Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash

La volgarizzazione del marchio (e altre vicende)

Sono molteplici i fattori da cui dipende il successo di una impresa.

Tra questi, un ruolo decisivo è svolto dal marchio e dalla sua capacità di imporsi sul mercato per rendere i prodotti di cui si fa promotore immediatamente identificabili nel mare magnum di quelli in commercio.

Proprio in virtù della loro capacità di proporsi alla collettività, i marchi sono oggetto di una particolare regolamentazione fondata sulla importantissima esigenza di assicurare, fin dal principio e per tutta la durata della loro utilizzazione, che questi conservino i requisiti che la legge prescrive come essenziali per la loro esistenza.

Particolarmente importante risulta allora la questione della cd. volgarizzazione del marchio, quel “caso-limite” che ci permette di comprendere come non sempre l’eccesso di popolarità di un marchio, ed il suo inserimento “intensivo” nella vita dei consumatori, comporti un effettivo vantaggio per l’impresa che se ne serve.

Il profilo normativo

Tanto nella normativa del Codice civile quanto in quella del Codice della Proprietà Intellettuale, D.Lgs. 30/2005, il marchio viene descritto come quel segno distintivo idoneo a distinguere i prodotti e i servizi resi da un’impresa da tutti i prodotti e servizi resi da altre imprese, operanti nel medesimo settore.

Perché sia valido, la legge richiede che soddisfi tre requisiti: novità, liceità e capacità distintiva, per questa intendendosi l’idoneità di assolvere alla fondamentale funzione di rendere l’impresa che se ne avvale e i prodotti da questa commercializzati facilmente distinguibili da prodotti affini riconducibili ad altre imprese.

È proprio il requisito della capacità distintiva che impone agli operatori economico-commerciali il divieto di usare quali propri marchi segni generici, che non permetterebbero al consumatore di comprendere immediatamente a quale impresa si ricolleghi il prodotto o servizio oggetto del loro interesse.

Per questo suo ruolo nodale, il marchio gode di una specifica tutela ottenibile mediante la sua registrazione (art. 20 D.Lgs. 30/2005): tra i vantaggi, l’importantissima possibilità di usare in maniera esclusiva il marchio, vietando dunque qualsiasi sua utilizzazione non autorizzata.

Sebbene il marchio registrato rappresenti un marchio più efficacemente tutelato, particolare rilevanza assume nella prassi commerciale anche la figura del marchio di fatto, marchio non registrato che tuttavia assolve pur sempre alla funzione di rendere conoscibile e distinguibile l’impresa sul mercato, nel rispetto dei requisiti di novità, liceità e capacità distintiva.

Per quanto non possa formare oggetto di utilizzazione esclusiva, il marchio di fatto è tutelato dall’ordinamento, in caso di successiva registrazione da parte di altra impresa, nei limiti dell’uso che di esso veniva fatto prima della registrazione (cd. preuso).

Il marchio “troppo popolare”

Ma cosa succede quando un marchio diviene così diffuso e utilizzato da diventare, nell’immaginario e nell’espressione collettiva, il prototipo assoluto che identifica un determinato prodotto?

Il fenomeno, noto come volgarizzazione del marchio, descrive quella particolare condizione in cui finisce per versare il marchio quando perde la sua capacità distintiva, finendo per descrivere un genus piuttosto che un singolo e ben individuato prodotto o servizio.

Per quanto indubbiamente sia il sintomo di un successo commerciale, il marchio volgarizzato è un marchio esposto ad un grandissimo rischio: la decadenza, ex art. 13, comma 4 e 26, comma 2 lettera a) D.Lgs. 30/2005.

Le cause possono essere diverse: azioni inadeguate od omissioni compiute dal titolare, ma anche fatti indipendenti alla sua volontà.

Il trait d’union tra le varie ipotesi è la percezione, viziata, del pubblico nei confronti del marchio e del prodotto o servizio al quale si riferisce: non più “uno specifico rotolo di carta assorbente prodotto dalla Scottex”, ma “un qualsiasi rotolo di carta assorbente, da chiunque prodotto”.

Esempi famosi di tale fenomeno sono i marchi, ormai termini di uso comune, “Scotch”, “Rimmel”, “Kleenex”, un tempo tutti riferibili a ben precisi prodotti di ben determinate case produttrici.

Il caso più eclatante riguarda il famosissimo “Walkman”, marchio registrato dalla Sony.

Il termine diventò così popolare in Austria da essere utilizzato per riferirsi a qualsiasi registratore portatile di musica- a prescindere dalla casa produttrice e, dunque da Sony- tanto da comportare nel 2002, ad opera di una pronuncia della Corte Suprema Austriaca, la decadenza della Sony da tutti i diritti connessi all’uso di tale marchio in territorio austriaco.

Come tutelarsi, anche dopo la registrazione del marchio?

Si possono assumere diversi efficaci accorgimenti per scongiurare le conseguenze negative della volgarizzazione:

  • accompagnare sempre il marchio registrato con il simbolo della registrazione;
  • depositare il marchio in tutti i Paesi di potenziale interesse attuale e futuro;
  • attuare campagne pubblicitarie e strategie di marketing adeguate;
  • ribadire spesso che il marchio “è un marchio registrato”;
  • richiedere, nel caso di menzione in una enciclopedia o in un dizionario, che il marchio venga espressamente menzionato come registrato (art. 12 Reg. 2017/1001).

Esempio virtuoso di impresa sensibile alla tutela del marchio è rappresentato dalla maison fiorentina Gucci: in una recentissima pronuncia (n. 27217/2021 credits: Sole 24Ore) la Prima Sezione Civile della Suprema Corte ha ribadito, proprio mediante l’accoglimento con rinvio della doglianza dell’illustre ricorrente, l’esistenza in favore dei cd. marchi notori di una tutela rafforzata, che va ben oltre il semplice rischio di confusione tra i prodotti (art. 20, lett. e) D.Lgs. 30/2005).

La tutela, riservata ai soli titolari di marchi caratterizzati da un elevato stato di rinomanza, consente di impedire che altri registrino o usino segni uguali o simili, anche per prodotti o servizi non affini a quelli per cui il marchio era stato registrato (tutela ultra-merceologica).

La ratio è chiaramente impedire che attraverso fenomeni come la diluizione o corrosione del marchio (la diffusione cioè di una moltitudine di marchi, tutti simili a quello notorio) e la volgarizzazione, il consumatore si trovi nella condizione di non riuscire più a distinguere i singoli marchi, finendo per associare quello “notorio” ad un prodotto generico anziché ad uno specifico.

_________________________________

Photo by Austin Chan on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Lo Smart Working: nuova normalità

Il prossimo 31 marzo, salvo novità dell’ultima ora, terminerà lo “stato di emergenza” in vigore sin dall’inizio dell’epidemia Covid-19 (marzo 2020), che ha consentito – tra le altre cose – di svolgere le mansioni lavorative di milioni di persone “da remoto” e/o con modalità “agili”, senza tuttavia dover sottostare ai requisiti fissati dalla legge in materia (l. n. 81/2017, QUI un link diretto a Normattiva).

Dal 1 aprile 2022, pertanto, le aziende che intendono continuare a consentire lo svolgimento del lavoro da remoto dovranno implementare una delle opzioni concesse dalla normativa speciale, e pertanto implementare in alternativa (i) il c.d. “Lavoro Agile” (o smart working) o (ii) il c.d. “telelavoro”, di cui alla risalente normativa in materia.

In mancanza di accordo individuale – firmato dal lavoratore e relativo protocollo – redatto dall’azienda – e/o di altri strumenti normativi (es. telelavoro) non sarà più consentito il lavoro da remoto.

Concentriamoci allora su quali aspetti fondamentali deve valutare l’azienda e, in seguito, quali documenti deve predisporre, anche alla luce del Protocollo stipulato dalle parti sociali in data 7 dicembre 2021 (reperibile QUI).

Gli aspetti da valutare

Un primo tema, fondamentale, è l’organizzazione aziendale: in questa nostra “nuova normalità” non si può trascurare il fatto che le persone si siano ormai abituate a lavorare (anche) da remoto, in movimento, altrove. Al contempo, le esigenze – della struttura, dei clienti, ecc. – sono di fondamentale importanza per la riuscita del progetto.

Tale valutazione ha impatti, ad esempio, riguardo alla “finestra” giornaliera di esecuzione della prestazione (es. fascia oraria 8-19, nella quale svolgere le 8 ore).

Un altro tema fondamentale riguarda la c.d. “security” tecnologica delle informazioni: è posto in capo al datore di lavoro, anche dall’ultimo Protocollo stipulato tra le parti sociali (dicembre 2021), di garantire strumenti adeguati sia alla corretta resa della prestazione, che alla riservatezza e tutela delle informazioni aziendali.

Allo stesso modo non può mancare anche una riflessione in materia privacy, riguardante i dati personali dei lavoratori, quanto al loro trattamento ed alle possibili caratteristiche dei sistemi implementati in ottica di c.d. “controllo da remoto”.

Infine, fissate tutte le linee guida generali, è assolutamente opportuno effettuare un ragionamento di “flessibilità” sia sulle variazioni a livello individuale (es. meno giornate, diminuzione su richiesta, ecc.) che di tipo “organizzativo” (es. richiamo in sede per necessità imposte dall’attività svolta e/o da uno specifico cliente).

I documenti da predisporre

I requisiti di legge prevedono, in primo luogo, la stipula di un accordo individuale tra azienda e lavoratore, che contenga le indicazioni fondamentali del nuovo assetto del rapporto di lavoro e del suo svolgimento, tra cui:

  • giornate di lavoro agile assegnate (meglio se per “unità organizzative”);
  • finestra oraria giornaliera di esecuzione della prestazione;
  • le modalità di eventuale allontamento (durante la prestazione) e interruzione o disconnessione (al termine della prestazione);
  • strumenti forniti per la prestazione (con particolare attenzione agli aspetti di security);
  • la durata e le modalità di recesso da parte di ciascun attore coinvolto.

Al di là dell’accordo, è consigliato – quasi necessario – stilare anche un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione “smart”.

Accanto agli aspetti strettamente inerenti il lavoro agile, inoltre, la funzione RSPP è opportuno che condivida una informativa in materia di salute e sicurezza sul lavoro inerente le tematiche di operatività da casa, postazione di lavoro, infortuni in itinere ed altro.

In aggiunta, si suggerisce la predisposizione e/o revisione di un regolamento dell’uso degli strumenti aziendali e del codice disciplinare per riscontrare le novità operative introdotte dall’assetto organizzativo aggiornato.

Suggerimenti operativi

Un primo aspetto che ha impatto sulla ricezione, da parte dei dipendenti, di un progetto di smart working è la comunicazione: è importante avvisare i lavoratori che il progetto è in sviluppo, fissando incontri di approfondimento o raccogliendo informazioni tramite survey per capire – tra le tante cose – se ad esempio le persone preferiscono 3, 4 o 5 giorni di lavoro agile rispetto a quello in azienda.

Allo stesso modo, va gestita con grande attenzione la contrattazione individuale, con cui si arriva alla firma dell’accordo con il singolo lavoratore: ciascuna persona può avere esigenze o desideri diversi (tra i tanti, una abitazione personale non adeguata o, invece, delle esigenze familiari particolari) che hanno grandi impatti sulla riuscita del progetto.

Gli aspetti normativi sono infine numerosi, e derivano non solo dalla normativa strettamente in materia di smart working, ma anche – ad esempio – in ambito privacy e sicurezza sul lavoro: per questa ragione è sempre opportuno coinvolgere, sin dall’inizio, tutti i consulenti e referenti aziendali interessati dall’ambito di innovazione e variazione derivante dal lavoro agile, per rendere questa “nuova normalità” sempre più una quotidianità ordinaria e conforme alla normativa non emergenziale.

________________________________________

Photo by Kevin Bhagat on Unsplash

Le novità introdotte dal D.Lgs. 170/2021 al Codice del Consumo

Dal 1° gennaio 2022 sono entrati in vigore nuovi rilevanti aggiornamenti del Codice del Consumo (D.Lgs. 206/2005), introdotti dal D.Lgs. 170/2021, in attuazione della Direttiva UE 2019/771. Gli articoli novellati sono quelli dal 128 al 135-septies del Codice del Consumo, che si applicheranno ai contratti di vendita, sia online che offline, conclusi successivamente alla data di entrata in vigore delle modifiche, tra un consumatore e un venditore (c.d. “B2C”) relativi a beni mobili materiali.

Riportiamo di seguito le novità più interessanti e di impatto per i termini e condizioni di vendita, in particolare come presenti sui siti di eCommerce.

Beni

Le seguenti categorie di beni si aggiungono a quelle già previste dal Codice del Consumo:

  • qualsiasi bene mobile materiale, anche da assemblare;
  • l’acqua, il gas e l’energia elettrica quando sono confezionati per la vendita in un volume delimitato o in quantità determinata;
  • gli animali vivi;
  • beni digitali;
  • qualsiasi bene mobile materiale che incorpora, o è interconnesso con, un contenuto digitale o un servizio digitale in modo tale che la mancanza di detto contenuto digitale o servizio digitale impedirebbe lo svolgimento delle funzioni proprie del bene (“beni con elementi digitali”).

Requisiti

Sono ora previsti specifici requisiti soggettivi e oggettivi dei Beni, razionalizzati rispetto al passato.

Per essere conforme al contratto di vendita, il bene deve possedere i seguenti requisiti soggettivi:

  • la corrispondenza alla descrizione, al tipo, alla quantità e qualità contrattuali; inoltre, la funzionalità, la compatibilità, l’interoperabilità e le altre caratteristiche previste dal contratto di vendita;
  • l’idoneità ad ogni utilizzo particolare voluto dal consumatore, che sia stato da questi portato a conoscenza del venditore al più tardi al momento della conclusione del contratto di vendita e che il venditore abbia accettato;
  • la completezza, ossia deve essere fornito assieme a tutti gli accessori, alle istruzioni, anche inerenti all’installazione, previsti dal contratto di vendita;
  • l’aggiornamento come previsto dal contratto di vendita.

Oltre a rispettare i requisiti soggettivi di conformità, sussistono ulteriori requisiti oggettivi del bene, previsti qualora siano pertinenti:

  • essere idoneo agli scopi per i quali si impiegano di norma beni dello stesso tipo, tenendo eventualmente conto di altre disposizioni dell’ordinamento nazionale e del diritto dell’Unione europea, delle norme tecniche o, in mancanza, dei codici di condotta dell’industria applicabili allo specifico settore;
  • ove pertinente, possedere la qualità e corrispondere alla descrizione di un campione o modello che il venditore ha messo a disposizione del consumatore prima della conclusione del contratto;
  • ove pertinente, essere consegnato assieme agli accessori, compresi imballaggio, istruzioni per l’installazione o altre istruzioni, che il consumatore può ragionevolmente aspettarsi di ricevere;
  • essere della quantità e possedere le qualità e altre caratteristiche, anche in termini di durabilità, funzionalità, compatibilità e sicurezza, ordinariamente presenti in un bene del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, tenuto conto della natura del bene e delle dichiarazioni pubbliche fatte dal o per conto del venditore, o da altre persone nell’ambito dei precedenti passaggi della catena di transazioni commerciali, compreso il  produttore, in particolare nella pubblicità o nell’etichetta.

Difetti di conformità

In generale, non vi è difetto di conformità se, al momento della conclusione del contratto di vendita, il consumatore era stato specificamente informato del fatto che una caratteristica particolare del bene si discostava dai requisiti oggettivi di conformità previsti da tali norme e il consumatore ha espressamente e separatamente accettato tale scostamento al momento della conclusione del contratto di vendita.

Responsabilità del venditore

Le caratteristiche previste sono:

  • il venditore è responsabile per qualsiasi vizio di conformità del bene esistente al momento della consegna e che si manifesta entro due anni. Ciò vale anche con riferimento ai beni con elementi digitali, con una possibile estensione della responsabilità nel caso in cui il contratto preveda la fornitura continuativa del contenuto digitale per più di due anni;
  • l’azione diretta a far valere i difetti non dolosamente occultati dal venditore si prescrive in 26 mesi dalla consegna, in caso di beni usati le parti possono convenire un termine prescrizionale non inferiore a 1 anno;
  • è stato eliminato l’obbligo del consumatore di denunciare i vizi entro due mesi dalla scoperta.

___________________________________________________________________________

Photo by Tim Mossholder courtesy of the Author and of Unsplash

Il “caporalato” come reato presupposto ex D.Lgs. 231/2001

Una riflessione sui presidi in grado di prevenire la commissione del reato di “caporalato” e il relativo contenuto (necessario) del Modello di Organizzazione, Controllo e Gestione redatto ai sensi del D. Lgs. 231/2001.

Il caporalato come fenomeno attuale – i “riders”

Ha avuto ampia eco mediatica l’avvio di un’indagine dalla Procura milanese in materia di sicurezza sul lavoro, immigrazione irregolare e casi di caporalato, riguardo all’attività dei c.d. “riders”, quei fattorini che, attraverso società di intermediazione, si occupano di consegnare cibo ovvero altri articoli a domicilio per conto di grandi aziende di distribuzione. 

Come è noto, per caporalato si intendeil fenomeno sociale, sempre più diffuso su tutto il territorio nazionale, dell’intermediazione illecita e sfruttamento del lavoro”. 

Si tratta di una realtà particolarmente diffusa nel settore della produzione agricola e che, spesso, vede il coinvolgimento di associazioni di stampo mafioso, associazioni dedite al traffico di esseri umani ed allo sfruttamento dell’immigrazione clandestina.

Nel contesto di tale indagine, la Sezione misure di prevenzione del Tribunale di Milano ha disposto, tra l’altro, l’amministrazione giudiziaria ex art. 34 del Codice antimafia della filiale italiana dell’Azienda oggetto di indagine, proprio per caporalato.

Ciò che, in questa sede, rileva è che, tra le varie verifiche effettuate dagli inquirenti, vi è stata quella finalizzata ad individuare l’esistenza del modello organizzativo ex D.Lgs. n. 231/2001 e specificamente – ove pure esistente – la sua idoneità a prevenire il reato ipotizzato, ex art. 603-bis c.p.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le modifiche introdotte con la Legge 29 ottobre 2016, n. 199 e il “nuovo” art. 603 bis c.p.

Per inquadrare normativamente la fattispecie, va ricordato che con la Legge 29 ottobre 2016, n. 199, recante «Disposizioni in materia di contrasto ai fenomeni del lavoro nero, dello sfruttamento del lavoro in agricoltura e di riallineamento retributivo nel settore agricolo» sono state introdotte rilevanti novità relativamente alla lotta al caporalato.

Con la suddetta Legge sono state, infatti, inserite garanzie per la tutela della dignità dei lavoratori, in particolare quelli agricoli, attraverso la riformulazione della fattispecie di cui all’ articolo 603-bis c.p.

Inoltre, dato particolarmente rilevante in questa sede, con la Legge n. 199 del 29 ottobre 2016, Il Legislatore inserisce il reato di caporalato nel catalogo dei reati presupposto previsti dal D.Lgs 231/2001.

Il 18 ottobre 2016, con la legge n° 199, è stato completamente riscritto l’art. 603 bis del Codice Penale.

La principale novità consiste nella individuazione, come autore del reato di “caporalato”, anche del datore di lavoro che ponga in essere una condotta di sfruttamento del lavoratore, e non più soltanto dell’intermediario.

In secondo luogo non si fa più riferimento ai requisiti dello stato di necessità del lavoratore ed alla violenza, minaccia o intimidazione, che limitavano i confini dell’elemento oggettivo del reato.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le ricadute pratiche sul modello organizzativo, di gestione e di controllo ex D.Lgs. 231/2001

Il reato di caporalato, nella nuova formulazione dell’articolo 603-bis c.p., rivela, alla luce della disciplina “231” prevista per l’azienda, una stretta correlazione con i contenuti del modello di organizzazione e gestione di cui la stessa dovrebbe dotarsi preventivamente.

Le società – ed in particolare quelle di media e piccola dimensione – sono, pertanto, chiamate a dotarsi di un Modello organizzativo ex D. Lgs. 231/2001, finalizzato ad individuare e prevenire le condotte illecite di cui all’art. 603-bis c.p.

Tra l’altro, il reato di caporalato ben può vedere, nella medesima vicenda criminale, il concorso materiale o formale di alcuni reati già precedentemente considerati presupposto ex D.Lgs. 231/2001 come, ad esempio, il delitto di “Impiego di cittadini di paesi terzi il cui soggiorno è irregolare” (articolo 25-duodecies), che potrebbe concorrere nell’ipotesi in cui l’impresa utilizzatrice occupasse alle proprie dipendenze lavoratori stranieri privi di permesso di soggiorno, sottoponendoli alle condizioni di sfruttamento di cui al 603-bis, ovvero al contestuale concorso del reato di “Omicidio colposo” o “lesioni colpose gravi o gravissime” (articolo 25-septies), qualora si determinasse anche un evento lesivo, oppure la morte del lavoratore straniero privo di permesso di soggiorno, impiegato dall’impresa utilizzatrice in condizioni di sfruttamento. Inoltre, nel quadro criminogeno così dipinto, tutt’altro che inverosimile, il caporalato ben potrebbe configurarsi come uno tra i reati-scopo dei “delitti di criminalità organizzata” di cui all’articolo 24-ter, D. Lgs. 231/2001, commessi anche con i caratteri della transnazionalità, tra cui, “Associazione per delinquere” ed “Associazioni di tipo mafioso anche straniere”.

O, ancora, si pensi alla riduzione o mantenimento in schiavitù o in servitù (600 c.p.), alla tratta di persone (601 c.p.), all’acquisto e alienazione di schiavi (602 c.p.).

Alla luce del quadro dei reati presupposto evidenziati sopra, i processi più delicati saranno, senz’altro:

1) il processo di ricerca, assunzione e inserimento del personale e il processo di gestione dei fornitori: occorre porre attenzione sugli aspetti retributivi, sulle ferie e sui turni di riposo. I lavoratori dovranno essere inquadrati con contratti che rispettino almeno le condizioni di lavoro e il salario minimo dell’ultimo contratto collettivo nazionale CCNL sottoscritto.

2) Il processo di individuazione dei fornitori: nell’ambito degli accordi commerciali con gli stessi, occorrerà esigere la trasmissione di tutta la documentazione che possa risultare utile alla verifica del rispetto della normativa da parte dei partner commerciali, in particolare della clausola relativa all’obbligo di rispettare il Modello Organizzativo ed il proprio Codice Etico.

3) Il processo relativo alla sicurezza sui luoghi di lavoro, soprattutto in merito alla conformità delle procedure previste dal Modello rispetto alla normativa prevenzionistica, in particolare di cui al D. Lgs. n. 81/2008, cosiddetto testo unico sicurezza sul lavoro.

________________________________________________________

Photo by Taha on Unsplash

Controlli “difensivi”: legittimo l’uso dei dati solo se il lavoratore è correttamente informato

Con recente pronuncia (n. 25732/2021, consultabile QUI), la Corte di Cassazione è intervenuta su un tema spinoso, che riguarda il difficile bilanciamento tra la tutela della sfera di riservatezza del lavoratore e la garanzia di protezione dei beni aziendali (in senso lato).

I fatti di causa

Una lavoratrice, dipendente di una Fondazione, veniva licenziata – per giusta causa – per aver navigato continuativamente in internet a fini privati durante l’orario lavorativo, in particolare facendo accesso ad alcuni siti non sicuri fonte di diffusione di un virus nella rete aziendale, con successiva compromissione di vari dischi di rete ed files (c.d. data breach).

Dopo aver visto dapprima accolta la propria domanda di reintegrazione in primo grado, e successivamente rigettata la medesima domanda in sede di appello, la lavoratrice proponeva ricorso per Cassazione denunciando la violazione e la falsa applicazione, per ciò che qui rileva, dell’art. 4 dello Statuto dei Lavoratori e del Codice Privacy (n.b. i fatti si sono svolti in epoca antecedente sia all’entrata in vigore del GDPR, sia alla modifica dell’art. 4 St. Lav per opera del Jobs Act).

La tesi, in sostanza, poggiava sulla contestazione della decisione in appello di aver ritenuto utilizzabili, a fini disciplinari, le informazioni acquisite in violazione dei diritti, in particolare, di informativa, contenuti nell’allora vigente Codice Privacy (D. Lgs. 196/2003).

In effetti, l’Autorità Garante, investita della questione, aveva confermato la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle finalità ed aveva intimato alla Fondazione di astenersi da ulteriori trattamenti.

Veniva poi contestata la mancata tipizzazione del comportamento imputato alla lavoratrice tra gli illeciti disciplinari e tra le regole ed i principi del Codice Etico aziendale.

La disciplina dei controlli sui lavoratori

La vicenda in oggetto si concentra sull’ambito applicativo dei controlli sui lavoratori, la cui disciplina generale è dettata dall’art. 4 dello Statuto dei Lavoratori (L. 300 del 1970) nonché dal GDPR e dalle linee guida e pronunce sul tema dell’Autorità Garante.

L’art. 4 St. Lav. citato, in particolare, ha subito una radicale riforma nel 2015: l’originaria versione dello stesso, applicabile ratione temporis alla vicenda in oggetto, prevedeva un generale divieto di uso di strumenti di controllo a distanza.

Nel corso degli anni però la giurisprudenza, a tutela del patrimonio e dell’immagine aziendale, aveva determinato che i c.d. “controlli difensivi”, cioè i controlli effettuati dopo l’attuazione del comportamento illecito, e quindi dopo l’insorgenza del sospetto in merito al comportamento scorretto, non fossero soggetti a tale divieto, pur nel rispetto dei principi di buona fede e correttezza.

La riforma dell’art. 4 St. Lav. ha fatto cadere il precedente divieto, prevedendo la possibilità per il datore di lavoro di effettuare controlli sui lavoratori nel rispetto di determinate modalità ed a condizioni tassative.

Tuttavia, ai fini dell’utilizzabilità dei dati raccolti (anche a scopo disciplinare), è condizione necessaria, a prescindere dallo strumento di controllo utilizzato, fornire al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

La decisione della Corte

La Corte ha accolto il ricorso della lavoratrice: attraverso un’approfondita disamina giuridica sull’ambito di applicazione dei controlli difensivi pre e post riforma, le doglianze della lavoratrice sono state ritenute fondate in quanto, in sentenza: (i) non era stato verificato se i dati di navigazione fossero stati raccolti prima o dopo l’insorgere del fondato sospetto (ii) non era stato valutato il corretto bilanciamento tra le esigenze di protezione dei beni aziendali rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

Nello specifico, viene sottolineato che il datore di lavoro potrebbe, in difetto di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire e conservare per lungo tempo ed ininterrottamente ogni tipologia di dato e, poi, invocare la natura mirata e successiva del controllo.

A parere della Suprema Corte, la Corte d’Appello aveva anche omesso di verificare l’utilizzabilità dei dati raccolti ai fini disciplinari, sempre in mancanza di adeguata informativa.

La sentenza in oggetto, nel confermare che sono consentiti i controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza di un fondato sospetto, ribadisce l’importanza di un corretto bilanciamento tra:

  • da un lato, le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e
  • dall’altro, le imprescindibili tutele della dignità e della riservatezza del lavoratore, per cui il controllo mirato sul singolo lavoratore deve riguardare dati acquisiti successivamente all’insorgere del sospetto.

In mancanza delle condizioni suddette, i dati raccolti non possono essere utilizzati ai fini disciplinari in conformità a quanto statuito dall’art. 4 St. Lav., in particolare dai commi 2 e 3.

Un’informativa adeguata

L’utilizzabilità delle informazioni e dei dati acquisiti, a tutti i fini connessi al rapporto di lavoro, anche disciplinari, dipende, in sostanza, dall’adeguatezza dell’informativa fornita.

Ma in cosa consiste un’informativa “adeguata”?

Prima di tutto, l’informativa deve – oggi – riportare tutti gli elementi previsti dall’art. 13 GDPR, e non limitarsi a fare generici riferimenti a finalità, relative basi giuridiche e tempi di conservazione, ma essere specifica e ben dettagliata, oltre che leggibile, chiara e comprensibile nella sua formulazione grafica e testuale.

Per quanto riguarda la navigazione in internet, fermo restando il divieto di controllo indiscriminato della navigazione (v. Newsletter Garante Privacy 22.06.2021: l’episodio riguarda il Comune di Bolzano, sanzionato per Euro 84.000,00), la raccolta dei dati di navigazione è legittima e può essere utilizzata in funzione disciplinare contro il lavoratore, purché egli ne sia informato e quindi consapevole dell’effettuazione di controlli, delle modalità degli stessi, dei comportamenti consentiti o meno e delle conseguenze disciplinari e/o penali correlate.

L’informativa dovrà essere coordinata e coerente con il disciplinare interno, il quale deve essere redatto in modo chiaro e adeguatamente pubblicizzato.

Si segnala che il Garante ha emanato, già nel 2007, delle linee guida sull’utilizzo della posta elettronica e di internet nel rapporto di lavoro (consultabile QUI) cui è possibile fare riferimento.

______________________________________

Photo by Alex Kotliarskyi on Unsplash

Il requisito dell’interesse-vantaggio nell’infortunio sul lavoro

Da tempo in Dottrina e Giurisprudenza si dibatte in merito alle modalità di individuazione del carattere di “interesse o vantaggio” della condotta che dà vita ad un infortunio mortale.

La questione è particolarmente rilevante in quanto è sulla presenza di tale carattere che si basa la responsabilità dell’Ente ai sensi del D. Lgs. 231/2001.

La recente pronuncia del Tribunale di Bari – il fatto

Recentemente il Tribunale di Bari – Prima Sezione Penale monocratica- si è pronunciato sul tema con la Sentenza n. 1718/2021, depositata lo scorso 9.6.2021, emessa al termine del processo che vedeva imputata, tra gli altri, la Società Sirti S.p.A. ai sensi del D. Lgs. 231/2001.

Il procedimento in questione trae origine da un infortunio sul lavoro con esito mortale per un dipendente della Società imputata, avvenuto nel 2013.

In particolare l’uomo veniva travolto e schiacciato accidentalmente da un automezzo utilizzato per trasferire materiale da un cantiere all’altro e condotto da un suo collega.

A seguito dell’istruttoria dibattimentale, si evince che quel giorno, così come era già avvenuto in precedenza, alcuni dipendenti della Sirti S.p.A. decidevano unilateralmente di stoccare materiale presso un’area di proprietà di una ditta fornitrice della loro datrice di lavoro, senza dunque informare o chiedere alcun permesso agli apicali della Società (né al responsabile dell’Unità produttiva né all’RSPP incaricato).

Peraltro si è accertata la mancata regolamentazione contrattuale tra Sirti S.p.A. e la ditta proprietaria dell’area in cui è stato depositato il materiale.

Le Motivazioni dell’assoluzione dell’Ente imputato ex D. Lgs. 231/2001: la mancata sussistenza di interesse e vantaggio

Ciò che rileva particolarmente in questa sede (in cui non ci occuperemo delle ragioni su cui si basa l’assoluzione delle persone fisiche) è analizzare il capo di imputazione di Sirti S.p.A.: il Pubblico Ministero accusa la Società di avere consentito il verificarsi dell’evento lesivo omettendo di adottare, prima della commissione del reato, il modello di organizzazione e gestione idoneo alla prevenzione degli infortuni sul lavoro di cui all’art. 30 D. Lgs. n. 81/2008.

Secondo le valutazioni del Pubblico Ministero, la società imputata adottava un modello che consentiva di utilizzare come ambiente di lavoro un’area priva di agibilità ad uso deposito senza avere preventivamente valutato i rischi relativi oltreché senza avere adottato misure di sicurezza, il tutto con la finalità di perseguire il proprio personale interesse economico.

Quest’ultimo, secondo il Pubblico Ministero, si basava sul risparmio di spesa derivante dalla mancata adozione del suddetto Modello nonché dalla mancata realizzazione del sopralluogo presso l’area dove è avvenuta la morte del dipendente.

Ciò che ancor più interessa sono le motivazioni che hanno condotto all’assoluzione della Società.

Il Giudice, prima di tutto – e come si anticipava al principio di questo commento – si interroga sull’esistenza o meno del carattere di “interesse o vantaggio” di Sirti come fine della commissione del reato.

Tale analisi è particolarmente importante perché incarna la condicio sine qua non su cui si basa la responsabilità della Società ai sensi del D. Lgs. n. 231/2001.

Il Giudice, nelle motivazioni, fa riferimento all’entrata in vigore dell’articolo 25 septies del D. Lgs. 231/2001, relativo ai reati di natura colposa commessi in violazione delle norme in tema di salute e sicurezza sui luoghi di lavoro ed in particolare si occupa di analizzare i dubbi, emersi in dottrina e giurisprudenza e relativi alla possibilità di collegare interesse e vantaggio ad una condotta colposa.

Ci si chiede, infatti, quale vantaggio può trarre un’impresa dalla morte o dalle lesioni di un proprio operaio ovvero quale interesse, ex ante, può collegarsi dalla prospettiva della realizzazione di un siffatto danno.

Riportando lo stralcio della Sentenza in oggetto, si rileva come il Giudice sottolinei che “sul punto si sono succedute numerose teorie atte a determinare una plausibile congiunzione tra l’art. 5 del Decreto Legislativo n. 231 del 2001 e l’art. 25-septies del medesimo decreto, e la più corretta è sicuramente quella che facendo leva su un’interpretazione puramente oggettiva della norma, si è soffermata esclusivamente sull’analisi della condotta dell’agente poiché considerata unico elemento idoneo a integrare un beneficio in favore dell’ente. Viene così abbandonato ogni aspetto “soggettivo” che invece è tipico dei reati dolosi.

Tale tesi è sicuramente quella che ha trovato il maggior numero di consensi sia in dottrina che in giurisprudenza, in quanto riconosce effettivamente come il vantaggio ottenuto dall’ente sia esclusivamente di carattere oggettivo, consentendo pacificamente di incardinare il percorso di ascrizione della responsabilità della persona giuridica in piena conformità con l’art. 5, Decreto Legislativo n. 231 del 2001

Nella sentenza si legge inoltre che “l’interpretazione complessiva delle norme citate (art. 25-septies e art. 5 del Decreto Legislativo n. 231/ 2001) richiede necessariamente all’interprete di concentrarsi sul vantaggio che l’Ente ha tratto, non dall’evento lesioni o morte, bensì dalla violazione della disciplina antinfortunistica che ha dato causa all’evento”.

Secondo la Prima Sezione Penale del Tribunale di Bari, l’unica condotta colposa rilevante tale da poter implicare l’imputabilità dell’Ente ex D. Lgs. 231/2001, sarebbe quella consistente nella “volontaria violazione delle norme antinfortunistiche o perché espressione di una politica d’impresa o perché ha comportato un risparmio di spesa”.

Nella sentenza si afferma che “la violazione delle norme antinfortunistiche deve essere sempre cosciente e volontaria (in caso contrario non si potrebbe determinare il perseguimento di un interesse o di un vantaggio), ma l’evento non può mai essere voluto (altrimenti il delitto sarebbe doloso)”.

Il Giudice ha concluso che “la scelta di utilizzare un deposito temporaneo è stata fatta autonomamente, senza interpellare i vertici societari e per una questione di “comodità” per alcuni dipendenti” aggiungendo che “la previsione di manovratori a terra non avrebbe avuto per la Sirti alcun aggravio di spese e, dunque, non si registra alcun tipo di vantaggio o di interesse in quanto gli uomini che avrebbero potuto guidare il […] da terra erano presenti”. Alla luce delle suddette considerazioni, che hanno di fatto escluso la sussistenza delle condizioni necessarie di interesse e/o vantaggio, il Giudice ha dichiarato la mancata responsabilità dell’Ente imputato, assolvendolo perché l’illecito non sussiste.

Giurisprudenza degli ultimi anni in merito al D. Lgs. 81/08

Tale Sentenza si inserisce nella giurisprudenza della Suprema Corte in tema di responsabilità dell’Ente in presenza di infortuni sul lavoro.

 A tal proposito, occorre ricordare la pronuncia delle Sezioni Unite della Corte di Cassazione che nel 2014, nella sentenza relativa alla nota vicenda ThyssenKrupp, hanno osservato come “l’interpretazione letterale dell’articolo 5 del Decreto Legislativo n. 231-2001, condurrebbe a dei risultati assurdi e incompatibili con la volontà di un Legislatore Nazionale, obbligando l’interprete a scegliere l’unica alternativa: i concetti di interesse e vantaggio, nei reati colposi di evento, vanno di necessità riferiti alla condotta e non all’esito antigiuridico”.

Sul punto, hanno osservato le Sezioni Unite nella medesima pronuncia, con un concetto più volte ribadito dalla giurisprudenza successiva, che:

Vi è un’unica alternativa, possibile lettura: e concetti di interesse e vantaggio, nei reati colposi d’evento, vanno di necessità riferiti alla condotta e non all’esito antigiuridico. Tale soluzione non determina alcuna difficoltà di tipo logico: è ben possibile che una condotta caratterizzata dalla violazione della disciplina cautelare e quindi colposa sia posta in essere nell’interesse dell’ente o determini comunque il conseguimento di un vantaggio”. Nel seguente paragrafo ci occupiamo della successiva Giurisprudenza sul tema, ed in particolare in riferimento al Testo Unico della sicurezza, ossia il D. Lgs. 81/08, in vigore dal 15 maggio 2008 che, come noto, ha completamente sostituito il precedente D. Lgs 626/94 nonché tutti gli altri provvedimenti degli ultimi 50 anni in materia di tutela della sicurezza e salute sul luogo di lavoro.

Nel seguente paragrafo ci occupiamo della successiva Giurisprudenza sul tema, ed in particolare in riferimento al Testo Unico della sicurezza, ossia il D. Lgs. 81/08, in vigore dal 15 maggio 2008 che, come noto, ha completamente sostituito il precedente D. Lgs. 626/94 nonché tutti gli altri provvedimenti degli ultimi 50 anni in materia di tutela della sicurezza e salute sul luogo di lavoro.

La giurisprudenza ha sancito che, per affermare la responsabilità dell’ente, è necessario passare attraverso due accertamenti, anche alternativi, sulla condotta di chi ha agito: il primo, riguarda la violazione di norme cautelari, avvenuta consapevolmente col fine di apportare un interesse alla società, indipendentemente dal suo effettivo conseguimento, la cui esistenza va valutata ex ante (c.d. colpa cosciente); il secondo, sussiste quando la condotta colposa abbia comunque determinato oggettivamente, ex post, un vantaggio per l’impresa (c.d. colpa incosciente).

La Suprema Corte, dunque, ha più volte ribadito la perseguibilità anche della colpa incosciente, sulla scorta di un criterio di imputazione oggettiva riferibile alla condotta del soggetto agente (anche isolata ed estemporanea) nei termini descritti (Cass. Pen. n. 12149/2021; n. 29584/2020; 29538/2019; 38363/2018).

La stessa giurisprudenza succedutasi negli ultimi anni sul tema, tra l’altro, ha evidenziato come il concetto di interesse o vantaggio è riferibile anche solo all’auspicato risparmio di costi o alla diminuzione dei tempi di lavorazione, esprimendo così una sorta di sprone alle imprese ad investire nella prevenzione in materia di sicurezza sul lavoro, così come del resto sancito dal D. Lgs. 81/08. Una accorta politica di adeguati investimenti in materia, dunque, sarà certamente utile alle società per dirottare, in sede processuale, la responsabilità di eventuali infortuni alla singola persona fisica eventualmente responsabile dei fatti in distonia rispetto alle scelte aziendali.

___________________________________________

Photo by Andrea Ferrario on Unsplash

La profilazione (parte 1)

Vediamo cos’è, come (e se) è legale, l’attività meglio nota come “profilazione”.

In questo articolo e nei successivi proveremo ad addentrarci nella definizione che il GDPR dà del tema, confrontandola poi con l’attività pratica e reale, soprattutto online.

Il contesto

Ne abbiamo tutti sentito parlare: molto spesso, in senso negativo e generale, come un’attività equiparabile alla “sorveglianza di massa” emersa dal caso Snowden.

Il termine usato (profiling nella versione inglese del GDPR) richiama alla mente, immediatamente, l’idea di un “dossieraggio” svolto da oscure organizzazioni che sfuggono al controllo della forza pubblica e, naturalmente, alle leggi vigenti in ambito privacy.

In realtà, la profilazione ha diversi risvolti positivi, se attuata correttamente: basti pensare all’enorme mole di comunicazioni marketing che riceviamo, ogni giorno e/o in ogni sito web che visitiamo, e che non hanno nessun tipo di rilevanza per i nostri gusti e abitudini di consumo. Quelle comunicazioni sono un “disturbo”, sono a tutti gli effetti “spam” per noi, poichè anche solo il tempo speso – perso! – a cancellare la e-mail dalla posta in arrivo, o a togliere il consenso all’invio di newsletter periodiche, costituisce comunque un momento e un’attività evitabile.

Evitabile, se solo chi ci ha inviato il messaggio si fosse domandato (e avesse capito) cosa ci interessa e cosa no, in base a chi siamo, dove siamo, cosa facciamo, eccetera.

La definizione

Per comprendere il concetto di “profilazione” in senso tecnico-normativo, allora, dobbiamo muoverci:

  • da un lato, rimuovendo l’accezione necessariamente negativa, e
  • dall’altro, tenendo ben presente i rischi che un “profiling” spinto della nostra persona e delle nostre abitudini comporta (qualcuno ha detto Cambridge Analytica?).

Soprattutto, per evitare di fare confusione, è assolutamente necessario tenere ben distinti due concetti sicuramente collegati, ma diversi:

  • una cosa è la “profilazione”
  • un’altra è la “decisione automatizzata”, nel senso tecnico previsto dal GDPR.

Partiamo allora dalla definizione di “profilazione” fornita dall’art. 4 GDPR:

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Proprio in riferimento alla c.d. “decisione automatizzata”, giova riportare qui una chiara indicazione fornita dal GDPR:

L’interessato (quindi, qualunque persona fisica) ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.

Tutto ciò, salvo alcuni casi specifici, fissati nel prosieguo del GDPR (azione necessaria per la conclusione di un contratto, autorizzazione di legge, consenso).

Un primo punto fermo: i diritti della persona

Dalla combinazione delle informazioni riportate sopra, si possono trarre alcuni iniziali assunti.

In primo luogo, la modalità principe – legale – per fare profilazione e/o avviare decisioni automatizzate è il “consenso“, ovvero una manifestazione di assenso esplicita, chiara, informata e (va aggiunto) facilmente revocabile e consultabile dalla persona.

In mancanza del consenso, l’azienda che si propone di fare profilazione e/o prendere decisioni automatizzate deve valutare attentamente come si sta comportando, e porre particolare cautela nell’elaborare i dati relativi a ciascuno di noi per creare un profilo di comportamento (spesso, commercialmente appetibile).

A questo punto, la domanda sorge spontanea: ma quando avrei dato il consenso a piattaforme come Facebook o Google per profilarmi e, quindi, inviarmi pubblicità basata sui miei interessi?

La risposta, ad oggi senza che sia stato ancora aperto un contraddittorio serio, è: quando hai creato il tuo account e/o, addirittura, usato le loro piattaforme anche se non eri registrato.

Fate una prova: attivate la navigazione anonima su un qualunque browser web, e poi accedete a www.google.it. Quello che leggerete all’apertura della pagina è il punto di partenza della seconda parte di questo approfondimento.

__________________________________________

Photo by Matthew Henry on Unsplash

Gare pubbliche e dati giudiziari

Ogni azienda che fa business con la Pubblica Amministrazione o con gli Enti Pubblici è abituata a gestire una importante mole di dati dei propri dipendenti e, soprattutto, personale che riveste funzioni apicali. In questo breve approfondimento puntiamo l’attenzione su

  • quali tipologie di dati sono interessate,
  • cosa prevede la normativa in proposito, e
  • alcuni aspetti operativi – necessari – per gestire i dati in compliance con la normativa.

Dati personali “giudiziari”

Ciascun bando di gara richiede la preparazione di una moltitudine di documenti, tra cui – oltre a quelli relativi alla società, all’offerta materiale ed economica e allo “storico” aziendale – anche diversi moduli a firma di persone fisiche. In particolare, vengono richieste informazioni in merito a precedenti penali e pregressi rapporti (anche di familiari) con associazioni illecite.

La partecipazione a gare pubbliche da parte di una società di diritto privato comporta pertanto – necessariamente – il trattamento di “dati giudiziari” di tali persone fisiche, ai sensi dell’art. 10 GDPR.

Non solo, infatti, la normativa prevede le presentazione di ampia documentazione mediante autodichiarazioni e/o moduli: spesso sono anche richiesti i certificati del casellario giudiziale in capo a diversi profili interni alla società, specialmente se aventi potere direzionale o ruoli di responsabilità, come Amministratori, Procuratori o – ad esempio – i componenti dell’Organisimo di Vigilanza ai sensi del D. Lgs. 231/2001.

L’art. 10 GDPR: i dati giudiziari

La ricezione del casellario giudiziale di una persona che riveste un ruolo apicale – per esempio, l’Amministratore Delegato – presenta profili di evidente rilevanza rispetto a quanto previsto dall’art. 10 GDPR, che recita:

Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (…) deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Va inoltre ricordato che anche il “diniego” di aver commesso reati e/o avere procedimenti penali pendenti, deve essere considerato appunto un “dato giudiziario”, cioè riguardante reati e condanne penali della persona fisica.

Come se ciò non bastasse, alcune Autorità europee – seppur non il nostro Garante – hanno incluso nel novero delle informazioni qualificabili come “dato giudiziario” anche le contravvenzioni e/o sanzioni amministrative, ritenendole degne di tutela assimilabile ai reati veri e propri.

Non si dimentichi infine che, in taluni casi, le informazioni raccolte non saranno solo relative alla persona fisica che riveste una posizione in azienda, ma anche i suoi familiari, conviventi e/o soggetti terzi: la società, quale Titolare del trattamento, si troverà allora a processare dati personali di tutti loro, dovendo quindi predisporre le necessarie misure di gestione, informazione, garanzia e tutela.

Aspetti privacy operativi nelle gare pubbliche

L’impostazione – fortemente garantista – sopra individuata impone allora la ricerca della corretta base giuridica per il trattamento: in questi casi, diversamente da quanto previsto per i “dati particolari” (o precedentemente “sensibili”), non vige alcun divieto generalizzato di processare tali informazioni, ma un diverso obbligo, più stringente e “faticoso” per l’interprete e per il professionista che si trova, in particolare, a gestire il processo ed il relativo flusso di dati.

Si richiede infatti l’individuazione esatta della norma di legge in forza della quale l’azienda (Titolare del trattamento) deve raccogliere le dichiarazioni – ad esempio, la normativa in materia antimafia – e caricarle/sottoporle al soggetto che gestisce il bando.

Una volta individuata la base giuridica corretta, si dovrà procedere a predisporre la documentazione informativa e di compliance atta a garantire che il requisito – tanto vago quanto esigente – della “accountability” aziendale sia rispettato.

A titolo di elenco non esaustivo, potremmo ipotizzare di procedere con:

  • la redazione, prima di tutto, di una informativa per i dipendenti a cui vengono rivolte richieste di dati giudiziari (ex art. 13 GDPR), e – nel medesimo documento o a parte – una informativa anche per i relativi familiari e conviventi (ex art. 14 GDPR); tale testo dovrà anche ricordare la necessaria comunicazione a terzi dei dati, in quanto raccolti con finalità di partecipazione a una gara indetta da un ente pubblico;
  • la predisposizione di una procedura interna di gestione dei dati acquisiti, che preveda la limitazione di accesso alle informazioni secondo stretta necessità da parte degli operatori (persone autorizzate) del Titolare;
  • l’autorizzazione specifica, per gli operatori individuati dalla procedura, al trattamento dei dati giudiziari, in forza di apposite istruzioni (in particolare, divieto di diffusione);
  • la verifica che i dati forniti all’ente siano trattati correttamente anche da esso, in forza di idonea informativa, che si suggerisce di conservare.

___________________________

Credits: photo by Mikhail Pavstyuk on Unsplash