Articoli

Il risarcimento del danno da violazione dei dati personali

All’interno del sistema normativo della protezione dei dati personali, un importante incentivo al rispetto delle prescrizioni vigenti sia per il Titolare e per il Responsabile del trattamento è sicuramente rappresentato dalla presenza di un onere di risarcimento del danno derivante dalla violazione del GDPR.

Una previsione di questo tipo stimola e ha stimolato – certamente nei primi cinque anni di applicazione del GDPR – anche la verifica periodica e l’aggiornamento di misure di sicurezza idonee a impedire la violazione dei dati personali.

L’evoluzione delle disposizioni nel tempo

Questo obbligo trovava già fondamento, ancora prima dell’entrata in vigore Regolamento europeo, a partire dall’art. 15 del D. Lgs. 196/2003 (“Codice Privacy”), che collegava espressamente un trattamento illecito di dati personali alla responsabilità civile di cui all’art. 2050 del Codice civile, considerandola come un’attività pericolosa e sancendo anche la risarcibilità del danno non patrimoniale.

Con l’entrata in vigore del Regolamento europeo, e il relativo recepimento in Italia ad opera del D. Lgs. 101/2018, oggi è l’art. 82 del GDPR che costituisce la norma centrale sulla responsabilità civile nel trattamento di dati personali, e sul conseguente diritto al risarcimento.

Analisi normativa

L’ambito soggettivo

L’art. 82 del GDPR chiarisce, innanzitutto, l’ambito soggettivo del diritto al risarcimento, stabilendo che chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento.

Tale disposizione non è da leggersi nell’ottica di escludere dal novero dei danni risarcibili quelli derivanti da una violazione di disposizioni diverse da quelle del GDPR: in tal senso, il Considerando 146 del Regolamento europeo prevede che le azioni risarcitorie derivanti da violazioni di altre norme del diritto europeo o degli Stati membri non sono pregiudicate, interpretando in modo estensivo la disposizione e considerando tutte le norme relative al trattamento di dati personali.

L’esonero dalla responsabilità

L’art. 82 del GDPR, poi, prevede e disciplina le condizioni per cui il Titolare o il Responsabile del trattamento sono esonerati dalla responsabilità: ciò avviene quando essi dimostrano che l’evento dannoso non è loro in alcun modo imputabile.

Su questo tema, sono numerosi gli indicatori utili a dimostrare che il fatto da cui ha avuto origine il danno non possa essere ricondotto al controllo del Titolare o del Responsabile del trattamento: tutti ruotano però intorno al concetto di responsabilizzazione (“accountability”) che percorre tutto il GDPR.

Ad esempio, la adesione a codici di condotta approvati, o il ricorso a misure tecniche e organizzative efficaci.

Appare importante precisare, in ogni caso, che sarà onere del Titolare o del Responsabile in questione provare che questi indicatori fossero proporzionati al grado di rischio che, in concreto, il trattamento di dati personali presentava.

Il danno risarcibile

Il soggetto interessato che abbia subito un danno dalla violazione dei dati personali può richiedere un risarcimento sia dei danni materiali che di quelli in materiali, e, sul punto, è il Considerando 85 del GDPR a proporre una serie di possibili esempi.Fra di essi:

  • la perdita di controllo sui dati personali,
  • la limitazione dei propri diritti,
  • la discriminazione
  • il furto di identità,
  • perdite finanziarie,
  • pregiudizi alla reputazione.

La responsabilità solidale

Infine, per quanto attiene alle modalità di risarcimento del danno da parte del Titolare o del Responsabile del trattamento, lo spirito della norma è quello di assicurare la maggiore possibilità di risarcimento al soggetto interessato, e pertanto l’art, 82(4) del GDPR prevede la regola della solidarietà passiva dei soggetti obbligati al risarcimento, qualora essi siano coinvolti nello stesso trattamento e abbiano partecipato con condotte attive od omissive all’evento dannoso che ha recato pregiudizio al soggetto interessato.

In altre parole, il soggetto interessato, tenendo a mente (in Italia) anche l’art. 1292 del Codice civile, potrà chiedere il risarcimento del danno per intero a ciascuno dei soggetti obbligati, aumentando la propria possibilità di vedere soddisfatta la propria pretesa risarcitoria.

Dopodiché, saranno i soggetti obbligati a poter esercitare fra di loro un diritto di rivalsa per regolare il pagamento delle quote del debito suddiviso fra di loro.

Conclusioni

La normativa brevemente analizzata in questo articolo permette di fare qualche considerazione sull’effettività della tutela dei soggetti interessati, che vengono lesi qualora sia stato realizzato dal Titolare o dal Responsabile un trattamento dei loro dati non conforme al GDPR.

In particolare, il trattamento illecito dei dati deve aver determinato la lesione di un diritto fondamentale dell’interessato, e da tale operazione illecita deve discendere un danno, che rappresenti quindi la conseguenza diretta della violazione in materia di dati personali.

Oltre ad essere un incentivo alla responsabilizzazione del Titolare e del Responsabile del trattamento, quindi, sembra legittimo affermare che il diritto al risarcimento del danno previsto dall’art. 82 del GDPR sia un ulteriore presidio e una tutela dei diritti dei soggetti interessati.

Infine, si ricorda che il Considerando 146 del GDPR afferma che il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di giustizia dell’Unione europea (“CGUE”), ma, a fronte dell’assenza, ad oggi, di una definizione generale di danno, applicabile indistintamente in qualsiasi ambito è evidente che sarà spesso rimesso alle corti nazionali il delicato compito di delimitare, nella prassi, il confine tra i danni non risarcibili e quelli che invece possono rientrare nell’applicazione delle disposizioni esaminate.

____________________________

Foto di Patrick Perkins su Unsplash

“NEW DEAL” E FEEDBACK SULLE DIRETTIVE A TUTELA DEI CONSUMATORI

La Commissione europea e le autorità di protezione dei consumatori di 23 Stati membri hanno pubblicato i risultati di una ricerca condotta su vari siti di commercio al dettaglio, per verificare la regolarità delle loro pratiche rispetto alla tutela dei consumatori.

Qui il link alla Press Release.

I dati mostrano che quasi il 40% dei siti web dei negozi si affidano a pratiche manipolative, volte a indurre i consumatori a compiere scelte che in realtà non interessano, né sono nel loro interesse: tra queste, ad esempio, ci sono

  • falsi countdown che mettono fretta durante la scelta e l’acquisto dei prodotti;
  • informazioni nascoste;
  • interfacce ingannevoli per indurre i consumatori all’acquisto
  • e molte altre condotte che fanno leva su debolezze delle varie categorie.

Le autorità nazionali ora procederanno con le adeguate procedure e prenderanno le mosse attraverso azioni appropriate.

Questa occasione appare utile per segnalare che la Commissione europea sta raccogliendo feedback, mediante una consultazione pubblica aperta fino al 20 febbraio 2023, sulle principali direttive legate alla protezione dei consumatori, per determinare se esse assicurino un buon livello di protezione nell’ambiente online.

Per incoraggiare a sostenere l’iniziativa legislativa dell’Unione europea e la sua efficace applicazione, ecco un breve quadro delle principali direttive europee a tutela dei consumatori.

Direttiva sulle pratiche commerciali sleali

La “Unfair Commercial Practices Directive” (“UCPD”) venne adottata per la prima volta nel 2005 (Direttiva (CE) 2005/29) e modificata in seguito dalla Direttiva (UE) 2019/2161, che fu anche corredata dal 17 dicembre 2021 di una guida esplicativa, relativa alle principali questioni attinenti alla tutela dei consumatori.

Tra gli argomenti principali di questa normativa risultavano (i) le interazioni con altre normative dell’UE, (ii) le rivendicazioni ambientali e obsolescenza programmata, (iii) la commercializzazione di beni di “doppia qualità”; (iv) gli obblighi delle piattaforme e dei mercati online; (v) la trasparenza dei risultati di ricerca; (vi) le recensioni e i consensi dei consumatori; (vii) l’influencer marketing.

L’obiettivo della Direttiva sulle pratiche commerciali sleali è principalmente quello di accrescere la fiducia dei consumatori e di rendere più facile il commercio transfrontaliero per le aziende, in particolare per le piccole e medie imprese.

Si tratta di una normativa europea generale che regola le pratiche commerciali sleali che si verificano prima, durante e dopo una transazione tra imprese e consumatori. Essa, in particolare, consente alle autorità nazionali di controllo di arginare un’ampia gamma di pratiche commerciali sleali, tra le quali le informazioni non veritiere fornite ai consumatori o le tecniche di marketing aggressive per influenzare le loro scelte.

Direttiva sulle clausole vessatorie

La “Unfair Contract Terms Directive” (93/13/CEE) ha come obiettivo quello di proteggere i consumatori dalle clausole contrattuali standard, precompilate in modo sproporzionato e abusivo e imposte dai professionisti.

Essa si applica a tutti i tipi di contratti sull’acquisto di beni e servizi, ad esempio acquisti online od offline di beni di consumo, abbonamenti in palestra o contratti su servizi finanziari, come i prestiti.

Anche la normativa del 1993 è stata modificata dalla Direttiva (UE) 2019/2161, relativa a una migliore applicazione e modernizzazione delle norme dell’Unione in materia di protezione dei consumatori, nell’ambito del “New Deal” per i consumatori.

Il principio fondamentale che sta alla base di questa normativa non è proibire le clausole contrattuali standard, che anzi facilitano le transazioni commerciali e possono essere utili per stabilire i diritti e gli obblighi delle parti ai sensi di un determinato contratto; essa piuttosto mira a tutelare i consumatori, prevedendo che queste clausole contrattuali (i) siano redatte in un linguaggio semplice e comprensibile, (ii) vedano le ambiguità eventualmente presenti interpretate sempre a favore dei consumatori, (iii) laddove si tratti di clausole abusive, siano rese nulle e non vincolanti per i consumatori.

La Direttiva sui diritti dei consumatori

La “Consumers Rights Directive” fornisce ai consumatori gli stessi diritti in tutta l’Unione europea, allineando e armonizzando le norme nazionali in materia di tutela dei consumatori, ad esempio sulle informazioni che i consumatori devono ricevere prima di acquistare beni, servizi o contenuti digitali e sul loro diritto di annullare gli acquisti online, ovunque effettuino acquisti nell’Unione.

Gli Stati membri non possono discostarsi dalla direttiva, a meno che la direttiva stessa non preveda una specifica possibilità di derogare alle sue norme.

La normativa contiene le informazioni fondamentali che devono essere fornite dai professionisti prima della conclusione di contratti con i consumatori, prevede norme sulla consegna e sul trasferimento dei rischi applicabili ai contratti di vendita di beni e alcune norme applicabili ai contratti stipulati con i consumatori.

________________________________

Foto di Veronika Koroleva su Unsplash

News #4/2023: in arrivo la norma ISO per il Privacy by Design, dovremmo forse implementarla tutti?

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • sarà pubblicato a breve da ISO uno standard in ambito “privacy by design”, che forse permetterà finalmente di definire questa “buzz word” che sentiamo ormai da anni;
  • una nuova newsletter del nostro Garante, e nuove sanzioni assortite;
  • il Data Protection Day e la Convenzione 108;
  • Confindustria prende posizione sulla norma Whistleblowing;
  • Google ha qualche problema anche con il Dipartimento di Giustizia USA.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • fonte inesauribile di approfondimenti e #contenuti in ambito informatico-giuridico, senza farsi mancare diversi spunti di sano #divertimento, il profilo del Prof. Giovanni Ziccardi è un “must” per chiunque – giovane o meno – operi nel nostro settore: c’è sempre da imparare, ogni giorno, qualcosa di nuovo!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

ISO 31700 SULLA PRIVACY BY DESIGN – E’ prevista per l’8 febbraio l’adozione da parte dell’International Organization for Standardization della nuova ISO 31700, riguardo ai requisiti e alle indicazioni su come implementare il principio della “privacy by design”. L’obiettivo della certificazione sarà quello di fornire a tutti i Titolari del trattamento le informazioni necessarie per implementare correttamente l’assetto della protezione dei dati nel processo di gestione dei dati personali all’interno di enti ed organizzazioni, sulla base dei principi del GDPR. In questo modo si consentirà ai consumatori e ai soggetti interessati di far valere in modo ancora più efficace i propri diritti, determinando come progettare i controlli sulla privacy e la gestione dei dati durante il loro ciclo di vita.

NEWSLETTER GARANTE – Pubblicata lo scorso 24 gennaio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionate tre ASL friulane – in particolare, Azienda Universitaria “Friuli Occidentale”, “Friuli Centrale” e “Giuliano Isontina” – per aver classificato i pazienti in relazione al rischio di avere o meno complicanze in caso di Covid attraverso l’utilizzo di #algoritmi; (ii) parere favorevole del Garante in merito alla bozza di decreto legislativo di attuazione della Direttiva 2019/1937 (cd. #DirettivaWhistleblowing); (iii) disponibili le prime indicazioni del Garante al fine di conciliare le esigenze di tutela della privacy in occasione dell’applicazione del #DecretoTrasparenza; (iv) parere favorevole del Garante relativamente alle nuove disposizioni attuative per la #Cartadellacultura – ossia la carta elettronica istituita dalla legge n.15/2020 al fine di contrastare la povertà educativa e promuovere il sostegno della lettura.

DECISIONE VINCOLANTE EDPB WHATSAPP – Lo scorso 24 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha annunciato di aver pubblicato la propria decisione vincolante nell’ambito della controversia promossa dalla DPC (Autorità garante irlandese) nei confronti di #WhatsApp. Come già illustrato nella nostra precedente newsletter, la decisione vincolante – sciogliendo i dubbi interpretativi della DPC – si è posta come fondamento per il provvedimento con il quale l’Autorità capofila ha potuto sanzionare la società. Nello specifico, l’EDPB ha deciso che WhatsApp si era indebitamente basata sul contratto come base giuridica per il trattamento dei dati personali e pertanto ha incaricato il Garante irlandese di completare ulteriormente il provvedimento con una violazione dell’articolo 6(1) del GDPR, nonché una violazione del principio di equità di cui all’articolo 5(1)(a) del GDPR. Inoltre, l’EDPB ha stabilito che il Garante irlandese dovrà svolgere un’indagine sulle operazioni di trattamento di WhatsApp al fine di determinare se tratta (i) categorie particolari di dati personali ai sensi dell’art. 9 del GDPR e (ii) dati personali per finalità di pubblicità comportamentale, per finalità di marketing, nonché per la fornitura di metriche a terzi e lo scambio di dati con società affiliate ai fini del miglioramento del servizio.

GARANTE PRIVACY SULLE INTERCETTAZIONI – L’Autorità Garante per la protezione dei dati ha evidenziato, durante l’audizione al Senato per l’indagine conoscitiva sulle intercettazioni, alcune criticità relative alle intercettazioni come mezzo di ricerca della prova, esprimendosi in particolare su (i) l’utilizzo di sistemi cloud per l’archiviazione delle informazioni raccolte, pericoloso sia per i diritti dei soggetti a cui i dati si riferiscono, sia per l’efficacia e la segretezza dell’azione investigativa; (ii) la particolare invasività dei software-spia che, nell’opinione del Garante, meriterebbe una riflessione da parte dell’organo legislativo in merito all’ambito di applicazione effettiva delle intercettazioni; (iii) sull’attenzione da prestare ai trojan utilizzati in ambito giudiziario.

SPESA E INVESTIMENTI PRIVACY – Il Data Privacy Benchmark report di CISCO ha analizzato gli investimenti effettuati dalle aziende nella privacy negli ultimi anni, individuando un aumento netto delle risorse stanziate per rispondere alle richieste degli utenti in tema di tecnologie e fornire ai consumatori un’effettiva tutela dei diritti. La richiesta di trasparenza da parte delle aziende è risultata essenziale per quasi la metà dei consumatori considerati dal report, e l’approccio di una società al tema della privacy ha mostrato un impatto che va ben oltre la compliance: gli investimenti in materia di privacy generano valore aziendale non solo per le vendite, ma anche per la sicurezza e la fiducia degli utenti. Investire nella privacy permette, come evidenziato dalle analisi di CISCO, di ridurre i ritardi nelle vendite, di mitigare l’impatto dovuto alle violazioni dei dati, di abilitare il processo di innovazione, di operare con maggiore efficienza, di consolidare la fiducia dei clienti e di attirarne di nuovi.

DATA PROTECTION DAY – Nel 2006, il Consiglio d’Europa ha deciso di istituire il Data Protection Day, da celebrare ogni anno in data #28gennaio, nella ricorrenza della Convenzione 108, che fu aperta alla firma nel 1981 per la protezione delle persone riguardo ai trattamenti automatizzati di dati personali. In forza di questa occasione, gli Stati firmatari si impegnarono ad adottare tutte le misure necessarie nel loro diritto interno, e ad applicare i principi stabiliti dalla stessa Convenzione per garantire il rispetto dei #diritti fondamentali delle persone in relazione al trattamento dei dati personali. La Convenzione 108 mira a creare una forte #comunità internazionale intorno alla protezione dei dati, e svolge un #ruolo fondamentale nel #diffondere il modello europeo di protezione dei dati a livello mondiale, essendo spesso utilizzata come fonte di #ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o #armonizzare quelle già esistenti con gli standard internazionali. In Italia, la Convenzione 108 è stata da ultimo recepita con la legge n. 60 del 22 aprile 2021 di Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018. In occasione del Data Protection Day ha luogo, in modo emblematico, la premiazione dello Stefano Rodotà Award, in onore del politico e professore, primo presidente del Garante Privacy che lavorò assiduamente per la promozione dei diritti fondamentali e gettò le basi del diritto alla protezione dei dati europea.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING – Confindustria ha recentemente formulato alcune considerazioni (condensate nel documento cd. Position Paper) in merito alla bozza di decreto legislativo in materia di #whistleblowing elaborato dal Governo per dare attuazione alla Direttiva UE 2019/1937. In via generale, emerge dal documento la necessità che sussista un corretto bilanciamento tra la protezione del segnalante e la tutela dell’azienda (che, da parte sua, potrebbe essere colpita da danni reputazionali, nonchè economici, da un abuso dello strumento. In quest’ottica – più in particolare – Confindustria  reputa eccessiva (i) l’estensione dello strumento della segnalazione nelle PMI e (ii) la divulgazione pubblica delle segnalazioni che – riferendosi a violazioni del Modello 231 – risultino già oggetto di segnalazione interna. Il Paper suggerisce inoltre l’inserimento di una specifica disciplina di tutela.

ANALISI ANAC – Al fine di rafforzare la collaborazione con i Responsabili per la Prevenzione della Concorrenza e per la Trasparenza (RPCT), l’Autorità Nazionale Anticorruzione (ANAC) ha recentemente compiuto – attraverso la somministrazione di un questionario – una analisi delle esperienze e delle criticità riscontrate dagli stessi RPCT. I risultati dei questionari (111 in totale, suddivisi in due gruppi, “Amministrazioni medio-grandi” e “Piccole amministrazioni”) sono stati raccolti dall’Autorità all’interno di un documento (“Analisi di esperienze e criticità rilevate dai Responsabili per la Prevenzione della Corruzione e per la Trasparenza – gennaio 2023”). In particolare, tra gli esiti dell’indagine si registrano (i) difficoltà nell’adempiere alla rotazione del personale, (ii) scarsa sensibilità nei confronti della formazione del personale e (iii) inefficienze relative all’aggiornamento dei dati sulla trasparenza.

AIUTI COVID – Con la sentenza n. 1635 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il sequestro preventivo per indebita percezione di fondi erogati per l’emergenza da Covid-19 è infondato nel caso in cui risultino assenti (i) la condotta ingannatoria del richiedente e (ii) il pericolo di dispersione dei beni. Dichiarando inammissibile il ricorso della Procura – che aveva impugnato il provvedimento di riesame che confermava la insussistenza dei presupposti del sequestro nei confronti della rappresentante legale di una società- gli Ermellini hanno specificato non solo che le condotte poste concretamente in essere dall’indagata erano del tutto lecite ma che, soprattutto, “requisito del provvedimento di sequestro preventivo (…) sia la concisa motivazione anche del ‘periculum in mora’, da rapportare (…) alle ragioni che rendono necessaria l’anticipazione dell’effetto ablativo rispetto alla definizione del giudizio con sentenza”. In altre parole, il Supremo giudice di legittimità esclude categoricamente ogni automatismo decisorio in grado di collegare la pericolosità alla mera natura obbligatoria della confisca.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

GOOGLE – Secondo quanto riportano autorevoli fonti di stampa, pare che il Dipartimento di Giustizia si stia preparando a far causa a Google per la sua #posizionedominante sul mercato della pubblicità digitale. Il colosso di Mountain View è infatti il re indiscusso del settore degli annunci digitali (negli U.S.A. e non solo), detenendo per altro la maggior parte della tecnologia utilizzata per l’acquisto, la vendita e il servizio di pubblicità online ( configurandosi, dunque, come un vero e proprio monopolista). Google – che ha già nel suo cv tre procedimenti legali intentati da altrettanti procuratori generali – viene ora citata in giudizio a livello federale. L’inizio del processo si prevede verso settembre. La denuncia, in particolare, mira a far chiarezza sulla gestione della pubblicità, che farebbe ricavare a google dalle inserzioni l’80% dei suoi ricavi. 

GOOGLE/2 –  Google ha raggiunto un’intesa con l’Unione europa e è impegnato a limitare la propria capacità di apportare modifiche unilaterali agli ordini rispetto a prezzi o cancellazioni, e a creare un indirizzo di posta elettronica riservato alle autorità per la tutela dei consumatori, in modo che quest’ultime possano segnalare e richiedere la rapida rimozione di contenuti illegali. Il risultato di questi adeguamenti saranno informazioni più chiare e accurate sui servizi, con l’obiettivo di allineare le pratiche della piattaforma al diritto dell’Unione europea, in particolare per quanto riguarda la mancanza di trasparenza nei confronti dei consumatori.

CHIPS ACT – La commissione Industria ed energia del Parlamento europeo ha votato favorevolmente il progetto di legge sul Chips Act e, in particolare, ha dato il via libera all’aumento degli investimenti previsti per l’attuazione della normativa. Il Parlamento europeo si è impegnato a creare una rete di centri di competenza per gestire la necessaria formazione di lavoratori specializzati nel settore dei semiconduttori di prossima generazione e sui chip quantistici, con lo scopo di attrarre nuove risorse nella ricerca, nella progettazione e nella produzione. Il progetto permetterà di garantire che l’Unione europea sia all’avanguardia nella ricerca e nell’innovazione, che abbia un ambiente favorevole alle imprese, un processo di autorizzazione rapido e che investa in una forza lavoro qualificata per il settore dei semiconduttori.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO 

RUSSIA – Il Ministero dello sviluppo digitale, delle telecomunicazioni e dei mass media della Federazione russa ha annunciato di aver creato un “Centro nazionale per la crittografia digitale”. Tra i compiti del Centro – che verrà lanciato nel 2024 con l’obiettivo di diffondere l’uso di metodi di protezione crittografica – (i) lo sviluppo di produttori nazionali di strumenti di protezione crittografica, (ii) la formazione pratica per specialisti della sicurezza delle informazioni e lo sviluppo di strumenti per la protezione dei dati personali.

USA

  • NEW YORK

E’ stato presentato all’Assemblea dello Stato di New York il disegno di legge sulla protezione della privacy online dei dipendenti e degli studenti, che, a tutela di queste categorie di soggetti interessati, (i) limita i poteri del datore di lavoro nell’accedere a dati personali riguardo ai propri dipendenti e (ii) garantisce il rispetto delle tutele sui dati personali degli studenti da minacce alla sicurezza dei sistemi delle istituzioni educative.

  • HAWAII

E’ stato proposto al Senato delle Hawaii e approvato in prima lettura il 23 gennaio 2023 il disegno di legge sulla protezione dei dati personali, che mira a stabilire un quadro per regolamentare l’accesso dei titolari e dei responsabili del trattamento ai dati personali dei consumatori e introduce sanzioni e un nuovo fondo speciale per la privacy dei consumatori.

SANZIONI:

  • SPAGNA – L’autorità garante spagnola (“AEPD”) ha sanzionato il Dipartimento dell’Istruzione, della Cultura e dello Sport che, in qualità di Titolare del trattamento, ha condiviso via email con i vari dipartimenti un foglio Excel, contenente nome, cognome, carta d’identità e posizione lavorativa di oltre 200 dipendenti pubblici. 
  • GERMANIA – Il Tribunale regionale di Amburgo ha ritenuto illegittimo il trattamento di dati sanitari conservati in un registro dei tumori. Nonostante la natura del trattamento soddisfasse i caratteri previsti dall’art. 9(2) del GDPR, sarebbe stato però necessario fornire maggiori garanzie di sicurezza, anche a norma delle vigenti leggi nazionali, che invece risultavano carenti.
  • NORVEGIA –  L’autorità garante norvegese (“Datatilsynet”) ha ammonito la Chiesa locale per violazione dei diritti degli interessati ai sensi del GDPR in quanto, in qualità di Titolare del trattamento, raccoglieva le informazioni sulle nuove nascite dal registro nazionale della popolazione, divulgate sulla base della legislazione nazionale, compresi i dati particolari dei neonati, e, se almeno un genitore era un membro della comunità religiosa, il Titolare iscriveva i neonati come “persone affiliate”) in un registro.
  • ROMANIA –  L’autorità rumena per la protezione dei dati ha sanzionato una società nel settore degli elettrodomestici, che, da Titolare del trattamento, inviava SMS pubblicitari al soggetto interessato anche dopo la richiesta di quest’ultimo di essere cancellato dall’elenco del Titolare, condotta effettuata in violazione del diritto all’oblio.
Non è stato fornito nessun testo alternativo per questa immagine

SEZIONE SPECIALE: NOVITA’ DAL MONDO CYBERSEC

NIS2 E SICUREZZA INFORMATICA – Anche a seguito del recepimento della Direttiva NIS 2 (“Network and Information Security”) vengono sempre più in rilievo gli ambiti da implementare per la sicurezza informatica, che non viene vista solo come un insieme di strumenti e mezzi tecnici per prevenire gli attacchi, ma come un insieme di misure organizzative al centro delle quali è posta un’efficace politica di formazione del personale. Dal momento che il lavoro delle società in vari settori non può prescindere dai sistemi informatici, proteggere tali sistemi e i dati in essi contenuti diventa sempre più cruciale, così come definire delle procedure di emergenza in caso di attacco e dei piani di ripristino, in modo analogo a quanto succede per le grandi emergenze o catastrofi naturali. Il framework della Direttiva si articola in diverse azioni, fra le quali (i) l’identificazione dei rischi della tecnologia da parte degli utenti; (ii) la protezione dei sistemi informatici su cui gli utenti operano; (iii) la formazione del personale; (iv) i piani di emergenza predisposti e (v) i piani di ripristino approvati dalla società.

PIANO INFORMATICA PER PA DIGITALE – L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pubblica Amministrazione per il periodo dal 2022 al 2024, redatto in collaborazione con numerosi altri dipartimenti, che recepisce ed estende i contenuti del PNRR e rappresenta un’opportunità di accelerare e migliorare l’esecuzione della transizione digitale della Pubblica Amministrazione. Il nuovo Piano triennale favorisce, infatti, lo sviluppo di una società digitale, cerca di promuovere lo sviluppo sostenibile, etico e inclusivo, attraverso l’innovazione e la digitalizzazione al servizio delle persone, delle comunità e dei territori, nel rispetto della sostenibilità ambientale, e di contribuire alla diffusione delle nuove tecnologie digitali nel tessuto produttivo italiano, incentivando la standardizzazione, l’innovazione e la sperimentazione nell’ambito dei servizi pubblici.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Joshua Sortino grazie a Unsplash.

AGCM sanziona eCommerce: tutela dei consumatori e doveri dei professionisti

L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha inflitto una sanzione di oltre 5 milioni a una società operante nel settore delle vendite online di capi di abbigliamento, calzature e altri beni di moda, lusso e design, che opera, tra i vari canali, anche attraverso il proprio sito di eCommerce.

Questo articolo analizza le condotte realizzate dalla società e le motivazioni che hanno portato l’AGCM alla sanzione, a seguito dell’istruttoria condotta fra il 2019 e il 2022.

L’analisi della pronuncia è molto utile sia a chiarire il quadro entro cui i consumatori posso esercitare i propri diritti, sia a rendere consapevoli i venditori professionali dei propri doveri e dei comportamenti da tenere a norma di legge.

L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti

A seguito dell’attività istruttoria da parte dell’AGCM, che ha preso avvio sulla base delle segnalazioni di diversi consumatori, è emerso come la società avesse deliberatamente privato i consumatori della facoltà di effettuare degli acquisti, nel caso in cui essi superassero determinate soglie di resi.

Tale operazione è stata realizzata attraverso l’annullamento dei rispettivi ordini online, in assenza di alcuna informativa al riguardo al consumatore.

È emerso che la società venditrice monitorava il numero di proposte di ordine trasmesse e di resi effettuati dai clienti, mantenendo volutamente molto generico, nei report interni, il numero dei resi registrati – proprio perché, legalmente, non sarebbe stato possibile mettere per iscritto che gli ordini venivano rifiutati nel caso di un numero di resi elevato.

La società aveva agito, infatti, nella piena consapevolezza che la propria condotta costituisse una violazione del Codice del Consumo, che agli artt. 52 e ss. stabilisce che, per le proposte contrattuali a distanza, il consumatore ha diritto di recedere senza alcuna penalità e senza specificarne il motivo entro 14 giorni lavorativi.

Il consumatore, a ulteriore aggravio della situazione a carico della società, non veniva mai informato, se non per modalità telefoniche, nel caso in cui prendesse contatti con il dipartimento Customer Care della società, del blocco del proprio account, fino a che non andava ad effettuare un nuovo acquisto.

La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati

Dalle analisi dell’AGCM, e attraverso un sistema automatizzato di monitoraggio storico dei prezzi riportati sul sito di eCommerce, è emerso che il la società risulta aver pubblicizzato un prezzo finale di rivendita scontato, che graficamente veniva anche rappresentato sul sito di e-commerce a fianco del presunto prezzo pieno barrato, sostanzialmente equivalente a quello non scontato praticato prima della promozione.

A tale proposito, nella risposta alla richiesta di informazioni in fase istruttoria, la società ha giustificato la propria condotta sulla base dell’asserita necessità di effettuare un repricing in significativo aumento dei prodotti, poco prima del periodo dei saldi invernali, a seguito del precedente riassortimento dei prodotti.

La società ha anche precisato che i prezzi di rivendita dei prodotti non sarebbero correlati a quelli di acquisto presso i diversi fornitori, in quanto il metodo di determinazione dei prezzi non è quello di ricaricare un margine o moltiplicatore – tipicamente standard – sul costo di acquisto dei capi.

È così emerso che la società, nel ridefinire i prezzi dei beni oggetto di riassortimento, al fine di allinearli a quanto pianificato per mantenere alte le marginalità e i profitti, prospettava ai consumatori un prezzo finale scontato di diversi prodotti che, in realtà, risultava sostanzialmente analogo al prezzo pieno effettivamente praticato dallo stesso negozio prima del repricing.

Diversamente, quello che invece la società prevedeva come presunto prezzo pieno (graficamente barrato), risultava determinato dalla società stessa solo a seguito del repricing, e veniva applicato dallo stesso solo per brevi periodi, immediatamente precedenti le promozioni.

I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori

Con riferimento alla gestione dei resi, alcune segnalazioni pervenute all’AGCM avevano ad oggetto ritardi nel rimborso e difficoltà ad esercitare il diritto di recesso.

È emerso anche dalle analisi operate dalla Guardia di Finanza che circa il 23% di tutti i reclami acquisiti dal web riguardasse proprio i resi e i rimborsi, riferendosi a problematiche riscontrate dai consumatori nell’esercizio del diritto di recesso.

Nonostante la società avesse riferito che il tempo medio di rimborso a seguito di annullamento unilaterale dell’ordine sarebbe stato di circa 13 ore dal momento nel quale si era verificato l’indebito pagamento, in realtà, nei diversi casi di restituzione dei prodotti a seguito di recesso i tempi dei rimborsi si sarebbero realizzati in almeno due mesi dalla richiesta di reso.

Considerazioni conclusive

L’AGCM ha sanzionato la società in quanto la pratica commerciale attuata si connotava in termini di aggressività, in contrasto con il dovere di diligenza gravante sulla società-professionista ai sensi del Codice del Consumo, che sfruttava indebitamente la propria posizione di supremazia nell’ambito della procedura d’acquisto online, inibendo la facoltà dei consumatori di effettuare nuovi acquisti, senza fornire alcuna informazione né instaurare alcuna forma di contraddittorio.

Tale modalità d’intervento configura infatti un indebito condizionamento, idoneo a limitare considerevolmente la libertà di comportamento dei consumatori, che allo stesso tempo riduce la facoltà di esercitare, di fatto, il diritto di recesso.

È importante rilevare che, a tutela del consumatore, quest’ultimo deve disporre contestualmente all’acquisto e fin dal primo contatto con il professionista di tutte le informazioni utili ad assumere una decisione di natura commerciale.

L’AGCM ha provveduto alla sanzione anche date le modalità di informazione dei consumatori rivelatesi complessivamente decettive.

Dalle evidenze acquisite dall’Autorità è emerso infatti che le frequenti oscillazioni e modifiche dei prezzi da parte della società, anche attraverso l’offerta di sconti ulteriori rispetto a prodotti già scontati, generavano confusione nei consumatori e li inducevano in errore circa il prezzo di riferimento rispetto al quale veniva applicato lo sconto – non essendo chiaro quale fosse il prezzo più basso applicato dalla società.

L’intervento dell’AGCM si inquadra nella più generale attività di enforcement, volta ad assicurare il corretto ed equilibrato sviluppo dell’eCommerce.

Assume, inoltre, fondamentale importanza la corretta e trasparente informazione sulle principali leve economiche e concorrenziali su cui si fondano le decisioni commerciali dei consumatori, come i prezzi e gli sconti applicati, soprattutto alla luce dei recenti interventi in materia da parte del legislatore europeo e nazionale.

________________________________

Foto di Bruno Kelzer grazie a Unsplash

News #2/2023: Corte di Giustizia, EDPB, giurisprudenza italiana e AGCM, quante decisioni.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB rende #pubblica la propria decisione che ha “imposto” la sanzione a #Meta;
  • la Corte di Giustizia dell’UE ha pubblicato due #decisioni molto impattanti sulla compliance aziendale, che richiedono una riorganizzazione della gestione delle istanze degli interessati;
  • novità in materia di #accessibilità dei siti web e delle app, direttamente da #AgID;
  • dalla #giurisprudenza 231 arrivano importanti indicazioni in materia di confisca e infortuni sul lavoro;
  • importante sanzione #AGCM a Yoox.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • spunti e approfondimenti, sempre attuali, delle principali novità in materia privacy e data protection sul profilo LinkedIn di data TENET®, che seguiamo attentamente anche noi in Project:IN per non perderci mai una news!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Slow Dancing in a Burning Room – John Mayer (2006 – “Continuum”)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE VINCOLANTE EDPB SU META –  Lo scorso 12 gennaio il Comitato europeo per la protezione dei dati personali (EDPB) ha annunciato di aver pubblicato le sue decisioni vincolanti nell’ambito delle controversie promosse dal Garante irlandese contro Meta in relazione ai servizi Instagram Facebook.  Le decisioni, adottate ex art. 65 GDPR, costituiscono il risultato di una serie di indagini e valutazioni condotte dall’EDPB – e recepite dalla DPC irlandese all’interno del suo provvedimento dello scorso 31 dicembre 2022 –  circa la trasparenza e la liceità del trattamento relativo alla pubblicità comportamentale attuata dalle due piattaforme. All’appello manca ora soltanto la decisione vincolante relativa a WhatsApp, che arriverà non appena il Garante irlandese avrà pubblicato la propria decisione a riguardo.

I RICORSI SECONDO LA CGUE… – La Corte di Giustizia dell’Unione europea (CGUE) ha emesso una sentenza in materia di ricorsi amministrativi e civili previsti dal GDPR. La questione aveva preso le mosse da un ricorso amministrativo presentato all’Alta Corte di Budapest da un individuo il quale, avendo preso parte ad una riunione della società NAIH e avendo esercitato il diritto di accesso alle registrazioni della seduta, si era visto consegnare soltanto gli estratti che riproducevano i suoi interventi. Il soggetto, inoltre, aveva contestualmente avviato avverso la decisione della società anche un procedimento in sede civile, basata sul diritto sancito dal GDPR  di proporre ricorso giurisdizionale in caso di violazione dei diritti in esso stabiliti. Interpellata circa la possibilità che uno dei due rimedi abbia prevalenza sull’altro – soprattutto al fine evitare contrasti tra giudicati – la CGUE ha chiarito che il GDPR non prevede alcuna gerarchia tra i rimedi amministrativi e civili, sottolineando che è demandato ai singoli stati membri il compito di garantire che il concorso dei rimedi attribuiti agli interessati non mettano in dubbio l’effettività e la tutela dei loro diritti.

… E L’ESERCIZIO DEI DIRITTI SECONDO LA CGUE – In un’altra importante decisione della scorsa settimana, la Corte ha stabilito che un interessato ha #diritto a conoscere tutti (nessuno escluso!) i destinatari dei propri dati personali, a cui un titolare oggetto di istanza di accesso ha trasferito tali informazioni. Non è sufficiente, secondo la Corte, l’indicazione delle (sole) categorie di destinatari, ma la loro elencazione analitica, salvo che sia tecnicamente impossibile o comunque di un livello di complessità molto alto, ovvero nel caso in cui la richiesta sia manifestamente infondata o eccessiva – casi molto molto rari, è utile chiarirlo subito. In sostanza, sulle istanze di accesso ai dati personali ogni azienda dovrà rivedere profondamente i propri strumenti di analisi e risposta, in tempi brevi.

TIKTOK vs. CNIL – Con il comunicato stampa dello scorso 12 gennaio, l’Autorità francese per la protezione dei dati (CNIL) ha annunciato di aver sanzionato il social network TikTok per 5 milioni di euro in ragione della violazione della ePrivacy Directive e della legge locale francese, ritenendosi direttamente e territorialmente competente a emettere tale sanzione nei confronti di due società con sede in UK e Irlanda di proprietà del colosso cinese, ritenendo non direttamente applicabile il regime di one-stop-shop di cui al GDPR.

PUBBLICAZIONE DI VIDEO DI MINORI – Eva Kaili, ex vicepresidente del Parlamento Europeo nonché una dei protagonisti dello scandalo ormai noto come #Quatargate, ha di recente ricevuto la visita della figlia (minorenne) nel carcere di Haren. La notizia, che ha fatto il giro di tutta l’Europa, è stata corredata dalla stampa online da un video nel quale si vede chiaramente la minore. La questione non è passata inosservata agli occhi del Garante italiano il quale, con un comunicato stampa diffuso lo scorso 9 gennaio, ha definito il video lesivo della personalità e dello sviluppo psico-fisico della bambina in quanto comporta la permanenza di immagini che violano riservatezza e anonimato per un tempo potenzialmente infinito. L’Autorità ha pertanto invitato gli organi di stampa e i social media ad astenersi dal diffondere tali immagini, soprattutto alla luce del fatto che il contenuto non si connette ad alcun interesse pubblico rispetto alla vicenda del Qatargate. A tal fine, il Garante richiama le regole deontologiche connesse alla professione di giornalista e la Carta di Treviso, che impone una tutela rafforzata in caso di soggetti minorenni.

PROTOCOLLO DI INTESA PER LA CYBERSECURITY –  Con il comunicato stampa del 11 gennaio, l’Agenzia Nazionale per la Cybersecurity (“ACN”) ha annunciato la firma del protocollo di intesa sulla sicurezza informatica con la Camera dei dei Deputati, che si inserisce sia in un contesto globale sempre più complesso per la cybersicurezza, sia nel percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In particolare, lo scambio efficace di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce informatiche, la realizzazione di collaborazioni attraverso la definizione di best practice, nonché l’aggiornamento e la formazione del personale, rivestiranno una notevole importanza che permetterà di avviare un confronto qualificato a tutela dell’Istituzione e nell’interesse generale del Paese.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DATI DALLA GIURISPRUDENZA DEL TRIVENETO – L’Osservatorio 231 del Dipartimento di diritto pubblico, internazionale e comunitario dell’Università degli Studi di Padova ha recentemente pubblicato un documento di sintesi relativo alle categorie di reati-presupposto maggiormente trattati dai tribunali del Triveneto (Trentino – Alto Adige, Veneto e Friuli – Venezia Giulia) nel triennio 2019-2021. In primo luogo, il report segnala una significativa riduzione dei procedimenti 231 nell’area geografica di riferimento nell’anno 2020, dato chiaramente influenzato dalla generalizzata riduzione delle attività imprenditoriali a causa dell’emergenza pandemica. Per quanto riguarda l’analisi delle categorie di reato riscontrate, il 70% degli illeciti sono relativi a reati contro la pubblica amministrazione, ambientali e di omicidio e lesioni colpose derivanti dalla violazione della normativa dettata in materia di salute e sicurezza. In crescita, tuttavia, il trend relativo ai reati tributari.

OPERAZIONI TRANSFRONTALIERE – Lo schema di decreto legislativo di recepimento della Direttiva (UE) 2019/2121, presentato dal Governo il 9 dicembre 2022 e sul quale il Parlamento si dovrà esprimere con un parere entro il 19 gennaio 2023, (i) propone l’armonizzazione delle disposizioni sulle operazioni di trasformazione e scissione transfrontaliera, (ii) modifica la disciplina della fusione societaria. L’obiettivo della normativa è quello di fornire alle società nuove possibilità di crescita economica, di concorrenza effettiva e di produttività, senza rinunciare a garantire elevati livelli di protezione sociale. Inoltre, la normativa punta a facilitare le trasformazioni, fusioni e scissioni transfrontaliere delle aziende dell’Unione europea, al fine di assicurare una maggiore mobilità ed eliminare barriere ingiustificate alla libertà di stabilimento nel mercato unico europeo. A tal fine, si prevede il rilascio di un certificato preliminare come esito della regolare presentazione di progetti di operazioni transfrontaliere. Lo schema impone inoltre sanzioni penali in caso di false o omesse dichiarazioni in relazione alla sussistenza delle condizioni richieste per il rilascio del citato certificato – illecito peraltro inserito, nella proposta del Governo, all’interno del catalogo dei reati-presupposto del Decreto 231 attraverso la modifica dell’art. 25-ter.

CONFISCA DI PREVENZIONE MAFIOSA – La Corte di Cassazione si è recentemente pronunciata, nella sentenza n. 47388/2022 (qui su IusinItinere), sui presupposti applicativi della misure di prevenzione patrimoniale della confisca. Nel caso di specie, la confisca era stata posta in essere nei confronti di un indagato per appartenenza ad un’associazione mafiosa. La Corte ha ritenuto applicabile la misura, nonostante fosse possibile determinare il momento iniziale e finale della pericolosità qualificata, anche su beni acquisiti in periodo successivo a quello di cessazione della condotta permanente. Questo perché sono risultate una serie di evidenze di fatto che hanno provato la diretta derivazione delle acquisizioni patrimoniali dalla provvista nel periodo di compimento dell’attività delittuosa. 

INFORTUNI SUL LAVORO – La Corte di Cassazione è intervenuta recentemente con la sentenza 570/2023 a sottolineare alcuni principi in materia di infortuni sul lavoro e responsabilità 231. La società ricorrente era stata condannata, in primo luogo, per non aver svolto adeguate valutazioni relative ai fornitori, che erano previste, in realtà, dal Modello organizzativo; e secondariamente per non avere predisposto a norma alcune infrastrutture lavorative, nonostante la loro corretta edificazione fosse prevista dalla disciplina aziendale. Le mancanze sono state ritenute imputabili all’Amministratore della società, in qualità di datore di lavoro e in quanto tenuto al rispetto delle norme in materia di sicurezza e prevenzione. I giudici di legittimità, nell’indagine sulla configurabilità dell’illecito per la società, hanno stabilito che le condotte colpose dei soggetti-persone fisiche, presupposto dell’illecito amministrativo, rilevano laddove sia riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal Decreto 231. È la carenza di tali misure organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, che giustifica il rimprovero e l’imputazione dell’illecito al soggetto collettivo, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui).

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

YOOX vs. AGCM – Il comunicato stampa emesso da AGCM lo scorso venerdì 13 gennaio ha portato cattive notizie per un importante player del settore eCommerce, YOOX Net-a-Porter Group. L’Autorità Garante ha infatti ravvisato, in un’azione di monitoraggio nel periodo 2019-2022, gravi comportamenti da parte della società consistiti, tra le altre cose, in (i) l’annullamento di ordini online già perfezionati al superamento, da parte del consumatore, di determinate soglie di “reso”, (ii) un comportamento ingannevole riguardo ai prezzi esposti, consistiti – a seconda del periodo – in un aumento del prezzo poi oggetto di sconto (cosicchè di fatto sconto non vi era), oppure in un calcolo dello sconto su un prezzo “medio” presente sul mercato, e non su quello effettivamente praticato dall’eCommerce. Tutto questo, senza alcuna trasparenza verso il consumatore: di conseguenza, la sanzione è stata calcolata in ben 5 milioni di euro, oltre alla necessità (entro 60 giorni) di indicare da parte della società i correttivi che intende introdurre per superare i rilievi mossi.

ACCESSIBILITA’ DEI SITI WEB E DELLE APP – Nei giorni scorsi AgID (“Agenzia per l’Italia digitale”) ha pubblicato una circolare con i chiarimenti interpretativi sull’estensione da parte del DL 76/2020 di alcuni vincoli già in essere per le Pubbliche Amministrazioni dal 2004, in merito a specifici strumenti per consentire l’utilizzo di siti web e applicazioni mobile anche a soggetti con disabilità. Sono interessati da tale provvedimento i soggetti che offrono servizi al pubblico e che hanno conseguito un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia inclusione delle persone con disabilità verso servizi essenziali o comunque di largo accesso.

USO DEI SOCIAL – Interessante report annuale di MGP & Partners sull’utilizzo dei social network, disponibile seguendo questo link: per i brand, tra le altre cose, emerge come di grande importanza la capacità di #ascoltare con più attenzione le esigenze dei consumatori, in un mondo iper connesso e dove anche l’opinione del singolo, ormai, conta.

TWITTER – L’ondata di licenziamenti che ha segnato le #BigTech nel corso dello scorso 2022 pare non essersi fermata. A far parlare di sé è ancora una volta #Twitter, che comincia il nuovo anno con il licenziamento di circa 12 dipendenti del team di moderazione dei contenuti impiegati nelle sedi di Singapore e Dublino. In particolare, pare che i dipendenti coinvolti nel taglio avessero il compito di agire per il contrasto della disinformazione online. 

TIKTOK – Il nuovo set normativo europeo in materia di dati personali comincia a mostrare la sua forza oltre i confini dell’Unione. Lo scorso 10 gennaio, l’amministratore delegato di TiTok (Shou Zi Chew) è stato attenzionato – nel corso di una giornata fitta di incontri con alcuni dei commissari europei – del fatto che la società deve tornare a guadagnarsi la fiducia dell’Unione. Tra i vari argomenti trattati, di particolare importanza (i) la sicurezza dei minori, (ii) la trasparenza dei contenuti politici a pagamento e (iii) la conformità, appunto, con la nuova normativa europea in materia di privacy, in particolare con il Digital Services Act e il Digital Markets Act.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA/1 – La Federal Communications Commission (“FCC”) ha annunciato la propria bozza di regolamento che aggiornerà i requisiti di segnalazione delle violazioni dei dati relativi alle reti proprietarie dei clienti (“CPNI”). In particolare, la FCC ha spiegato che intende allineare le sue regole con i recenti sviluppi delle leggi federali e statali sulla violazione dei dati, vigenti in altri settori. In particolare, la normativa proposta mira a (i) rimuovere l’attuale periodo di attesa obbligatorio di sette giorni lavorativi per la notifica ai clienti di una violazione, (ii) a richiedere la notifica al consumatore da parte dei vettori di violazioni involontarie e (iii) a imporre la notifica di tutte le violazioni segnalabili al FCC, il Federal Bureau of Investigation (“FBI”) e i servizi segreti statunitensi.

USA/2 – La Federal Trade Commission (“FTC”) ha di recente annunciato di aver emesso un ordine contro la società Drizly LLC per violazione del Federal Trade Commission Act. In particolare, sono emerse importanti falle nel sistema di sicurezza della società che hanno comportato la violazione di dati personali di circa 2,5 milioni di consumatori. Secondo quanto riferito dalla FTC, sebbene fosse già stata avvisata negli scorsi anni della vulnerabilità dei propri sistemi, la società non aveva di fatto provveduto ad adottare misure idonee a garantire un’adeguata protezione dei dati. Nell’ordine emesso dall’Autorità viene richiesto a Drizly, tra le altre cose, di (i) attuare un programma di sicurezza delle informazioni e stabilire garanzie di sicurezza, (ii) dichiarare sul proprio sito web le categorie di informazioni che raccoglie e i motivi per cui tale raccolta è necessaria e (iii) distruggere tutti i dati raccolti senza necessità, nonché astenersi dal raccogliere in futuro dati e informazioni non necessari per gli scopi prefissati in apposito programma di conservazione.

REGNO UNITO/1 – Il Center for Data Ethics and Innovation (“CDEI”) ha aggiornato l’Algorithmic Transparency Recording Standard, a seguito di una fase pilota in tutto il settore pubblico. Il CDEI ha affermato che lo standard aiuterà le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano, e sul motivo per cui li utilizzano, dato che la trasparenza in questo settore richiede apertura su come gli strumenti algoritmici supportano il processo decisionale, e sulle decisioni assistite da algoritmi in un formato completo, aperto, comprensibile, facilmente accessibile e gratuito.

REGNO UNITO/2 – Lo scorso 10 gennaio la FCA (Financial Conduct Authority) ha annunciato di aver emesso un avviso con il quale ha sanzionato la Guaranty Trust Bank (UK) per importanti lacune in materia di antiriciclaggio nel periodo compreso tra l’ottobre 2014 e il luglio 2019. Secondo l’Autorità, nel lasso temporale preso a riferimento, la Guaranty Trust Bank non ha adeguatamente compiuto valutazioni in merito al rischio dei clienti, non valutando e/o documentando, in particolare, i rischi connessi ad attività di riciclaggio. Per tali motivi, la banca è stata raggiunta da una sanzione di ben 7,6 milioni di sterline.

SLOVENIA – La legge sulla protezione dei dati personali (“ZVOP-2”) è stata pubblicata nella Gazzetta ufficiale, dopo essere stata adottata dall’Assemblea nazionale della Repubblica di Slovenia il 15 dicembre 2022. In particolare, la ZVOP-2, che recepisce il GDPR nella legislazione locale, entrerà in vigore il 26 gennaio 2023, sostituendo così l’attuale legge sulla protezione dei dati personali del 2004.

WASHINGTON D.C. – Il Procuratore Generale (“AG”) ha annunciato un accordo di $ 9.500.000 con Google LLC per dirimere la controversia sorta in seguito alle pratiche di tracciamento della posizione di Google, che si era impegnata in pratiche ingannevoli, tra le quali una serie di attività che avrebbero ripetutamente spinto gli utenti ad abilitare la posizione in determinate app, per la ragione che i prodotti non avrebbero funzionato correttamente se la posizione non fosse stata abilitata. L’accordo stabilisce anche che, entro 180 giorni dalla data di entrata in vigore, Google dovrà predisporre un report che dimostri il proprio rispetto dell’accordo. 

GIAPPONE –  il ministero dell’Interno e delle comunicazioni giapponese (“MIC”) ha aperto una consultazione pubblica, che durerà fino al 30 gennaio 2023, sulla bozza di orientamento sui danni causati da un attacco informatico, sottolineando che, con l’aumentare della minaccia di attacchi informatici, sarà vantaggioso sia per l’organizzazione lesa che per la collettività condividere le informazioni sugli attacchi informatici, per chiarire l’intera portata degli eventuali danni e rafforzare le contromisure da adottare.

INDIA – Il Ministero dell’elettronica e dell’informatica indiano (MeitY) ha di recente reso pubbliche le bozze di modifica delle linee guida in materia di giochi online (“Linee guida per gli intermediari e codice etico dei media digitali 2021”, cd. Regolamento IT) e ne ha contestualmente avviato una consultazione pubblica. Le ragioni delle modifiche vanno ricercate nella necessità che (i) i giochi online siano offerti in conformità alle leggi indiane e (ii) che gli utenti siano tutelati dai potenziali danni. Tra le novità proposte figura, tra le altre cose, anche la previsione che un intermediario di giochi online osservi, nell’adempimento dei propri doveri, la due diligence richiesta dal Regolamento IT – che impone, tra le altre cose, di compiere ogni sforzo ragionevole per evitare che i propri utenti agiscano in maniera non conforme alla legge indiana, anche in materia di gioco d’azzardo.

SPAGNA – L’autorità spagnola per la protezione dei dati (“AEPD”) ha annunciato, il 10 gennaio 2023, che oltre 100.000 Data Protection Officers (“DPOs”) sono registrati nel registro pubblico previsto sia per il settore pubblico che per quello privato, per i settori in cui la nomina è obbligatoria. Inoltre, l’AEPD ha specificato che il registro è a disposizione dei cittadini per accedere ai dati di contatto degli DPO, per ottenere informazioni sul trattamento dei propri dati personali, esercitare i propri diritti o presentare un reclamo. 

GERMANIA – L’Ufficio federale dei cartelli (Bundeskartellamt) ha reso noto di aver inviato ad Alphabet Inc., Google Ireland Ltd. e Google Germany GmbH la propria valutazione circa le condizioni di trattamento dei dati operate da Google. Nella valutazione il Bundeskartellamt ha evidenziato che gli utenti di Google dispongono solo di un minimo margine di scelta in merito all’accettazione dell’ampio trattamento di dati effettuato da Google. Al momento l’Autorità ha basato la propria valutazione esclusivamente sulla normativa tedesca dettata in materia di concorrenza, tuttavia appare più che verosimile che in futuro si applicherà, in casi simili, la nuova normativa europea del Digital Markets Act (DMA).

BELGIO – L’Autorità belga per la protezione dei dati ha aggiornato e comunicato la propria decisione nei confronti del’Interactive Advertising Bureau (“IAB”), in cui ha stabilito di aver imposto allo stesso una sanzione di € 250.000 per violazioni del GDPR. L’autorità belga ha confermato il piano di azione del IAB volto a rendere il trattamento dei dati personali nel contesto del Transparency and Consent Framework conforme alle disposizioni del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Matt Duncan grazie a Unsplash.

Il caso “Google Analytics”

Google Analytics (o anche “GA”) è senza alcun dubbio il servizio di web analytics più conosciuto e utilizzato al mondo.

Lanciato nei primi anni 2000 col nome di “Urchin on Demand” dalla Urchin Software Corporation –  società poi acquisita dal colosso di Mountain View, che ha provveduto al cambio nome – Google Analytics consente ai suoi utilizzatori di analizzare statistiche, anche molto dettagliate, sugli utenti visitatori del sito web sul quale viene installato.

Nel corso degli anni, soprattutto con l’avvento dell’e-Commerce, lo strumento è stato utilizzato sempre più al fine di raccogliere ed analizzare dati (anche personali) a fini di marketing.

Nelle statistiche di Google Analytics, infatti, confluiscono una serie importante di dati dei visitatori che (come l’indirizzo IP e altre informazioni del browser utilizzato, come ad esempio la lingua utilizzata, l’area geografica di provenienze) riescono a fornire indicazioni piuttosto “univoche” e particolare sul profilo dell’utente tracciato.

È infatti la profilazione il fine ultimo di tali analisi, e cioè la creazione di un “profilo utente” in grado di consentire a chi usa Google Analytics per il proprio business di ricostruire i gusti, le abitudini e le preferenze dell’utente ai fini della pubblicità personalizzata (anche detta “online adv”, advertising su internet).

Data la particolare “delicatezza” che caratterizza l’attività di analisi di GA – unitamente al fatto che l’utilizzo dello strumento inevitabilmente comporta il trasferimento dei dati trattati verso gli Stati Uniti – Google Analytics ha attirato su di sé gli occhi di alcune Autorità garanti europee, le quali si sono pronunciate in termini di inutilizzabilità alla luce della sua incompatibilità con la normativa dettata dal GDPR.

Ma vediamo bene il perché…

Sentenza “Schrems I”

L’avvocato e attivista austriaco Maximilian (Max) Schrems, fondatore di NOYB (None of your business) – organizzazione no profit che lotta da anni nel campo della protezione dei dati personali – ha sollevato la questione della pericolosità dei trasferimenti verso gli Stati Uniti quando nel 2013, in una causa intentata nei confronti di Facebook Ireland, ha affermato che la decisione di adeguatezza relativa ai trasferimenti UE-USA 2000/520 CE (nota come “Safe Harbor Privacy Principles”, o anche, più semplicemente “Safe Harbor”) non fosse in grado di garantire efficacemente i diritti dei cittadini europei.

Le leggi federali statunitensi, infatti, consentono alle agenzie governative un ampio margine di libertà di accesso ai dati conservati e trattati dalle aziende locali, libertà che si estende anche ai dati importati dall’Unione.

La causa, più in particolare, ha trovato le proprie origini nelle (allora) recenti dichiarazioni di Edward Snowden – informatico ed ex collaboratore della CIA – secondo le quali la NSA (l’Autorità statunitense per la sicurezza nazionale) aveva condotto per anni attività di sorveglianza di massa, dichiarazioni note ai più con il nome di “Datagate”.

All’esito del giudizio, il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza (cd. Schrems I) con la quale – accogliendo la tesi del ricorrente – ha stabilito l’invalidità del Safe Harbor.

Sentenza “Schrems II”

In seguito alla caduta del Safe Harbor, la Commissione Europea è corsa ai ripari, provvedendo a negoziare con il Governo USA un nuovo accordo (e relativa decisione di adeguatezza) in grado di giustificare e rendere ammissibili tali trasferimenti (la 2016/1250 UE), conosciuta anche col nome di “Privacy Shield”.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) si è posta nuovamente la questione della sicurezza dei trasferimenti di dati UE-USA. Artefice del caso, ancora una volta, Max Schrems il quale ha rimesso alla CGUE la decisione circa la compatibilità dei trasferimenti effettuati “sotto lo scudo” del Privacy Shield con la nuova normativa europea.

In particolare, il meccanismo di autocertificazione delle società USA presso la FTC previsto dal Privacy Shield non è stato considerato sufficiente a superare il controllo invasivo sui dati di cui dispongono le agenzie di sicurezza statunitensi.

Con la sentenza del 16 luglio 2020 (c.d. Schrems II) la Corte si è pertanto nuovamente pronunciata per l’invalidità anche del Privacy Shield: laccordo è apparso infatti inadeguato a garantire, lato importatore, il grado di protezione dei dati richiesto dal GDPR.

Decisioni delle Data Protection Authorities europee

Quando si tratta di tutela dei diritti, NOYB non va mai in vacanza. Nell’agosto 2020 l’organizzazione ha infatti presentato 101 reclami ai diversi Garanti europei contestando l’uso, da parte di moltissime società, di Google Analytics. A seguito di tali reclami, la DPA europee sono intervenute sul caso.

Con una decisione del 22 dicembre 2021, la DSB (Autorità garante austriaca) – in applicazione dei principi e di tutto quanto stabilito nella sentenza Schrems II – ha stabilito che Google Analytics viola il GDPR in quanto non rispetta gli stringenti requisiti richiesti per consentire e garantire un trasferimento sicuro di dati UE-USA.

Alla decisione della DSB è poi seguita, il 10 febbraio 2022, la decisione dell’Autorità francese CNIL che – al pari della omologa austriaca – ha stabilito che Google Analytics non è uno strumento sicuro.

Ma non solo: anche nel nostro paese l’uso di GA è stato considerato non adeguato alla normativa vigente.

Il “Caso Caffeina” e la decisione del Garante italiano

Con provvedimento n.224 del 9 giugno 2022 il Garante per la Protezione dei Dati Personali italiano ha censurato la società Caffeina Media S.r.l. per aver utilizzato Google Analytics (nella sua versione “GA3”) e, di conseguenza, per aver effettuato trasferimenti internazionali di dati personali verso gli Stati Uniti in violazione del GDPR.

Il dato peculiare del provvedimento è che, in esso, il Garante non ha previsto alcuna sanzione come corollario della censura.

La decisione si è dunque rivelata un vero e proprio monito, tanto per Caffeina quanto per tutte le altre società italiane utilizzatrici di GA3, con il quale l’Autorità ha voluto intimare di dismettere, nel termine di 90 giorni, l’utilizzo di Google Analytics.

Pur riferendosi specificamente a GA3, è lecito pensare che l’Autorità abbia, più in generale, espresso le proprie perplessità nei confronti di ogni versione di Google Analytics che non sia effettivamente e concretamente in grado di tutelare i dati così come richiesto dal GDPR.

Quel che è certo è una seconda eventuale pronuncia in materia del Garante non dovrebbe essere altrettanto “morbida”.

Società avvisata… mezza sanzionata!

_________________

Photo by Alex Dudar on Unsplash

L’Organismo di Vigilanza come supervisore del whistleblowing

La questione che si propone nell’articolo è se l’Organismo di Vigilanza possa essere la figura più adeguata a ricevere e gestire le segnalazioni relative a illeciti commessi dai soggetti di cui all’art. 5 co. 1 del Decreto 231, o a violazioni del Modello di organizzazione e gestione di una società (“whistleblowing”).

La questione è aperta e dibattuta, anche e soprattutto a causa della lunga vicenda relativa al recepimento nell’ordinamento italiano della Direttiva UE 2019/1937 (“Direttiva whistleblowing”), che impone agli Stati membri dell’Unione europea di conformarsi entro il 17 dicembre 2021 – termine che l’Italia non ha ancora rispettato, nonostante la prossima scadenza del 10 dicembre 2022 della legge di delegazione europea (Legge n. 127 del 4 agosto 2022).

L’assenza di poteri gestori dell’Organismo di Vigilanza

L’Organismo di Vigilanza, per il ruolo che svolge e le caratteristiche che gli sono attribuite dalla legge, è autonomo, indipendente e ha l’onere di vigilare sul funzionamento, sul rispetto e sull’aggiornamento del Modello di organizzazione e gestione della società.

Dal punto di vista della struttura della società, la dottrina ha nel tempo riportato che l’Organismo di Vigilanza non costituisce un organo della società, e non ha una funzione di garanzia degli interessi collettivi, o di terzi soggetti; esso è piuttosto un suo “ufficio”, la cui presenza costituisce una modalità organizzativa interna.

Il Decreto 231, inoltre, non attribuisce all’Organismo di Vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti, né poteri disciplinari e sanzionatori diretti, che richiederebbero un’autorità e una signoria sui comportamenti altrui all’interno e all’esterno della società.

La presenza in azienda di membri dell’Organismo di Vigilanza non risulta funzionale ad una gestione dell’ente e non consente ai componenti di intromettersi nelle scelte dell’imprenditore circa le modalità di conduzione dell’impresa.

Anche il Garante Privacy ha segnalato, nel suo parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231 del 12 maggio 2020, che l’Organismo di Vigilanza, pur avendo funzioni di controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, e non ha obbligo di denuncia all’autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell’esercizio delle sue funzioni.

Per la giurisprudenza di legittimità (Cass. Pen. Sez. VI n. 23401 del 11/11/2021) l’Organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero l’autonomia, ma ad esso spettano compiti di controllo sistemico continuativo sulle regole cautelari predisposte e sul loro rispetto nell’ambito del modello organizzativo di cui la società si è dotata.

Il whistleblowing non deve essere gestito, ma controllato dall’Organismo di Vigilanza

Il comma 2-bis dell’art. 6 del Decreto 231 prevede che i Modelli di Organizzazione e Gestione devono prevedere uno o più canali che consentano ai soggetti in posizioni apicali e a coloro che sono sottoposti alla loro direzione e controllo di presentare, a tutela dell’integrità della società, segnalazioni circostanziate di condotte illecite o di violazioni del Modello di organizzazione e gestione.

Il Decreto 231 non reca alcuna indicazione circa i destinatari delle segnalazioni, né individua i gestori dei canali previsti dal Decreto stesso.

Non spetta quindi ex lege all’Organismo di Vigilanza la gestione delle segnalazioni in questione, ed è anche rimessa alla discrezionalità della Società la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni, che avrà il compito di istruirle e adottare ogni provvedimento conseguente.

Il fatto che l’Organismo di Vigilanza non debba necessariamente essere il gestore del whistleblowing, però, non significa che esso possa rimanere estraneo alle segnalazioni e al loro seguito: l’Organismo di Vigilanza deve comunque vigilare sulle segnalazioni, in quanto parte necessaria del Modello di organizzazione e gestione.

_______________________________________________

Immagine di copertina di John Peters grazie a Unsplash

Decreto “Trasparenza” / 2: gli aspetti di diritto del lavoro

Integriamo la scheda pubblicata in precedenza con quella, redatta in collaborazione con RG Avvocati, riguardante gli aspetti prettamente lavoristici – non pochi e per nulla banali – di novità del Decreto appena approvato, in vigore dal prossimo 13 agosto.

Buona lettura!

Decreto “Trasparenza”/ 1: implicazioni privacy delle novità

Il prossimo 13 agosto entrerà a tutti gli effetti in vigore, senza la previsione di alcun periodo di transizione, il nuovo D.Lgs. 104/2022 (cd. Decreto Trasparenza).

Il Decreto, emanato per recepire all’interno dell’ordinamento italiano la Direttiva Europea 2019/1152 (cd. Direttiva trasparenza) reca importanti novità in materia di obblighi – soprattutto infornativi ed integrativi – del datore di lavoro. Tali obblighi dovranno essere assolti, con riferimento ai nuovi assunti, al momento dell’instaurazione del rapporto di lavoro e comunque prima dell’inizio dell’attività lavorativa, mediante la consegna del contratto di lavoro redatto per iscritto o, in alternativa, della copia della comunicazione di instaurazione del rapporto di lavoro.

La finalità perseguita – prima a livello comunitario e poi interno – è quella di migrare verso forme di lavoro più trasparenti e prevedibili: in quest’ottica, la previsione di nuovi oneri in capo al datore di lavoro si configura come lo strumento operativo necessario al raggiungimento delle finalità sancite dalla normativa.

Le nuove disposizioni si applicano ad una vasta gamma di tipologie contrattuali (a titolo esemplificativo e non esaustivo, contratti di lavoro subordinato, somministrato, contratti di lavoro intermittente e co.co.co.) e, come già accennato, prevedono un aumento degli oneri posti in capo al soggetto qualificato, nell’ambito del rapporto, come datore di lavoro. Tali oneri possono sostanzialmente suddividersi in due categorie.

Da un lato vengono innanzitutto stabiliti obblighi di comunicazione inerenti al rapporto di lavoro, che impongo al datore di lavoro di comunicare – modo chiaro e trasparente e con modalità cartacea o digitale – informazioni quali, tra le altre, l’identità delle parti e il luogo di lavoro, la durata delle ferie e i modi per esercitare il diritto di recesso

Dall’altro lato, vengono introdotte novità anche in materia di tutela delle informazioni e dei dati personali relativi ai lavoratori.

 Da questo punto di vista, il datore di lavoro sarà tenuto a:

  • informare il lavoratore circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati in grado di incidere sul rapporto di lavoro;
  • integrare l’informativa, qualora già resa in precedenza, con tutte le istruzioni di sicurezza relative all’utilizzo di tali sistemi atomizzati.

Di notevole importanza anche la previsione di specifiche misure di tutela. In particolare:

  1. la possibilità di ricorrere a strumenti più agevoli e rapidi per la risoluzione di controversie insorte tra le parti;
  2. la previsione di una sanzione per comportamenti ritorsivi che il datore di lavoro ponga eventualmente in essere, come conseguenza dell’avvio di un procedimento, anche non giudiziario, da parte del lavoratore;
  3. la previsione di una tutela contro il licenziamento o altro comportamento ritorsivo posto eventualmente in essere dal datore di lavoro in conseguenza dell’esercizio, da parte del lavoratore, dei diritti stabiliti nel decreto trasparenza e nel D.Lgs. 152/1997.

Di seguito la nostra scheda riassuntiva dettagliata, relativa all’ambito privacy, a cui seguirà una ulteriore scheda in ambito lavoristico redatta in collaborazione con lo studio RG Avvocati.

___________________________________________

Immagine di copertina di Cytonn Photography grazie a Unsplash

Novità in materia Smart Working: il 31 agosto (al momento) è la data.

Il prossimo 31 agosto la versione “emergenziale” dello smart working cesserà.

Con la fine del periodo emergenziale tramonterà anche il periodo “di favore” concesso alle aziende private allo scopo di fornire un accesso allo smart working – o, abbandonando ogni inglesismo, al cd. “lavoro agile” – semplificato dal punto di vista procedurale.

Nel corso degli ultimi due anni, infatti, l’accesso a tale modalità di lavoro è avvenuta attraverso un iter estremamente celere e scorrevole, rivelandosi sufficiente l’invio al Ministero del Lavoro e delle Politiche Sociali di apposito modulo contenente l’elencazione di tutti i lavoratori dell’azienda coinvolti nel passaggio di modalità.

Quindi, dal 1° settembre 2022 toneranno in vigore le regole dettate dalla legge n. 81/2017, integrate da quanto in ultimo stabilito dal “Protocollo nazionale sul lavoro in lavoro agile” del 7 dicembre 2021.

Già lo scorso marzo eravamo intervenuti sul tema con l’approfondimento “Lo smart working: nuova normalità”.

Tuttavia, alla luce dell’imminente cambio di normativa, ci sembra opportuno rispolverarne i passaggi fondamentali.

Nell’ultimo paragrafo, invece, trovate le attività concrete e operative da effettuare prima del 31 agosto, al fine di continuare ad accedere al “lavoro agile” correttamente.

Legge 81/2017

La legge 22 maggio 2017, n. 81 reca – al capo II e con l’obiettivo di bilanciare le esigenze private e professionali del lavoratore – disposizioni in materia di lavoro agile, per tale intendendosi una modalità di lavoro flessibile, caratterizzata dall’assenza di particolari vincoli in termini di luogo e di orari di lavoro. 

Rispetto alla procedura semplificata di matrice emergenziale, la legge sul lavoro agile risulta sicuramente più rigida e vincolante: la comunicazione complessiva dei nominativi sarà soppiantata dalla sottoscrizione di un accordo individuale con ciascuno dei lavoratori coinvolti.

Vincoli vengono poi imposti al datore di lavoro anche per quanto riguarda il contenuto di tale accordo.

Dovrà infatti figurare nel testo:

  • la previsione di tempi di riposo del lavoratore e diritto alla sua disconnessione (art. 19);
  • la previsione del diritto recesso dall’accordo (art. 19, secondo comma);
  •  una garanzia di un trattamento economico e normativo non inferiore a quello applicato ai colleghi che eseguono le mansioni in modalità ordinaria (art. 20);
  • la disciplina poteri di controllo del datore di lavoro ex art.4 Statuto dei lavoratori (art.21).

Il datore di lavoro, inoltre, deve inoltre fornire al lavoratore agile una informativa scritta per la sicurezza, una tutela contro gli infortuni sul lavoro e le malattie professionali per rischi connessi alla prestazione lavorativa resa all’esterno dell’azienda, nonché una tutela contro gli infortuni sul lavoro occorsi durante il normale percorso di andata e ritorno dal luogo di abitazione a quello prescelto.

Protocollo Nazionale sul Lavoro Agile

Ad integrare la normativa è intervenuto, lo scorso 7 dicembre, il Protocollo nazionale sul lavoro agile, dettando regole e vincoli ulteriori.

Innanzitutto, vengono individuate informazioni aggiuntive da inserire nell’accordo di cui alla legge n.81/2017. Tra queste figurano, tra le altre, la durata dell’accordo e i luoghi eventualmente esclusi ai fini della prestazione lavorativa, l’alternanza con periodi di lavoro in sede e gli strumenti di lavoro, nonché i tempi di riposo e le forme di esercizio dei diritti sindacali.

Ribadisce inoltre gli elementi caratterizzanti il lavoro agile:

  • l’assenza di un preciso orario di lavoro (art.3);
  • il rispetto della normativa relativa alla protezione dei dati personali (art.12);
  • la libertà del lavoratore di scegliere il luogo in cui svolgere la prestazione lavorativa (art.4);
  • la fornitura, di regola, da parte del datore di lavoro di tutta la strumentazione tecnologica e informatica necessaria allo svolgimento della prestazione lavorativa (art.5);

Suggerimenti operativi

Per un passaggio lineare allo smart working – o per un suo mantenimento, laddove sia attualmente attivo –, un primo aspetto da tenere ben in conto attiene alla comunicazione: è difatti importantissimo avvisare i lavoratori di tale possibilità, preferibilmente attraverso l’organizzazione di incontri di approfondimento, finalizzati anche a comprendere, tra le altre cose, le preferenze e le disponibilità per quanto riguarda la il numero di giornate lavorative da destinarsi all’una o all’altra modalità di lavoro.

Allo stesso modo, particolare attenzione va riservata alla gestione della contrattazione individuale. Ogni lavoratore è difatti portatore di esigenze e desideri diversi, che diversamente impattano sulla buona riuscita del progetto.

Dovranno pertanto essere attentamente analizzati i bisogni di ciascun lavoratore, in modo tale da garantire che l’obiettivo fissato dal Legislatore – bilanciamento vita privata/lavoro, ma anche incremento della produttività – venga efficacemente raggiunto.

Alla luce di quanto detto, appare evidente che gli aspetti da tenere in conto sono numerosi e diversi, che non si limitano al solo ambito della normativa lavoristica ma ricomprendono anche aspetti privacy e sicurezza sul lavoro.

Al di là dei singoli accordi individuali, è consigliato – anzi, quasi necessario – stilare un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione dello smart working nonché predisporre e/o revisionare il regolamento d’uso degli strumenti aziendali e il codice disciplinare.

Per questa ragione, il suggerimento è quello di coinvolgere, sempre e sin dall’inizio, tutti i consulenti e i referenti aziendali di volta in volta interessati dall’innovazione o cambiamento, in modo tale staccarsi sempre più dal concetto di “emergenza”, rendendo sempre più “normale” il ricorso a questa forma agile di lavoro.

_________________________________________

Immagine di copertina di Austin Distel grazie a Unsplash