “l’interpretazione letterale dell’articolo 5 del Decreto Legislativo n. 231-2001, condurrebbe a dei risultati assurdi e incompatibili con la volontà di un Legislatore Nazionale, obbligando l’interprete a scegliere l’unica alternativa: i concetti di interesse e vantaggio, nei reati colposi di evento, vanno di necessità riferiti alla condotta e non all’esito antigiuridico”.

Sul punto, hanno osservato le Sezioni Unite nella medesima pronuncia, con un concetto più volte ribadito dalla giurisprudenza successiva, che:

Vi è un’unica alternativa, possibile lettura: e concetti di interesse e vantaggio, nei reati colposi d’evento, vanno di necessità riferiti alla condotta e non all’esito antigiuridico. Tale soluzione non determina alcuna difficoltà di tipo logico: è ben possibile che una condotta caratterizzata dalla violazione della disciplina cautelare e quindi colposa sia posta in essere nell’interesse dell’ente o determini comunque il conseguimento di un vantaggio”. Nel seguente paragrafo ci occupiamo della successiva Giurisprudenza sul tema, ed in particolare in riferimento al Testo Unico della sicurezza, ossia il D. Lgs. 81/08, in vigore dal 15 maggio 2008 che, come noto, ha completamente sostituito il precedente D. Lgs 626/94 nonché tutti gli altri provvedimenti degli ultimi 50 anni in materia di tutela della sicurezza e salute sul luogo di lavoro.

Nel seguente paragrafo ci occupiamo della successiva Giurisprudenza sul tema, ed in particolare in riferimento al Testo Unico della sicurezza, ossia il D. Lgs. 81/08, in vigore dal 15 maggio 2008 che, come noto, ha completamente sostituito il precedente D. Lgs. 626/94 nonché tutti gli altri provvedimenti degli ultimi 50 anni in materia di tutela della sicurezza e salute sul luogo di lavoro.

La giurisprudenza ha sancito che, per affermare la responsabilità dell’ente, è necessario passare attraverso due accertamenti, anche alternativi, sulla condotta di chi ha agito: il primo, riguarda la violazione di norme cautelari, avvenuta consapevolmente col fine di apportare un interesse alla società, indipendentemente dal suo effettivo conseguimento, la cui esistenza va valutata ex ante (c.d. colpa cosciente); il secondo, sussiste quando la condotta colposa abbia comunque determinato oggettivamente, ex post, un vantaggio per l’impresa (c.d. colpa incosciente).

La Suprema Corte, dunque, ha più volte ribadito la perseguibilità anche della colpa incosciente, sulla scorta di un criterio di imputazione oggettiva riferibile alla condotta del soggetto agente (anche isolata ed estemporanea) nei termini descritti (Cass. Pen. n. 12149/2021; n. 29584/2020; 29538/2019; 38363/2018).

La stessa giurisprudenza succedutasi negli ultimi anni sul tema, tra l’altro, ha evidenziato come il concetto di interesse o vantaggio è riferibile anche solo all’auspicato risparmio di costi o alla diminuzione dei tempi di lavorazione, esprimendo così una sorta di sprone alle imprese ad investire nella prevenzione in materia di sicurezza sul lavoro, così come del resto sancito dal D. Lgs. 81/08. Una accorta politica di adeguati investimenti in materia, dunque, sarà certamente utile alle società per dirottare, in sede processuale, la responsabilità di eventuali infortuni alla singola persona fisica eventualmente responsabile dei fatti in distonia rispetto alle scelte aziendali.

___________________________________________

Photo by Andrea Ferrario on Unsplash