Richiesta di accesso ai dati manifestamente infondata o eccessiva: quando il Titolare può dire “no”

“Da grandi poteri derivano grandi responsabilità”, usava dire lo zio Ben a Peter Parker / Spiderman.

Ed è evidente, se si tiene a mente tutto ciò, che un Titolare del trattamento è spesso chiamato a porsi, e poi attuare, una lunga lista di obblighi e responsabilità.

Tra di esse hanno una posizione di assoluto rilievo le misure necessarie a fornire all’interessato le informazioni relative ai trattamenti gestiti, prendersi carico dei diritti (accesso, rettifica, cancellazione e limitazione del trattamento) tra cui la portabilità dei dati e l’opposizione al trattamento.

In questo quadro, si rimane particolarmente colpiti quando ci si imbatte in uno di quei casi in cui il Titolare ha potuto legittimamente negare l’accesso ai dati di un interessato.

A fronte delle tutele previste per l’accesso ai dati personali dell’interessato, e in particolare, dagli artt. 15-22 GDPR, la Corte di Norimberga ha infatti ritenuto prevalente, ai sensi dell’art. 12(5) GDPR, il diritto del Titolare a non dare seguito a richieste manifestamente infondate o eccessive.

I fatti

Il Titolare del trattamento è una società di assicurazione privata, con cui l’interessato ha stipulato un contratto di copertura assicurativa.

Le parti hanno dato avvio a una controversia legata alla supposta invalidità – invocata dall’assicurato – di diversi aumenti del premio che si erano succeduti nel periodo di vigenza del contratto.

L’interessato ha così adito la Corte Regionale di Ansbach per il rimborso dei premi pagati in eccesso, e ha contestualmente inviato una richiesta di accesso ai dati personali al Titolare del trattamento, avente ad oggetto tutte le informazioni sugli aggiustamenti occorsi ai premi effettuati, con gli aggiornamenti alle polizze assicurative, i supplementi alle stesse e tutte le lettere di notifica inviate, nel tempo, al soggetto interessato.

Il Titolare, a tale richiesta, ha opposto il proprio diniego.

La decisione

La Corte Regionale di Norimberga ha considerato che lo scopo della richiesta dell’assicurato non fosse quella di verificare la legittimità del trattamento dei dati che lo riguardavano, ma piuttosto quella di controllare se gli aggiustamenti fatti ai premi assicurativi fossero adeguati alla legge tedesca.

Pertanto, la Corte ha ritenuto che l’istanza presentata fosse manifestamente eccessiva, e ha stabilito che un Titolare può legittimamente rifiutarsi di ottemperare a una tale richiesta di accesso ai dati, ai sensi dell’art. 12(5)(b) del GDPR.

La decisione può dare spunto per una riflessione su cosa costituisca una richiesta “manifestamente eccessiva” e, più in generale, un “abuso” del diritto di accesso ai dati personali.

Sul punto, la Corte ha fatto riferimento allo scopo dell’art. 15 GDPR, che va letto congiuntamente e in armonia con il Considerando 63.

Dalla lettura delle due disposizioni, infatti, si può constatare che l’accesso ai dati personali concesso all’interessato ha, in generale, come obiettivo quello di permettere che il soggetto sia consapevole del trattamento dei dati, e possa verificarne la legittimità – obiettivi, entrambi, non presenti nell’intenzione dell’interessato nel caso proposto.

_________________________________________

Immagine di Kyle Glenn on Unsplash

Controlli a distanza: il punto tra privacy e diritto del lavoro

Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.

La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.

Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.

In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).

L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.

Videosorveglianza

Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.

Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.

Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.

I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.

Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).

Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.

Gps sui veicoli in uso ai dipendenti

Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.

L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.

Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.

Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.

Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Geolocalizzazione di smartphone, tablet e dispositivi mobili

Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.

Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.

Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.

A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.

______________________________________________

Photo by Tobias Tullius on Unsplash

Novità 231 dell’ultimo triennio

Nel corso degli ultimi anni il D.lgs. 231/2001 (“Decreto 231”), è stato oggetto di alcuni rilevanti interventi integrativi, dal punto di vista del catalogo dei reati presupposto: nella sua prima versione, infatti, il Decreto 231 contemplava solo disposizioni previste dai trattati e dalle convenzioni di cui la legge di delega costituiva ratifica e attuazione.

Ad oggi, invece, l’elenco delle basi si è ampliato notevolmente, giungendo all’art. “25-duodevicies”, ovvero in italiano il numero “diciotto” (letteralmente “due da venti” dal latino).

L’effetto risultante è quindi quello di aver trasformato oggi il Decreto 231 da disciplina volta a punire i c.d. “corporate crimes” ad una norma di ampio, amplissimo raggio, in cui sono confluiti gli illeciti più diversi.

I reati contro la Pubblica Amministrazione (novità 2019)

Nella sua prima versione, l’art. 25 del Decreto 231 introduceva la responsabilità dell’ente in relazione ai reati di corruzione e concussione commessi da soggetti apicali o in posizione subordinata, nell’interesse o a vantaggio dell’ente.

La legge n. 190/2012 (“Legge Anticorruzione”) ha modificato per la prima volta l’art. 25 del Decreto 231, inserendo nella rubrica della norma anche il reato di “induzione indebita a dare o a promettere utilità” e ha aggiunto la relativa disposizione ai reati presupposto, l’art. 319-quater del Codice penale.

Dalla Legge Anticorruzione è nata l’Autorità Nazionale Anticorruzione (“ANAC”), chiamata a definire a livello nazionale gli obiettivi per lo sviluppo della strategia di prevenzione della corruzione, ai quali devono conformarsi, a livello locale, le singole amministrazioni.

Successivamente, l’art. 25 del Decreto 231 è stato oggetto di un ulteriore intervento ad opera della Legge n. 3/2019 (“Legge spazzacorrotti”), che ha introdotto tra i reati presupposto anche il “traffico di influenze illecite” (art. 346-bis) e ha inasprito le sanzioni interdittive originariamente previste.

Nella prospettiva di conformarsi alle disposizioni innovative contenute nella “Direttiva PIF” (n. 2017/1371), il D. Lgs. 75/2020 ha apportato ulteriori novità al Decreto 231, prevedendo un inasprimento delle pene e un’estensione dell’area di punibilità per alcuni reati quando dalla loro commissione derivi una lesione degli interessi finanziari dell’Unione europea. Si è inoltre introdotta la punibilità a titolo di tentativo, nell’ipotesi di atti compiuti anche nel territorio di un altro Stato membro e finalizzati all’evasione dell’IVA per un valore non inferiore a 10 milioni di Euro. Non meno importante è stato il notevole ampliamento dei reati presupposto in materia di pubbliche forniture, di frode in agricolture e di contrabbando nei casi in cui da essi derivi un danno agli interessi finanziari dell’Unione europea.

Gli interventi legislativi che si sono succeduti nel tempo sono stati ispirati in particolare dall’esigenza di fornire una risposta alle istanze di contrasto alla “mala gestio” provenienti dall’opinione pubblica, e finalizzati a contrastare un fenomeno corruttivo che, a sistema, si rappresentava come sempre più diffuso e contiguo alla criminalità organizzata.

I reati tributari e il recepimento della direttiva PIF (novità 2019)

L’inclusione degli illeciti tributari nell’elenco dei reati presupposto è avvenuta ad opera del Decreto Legge n. 124 del 26 ottobre 2019 (“Decreto Fiscale”), a seguito di due ordini di ragioni: nazionale e sovranazionale.

Dal primo punto di vista, la giurisprudenza iniziava a manifestare l’ipotesi che i reati tributari dovessero comunque essere oggetto di monitoraggio, in quanto rientranti fra i delitti non colposi dai quali l’autoriciclaggio può trarre origine. I reati tributari erano potenzialmente idonei, infatti, a generare la responsabilità dell’ente nella misura in cui rappresentavano presupposto del delitto di associazione a delinquere, frequentemente di natura transnazionale.

Dalla prospettiva sovranazionale, l’Unione europea, con la Direttiva (UE) n. 2017/1371 relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (“Direttiva PIF”), ha chiesto agli Stati membri di includere nella normativa nazionale (e quindi per noi nel Decreto 231) anche reati che ledono gli interessi dell’Unione europea, tra i quali le c.d. “frodi IVA”.

L’art. 6 della Direttiva PIF, in particolare, imponeva agli Stati membri di adottare le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione qualificata in seno alla persona giuridica stessa.

La conversione in legge, con modificazioni, del Decreto Fiscale (avvenuta con Legge 157 del 24 dicembre 2019) ha quindi introdotto nel Decreto 231 l’art. 25-quinquiesdecies, includendo tutte le fattispecie tributarie di maggiore gravità, tra le quali, dichiarazioni fraudolente, emissione di fatture false, occultamento o distruzione dei documenti contabili e sottrazione fraudolenta al pagamento delle imposte.

I reati relativi a strumenti di pagamento “cashless” (novità 2021)

Nel solco di attuazione della Direttiva (UE) n.2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, l’art. 1 del D. Lgs. 184/2021, ha introdotto la nozione di strumenti di pagamento “cashless” o, in altri termini, diversi dai contanti.

La tematica ha un perimetro molto vasto e riguarda tutti i mezzi che permettono di gestire flussi monetari in formato elettronico. Sono compresi in questa ottica anche nuovi canali, ad esempio le applicazioni che consentono l’utilizzo di carte elettroniche prepagate, carte carburante, ticket per i pasti.

I reati presupposto introdotti sono relativi ad alcune condotte determinate, contemplate nelle fattispecie di seguito esposte.

In primo luogo, l’art. 493-ter del Codice Penale incrimina la condotta di chi, con la finalità di trarne un profitto, utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti: la disposizione punisce anche chi falsifica o altera gli strumenti di pagamento cashless o possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati.

L’art. 493-quater del Codice Penale incrimina invece la produzione e varie condotte di “trasferimento” che siano volte a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per le proprie caratteristiche tecniche, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

I reati “contro i beni culturali” (novità 2022)

Il 22 marzo 2022 è stata pubblicata in Gazzetta Ufficiale la Legge 9 marzo 2022, n. 22 recante le disposizioni in materia di reati contro il patrimonio culturale.

L’intenzione della norma è quella di rafforzare gli strumenti di tutela di categorie di beni di rilevante interesse sociale, artistico e culturale, con l’inserimento di alcuni delitti contro tale patrimonio tra i reati presupposto della responsabilità amministrativa degli enti.

La riforma integra, in particolare, il catalogo dei reati presupposto con l’inserimento di due nuovi articoli: l’articolo 25-septiesdecies in tema, proprio, di delitti contro il patrimonio culturale; e l’art. 25-duodevicies in materia di riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Le disposizioni prevedono l’applicazione all’ente della sanzione pecuniaria da cinquecento a mille quote nel caso in cui l’ente, o una sua unità organizzativa, venga stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di tali delitti; si può applicare, in questo caso, anche la sanzione dell’interdizione dall’esercizio dell’attività, che rientra tra le “sanzioni interdittive” previste dal Decreto 231 e che sono considerate univocamente dalla dottrina fra le più impattanti sull’ente e sulla sua attività economica.

___________________________________________

Photo by Patrick Tomasso on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash

Quadro delle recenti novità in materia di Whistleblowing

Il tema delle segnalazioni interne in materia di illeciti commessi nell’esercizio dell’impresa è di grande rilevanza oggi nel panorama della compliance aziendale, costituendo uno strumento di emersione di comportamenti spesso trascurati o ignorati: la sua normazione genera al contempo rilevanti e spinose questioni di bilanciamento tra l’autonomia dell’esercizio dell’azione economica privata e la protezione degli interessi pubblici, oltre che di privacy e protezione degli individui segnalanti.

Breve panorama del concetto e della normativa italiana di rilievo

Il concetto di “Whistleblower” (letteralmente: “colui che soffia il fischietto”) entra per la prima volta nel linguaggio e nel panorama giuridico italiano con la Legge n. 190/2012, la c.d. “Anticorruzione” che, tramite aggiunta dell’art. 54-bis nel corpo del D.Lgs. 165/2001, introduce nel nostro ordinamento la figura del dipendente pubblico “segnalatore di illeciti”. Qualche anno più tardi la Legge n. 179/2017 va a modificare il D.Lgs. 231/2001, offrendo così anche al settore privato una base giuridica su cui costruire il proprio sistema interno di segnalazione degli illeciti.
Con la Direttiva 1937/2019 l’UE ha, di recente, inteso fissare i punti fondamentali per garantire ai “segnalatori di illeciti” uno standard minimo di tutela in ambito comunitario. Vengono quindi posti in capo ad ogni Stato Membro obblighi e divieti mirati a far adottare , entro il termine del 17 dicembre 2021, un adeguato sistema di segnalazione degli illeciti in grado di proteggere il segnalante da tutte le conseguenze negative che potrebbero insorgere a seguito della sua azione, e ciò tanto per il settore pubblico quanto per quello privato.

I requisiti fissati dalla Direttiva e le prospettive di recepimento

Innanzitutto, anche per il settore privato (a partire da una soglia minima di 50 dipendenti) diviene obbligatorio dotarsi di un sistema di prevenzione degli illeciti conseguenti alla violazione del diritto comunitario.
In questo senso, ciò che per l’Italia rappresenta ancora oggi l’eccezione- ci si riferisce infatti a quegli enti che abbiano volontariamente adottato i modelli di organizzazione previsti dal Decreto 231 e limitatamente ai reati da questo previsti- diverrà quindi (e finalmente) la regola.

Viene poi predisposto un ventaglio più ampio di soggetti che possono godere delle garanzie della Direttiva una volta coinvolti nel “processo di segnalazione”. Superata la dicotomia apicali-sottoposti, si aprono le porte a segnalazioni di soggetti che in modi diversi ed in diversa misura entrano in contatto con l’ente. Basti pensare che, a titolo esemplificativo, può assumere la qualifica di segnalante anche colui che non ha ancora cominciato un rapporto di lavoro con l’ente, perché il processo di selezione è ancora in corso.

Appare qui evidente l’intenzione del legislatore comunitario di assicurarsi che anche le violazioni commesse nelle fasi prodromiche all’instaurazione del rapporto di lavoro non rimangano impunite.

Ai fini della segnalazione, la Direttiva non richiede poi l’effettiva commissione di un illecito- così come previsto dalla L. n. 179/2017 e dal D.Lgs. 231/2001- ma soltanto il sussistere nel denunciante del “ragionevole motivo” di ritenere che le informazioni denunciate rispondano al vero e all’interesse pubblico.

Novità anche per quanto riguarda i canali di segnalazione.

Se il legislatore italiano non entra attualmente nel merito delle scelte operative, limitandosi a richiedere che i canali predisposti siano genericamente idonei a garantire la riservatezza (e non anche l’anonimato) dell’identità del denunciante, il legislatore comunitario si rivela più puntuale, richiedendo la implementazione di canali interni ed esterni all’ente, ai quali si affianca il canale pubblico, c.d. “public disclosure”.

La Direttiva lascia comunque libero il denunciante nella scelta del canale, sebbene incoraggi alle segnalazioni interne, soprattutto nei casi di più semplice risoluzione.

Molto importante anche la questione privacy.

La Direttiva prevede che qualsiasi trattamento di dati personali effettuato in occasione della Direttiva stessa debba svolgersi nel rispetto del Regolamento 2016/679 e della Direttiva 2016/680 (per il trattamento di dati con finalità di polizia).

L’obiettivo è quindi quello di scongiurare quanto più possibile il rischio che la segnalazione diventi l’occasione per una violazione della privacy; inoltre, viene espressamente sancito che non vadano raccolti e trattati dati eccedenti o non pertinenti rispetto ad una specifica segnalazione, e – laddove raccolti o trattati – essi vengano prontamente cancellati.

I ritardi nel recepimento della Direttiva

Benché la legge di delegazione europea n. 53/2021 rechi indicazioni per il recepimento della c.d. “Direttiva Whistleblowing”, l’Italia tutta è ancora in attesa di azioni concrete da parte del Governo.

Se indubbiamente molte sono state le “distrazioni” in questi ultimi due anni, a partire dalla pandemia fino alla questione del Colle, è tuttavia opportuno chiedersi quante e quali di queste siano effettivamente in grado di giustificare l’inerzia dell’Esecutivo su un tema particolarmente sensibile come quello della segnalazione di comportamenti illeciti all’interno delle società di capitali.

Ciò è particolarmente rilevante quando entra in gioco la vita umana, come nel caso tristemente noto della Funivia del Mottarone: è di dominio pubblico, infatti, la notizia per cui un ex dipendente avrebbe subito minacce di licenziamento per aver denunciato, molto tempo prima dell’incidente, problemi tecnici alla cabina poi coinvolta nella strage.

_________________________________________________________

Photo by Geron Dison on Unsplash