compliance – Pagina 3

Articoli

News #46: Twitter ha un nuovo DPO (provvisorio..); il Garante blocca il riconoscimento facciale per il 2023; le App della World Cup tracciano troppi dati..

21 Novembre 2022/in News, Newsletter/da Miriam Pedruzzi

Immagine di copertina di Rhett Lewis grazie a Unsplash.

MERCATI DIGITALI

TWITTER – Ha fatto notizia la nomina di un Data Protection Officer temporaneo dopo che tre dei più alti dirigenti del social network – tra cui il CISO, il Chief Compliance Officer e proprio il CPO/DPO – hanno dato le dimissioni: come tutto a Twitter, anche la funzione privacy al momento è “provvisoria”. E dopo aver visto i (catastrofici) risultati della fase beta del progetto di attribuzione – a pagamento, ma pur sempre indiscriminata – della famosa #spuntablu – strumento utilizzato nel mondo dei social network per garantire che l’utente sia “verificato”, cioè che corrisponde esattamente alla persona cui si riferisce -, #ElonMusk decide di rinviare al prossimo 29 novembre il lancio ufficiale dell’iniziativa “premium”. La questione si aggiunge ad una lista già abbastanza lunga di criticità che hanno caratterizzato la nuova era di Twitter, che infatti perde consensi (la rivale #Mastodon conta già 1,6 milioni di utenti attivi). Va segnalata, tuttavia, anche una “buona notizia”: il governo USA ha fatto sapere che – almeno per il momento – l’amministrazione Biden non ha intenzione di indagare sull’operazione di acquisto, nonostante dei 44 miliardi offerti da Musk, almeno 7,1 sarebbero stati finanziati da investitori provenienti dall’Arabia Saudita e dal Qatar: la questione potrebbe avere, infatti, implicazioni dal punto di vista della #sicurezzanazionale.

AMAZON – Secondo le indiscrezioni, anche #Amazon si starebbe preparando ad affrontare un’ondata di licenziamenti – proprio mentre il suo CEO, #JeffBezos, si impegna pubblicamente in grandiose campagne di beneficenza. Sebbene in termini percentuali il licenziamento coinvolgerebbe solo il 3% dei dipendenti – il New York Times parla di circa 10 mila posti di lavoro a rischio – il dato preoccupante riguarda, più in generale, il trend negativo che sta investendo l’occupazione nella Silicon Valley. Nel frattempo, Amazon deve affrontare in USA anche l’annuncio di una #classaction che l’Electronic Privacy Information Center (“EPIC”) ha intenzione di avviare nel distretto di Washington, in relazione a pratiche sleali e ingannevoli che sfrutterebbero l’impiego di Dark Pattern al fine di confondere e fuorviare i consumatori, inducendoli a rinnovare i loro abbonamenti Amazon Prime fuorviando gli utenti che desiderano terminarli.

GOOGLE – Mathew J. Platkin, procuratore generale del New Jersey, ha recentemente reso noto che, insieme ai procuratori generali di altri 40 stati americani, ha stipulato un accordo con #Google del valore di 391,5 milioni di dollari (il più grande accordo multi-stato in materia di privacy della storia americana). L’accordo si colloca all’esito di una indagine aperta qualche anno fa in seguito ad un articolo pubblicato dall’Associated Post, nel quale si accusava Google di registrare i movimenti (e dunque, raccogliere dati di localizzazione) dei consumatori anche quando gli stessi consumatori avevano, in realtà, negato il relativo consenso. Oltre al pagamento della cifra pattuita, Google si è anche impegnato tra le altre cose a (i) divulgare in modo più chiaro e trasparente le informazioni relative al tracciamento della posizione dei consumatori e (ii) creare una pagina ad hoc in cui gli utenti possono ottenere informazioni dettagliate sui dati di posizione raccolti.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

RICONOSCIMENTO FACCIALE E COMUNI ITALIANI – Il Garante per la protezione dei dati personali ha recentemente aperto un’istruttoria nei confronti di due comuni italiani per valutare e prevenire possibili violazioni connesse all’utilizzo di strumenti di #videosorveglianza. Nel mirino dell’Autorità sono finite iniziative (non attuate ma solo annunciate) dei comuni di Lecce e Arezzo relative, rispettivamente, all’utilizzo (i) di sistemi di #riconoscimentofacciale ( dunque,trattamento di dati biometrici – particolari ai sensi del GDPR) e (ii) di #superocchiali dotati di tecnologia ad #infrarossi, capaci di rilevare infrazioni stradali e validità dei documenti del guidatore dalla sola lettura di una targa. Spetta ora ai comuni presentare all’Autorità tutta la documentazione a supporto della liceità delle loro iniziative: nella giornata di domani pubblicheremo un #approfondimento su questa news, corredato dai dettagli delle due istruttorie.

PARERE EDPS SUL “EU MEDIA FREEDOM ACT” – Il 14 novembre 2022 l’European Data Protection Supervisor (“EDPS”) ha annunciato la pubblicazione del parere n. 24/2022 sulla proposta di regolamento che istituisce un quadro comune per i servizi di media nel mercato interno (“European Media Freedom Act”). L’EDPS ha accolto con favore gli obiettivi perseguiti nel progetto per proteggere la libertà, l’indipendenza e il pluralismo dei media in tutta l’Unione europea. L’EDPS ha raccomandato che il progetto di legge includa basi giuridiche esplicite e chiare, e preveda la cooperazione tra le pertinenti autorità di controllo dell’Unione europea, comprese le autorità garanti degli Stati membri, secondo le rispettive competenze.

PARERE EDPS CYBERSICUREZZA – Col parere n. 23/2022 l’EDPS, Garante Europeo, si è pronunciato su una proposta di regolamento in materia di requisiti di #cybersicurezza per i prodotti con elementi digitali. Pur esprimendosi favorevolmente nei confronti delle intenzioni e delle misure suggerite dal regolamento, l’EDPS non manca di sottolineare, tuttavia, l’importanza – in un’ottica di maggior tutela – deii principi di #PrivacybyDesign e #PrivacybyDefault (auspicando, dunque, per un loro inserimento).

SEGNALAZIONI TELEMARKETING AL GARANTE – E’ operativo il nuovo servizio #telematico per segnalare al Garante la ricezione di telefonate indesiderate, disponibile a questo link: esso sostituisce la modalità di segnalazione precedente, che avveniva tramite un – piuttosto desueto e scarsamente utilizzato – modulo #cartaceo.

VALUTAZIONE DEL RISCHIO INFORMATICO – La BCE (Banca Centrale Europea) ha di recente diffuso online una pubblicazione in materia di valutazione del #rischioinformatico dal titolo “Towards a framework for assessing systemic cyber risk” (“Verso un quadro per la valutazione del rischio informatico sistemico”). Il documento si sofferma, in particolare, sui possibili “effetti collaterali” che i rischi informatici – il cui numero è sempre crescente- possono generare in termini di stabilità dei sistemi finanziari.

F.A.Q. DATA SERVICES ACT – Si segnala che dallo scorso 14 novembre è disponibile online sul sito dell Commissione Europea la versione aggiornata delle domande e risposte più frequenti in materia di #DSA.

D. LGS. 231

COMPROMISSIONE DI UN SITO GIÀ INQUINATO – La Suprema Corte di Cassazione ha di recente affermato (nella sentenza n. 39759, consultabile gratuitamente per gli iscritti all’associazione AODV231) che non vale ad escludere il reato di #inquinamentoambientale (di cui all’452-bis c.p.) il fatto che un sito sia già compromesso a livello ambientale. Rigettando il corso, i giudici di piazza Cavour hanno fornito la loro interpretazione del concetto di “misurabilità” della compromissione inserito nella norma, chiarendo che (i) con tale termine il legislatore non si riferisce ad una procedura di “calcolo numerico degli effetti prodotti”, ma richiama l’astratta possibilità di valutare in termini quantitativa l’entità della compromissione e (ii) il fatto che un sito sia già inquinato non esclude che sia possibile causare un ulteriore aggravamento.

NEWS DAL MONDO

NORVEGIA – L’autorità garante norvegese per la protezione dei dati (“Datatilsynet”) ha rilasciato, il 14 novembre 2022, una dichiarazione mettendo in guardia chi si reca in Qatar per la #CoppadelMondo FIFA sull’installazione delle applicazioni “Hayya” ed “Ehteraz”. L’autorità garante si è preoccupata, in particolare, dell’ampio accesso ai dati personali richiesto dalle applicazioni, spiegando che non è chiaro cosa facciano effettivamente o per cosa potrebbero essere utilizzati i dati personali degli utenti.

REGNO UNITO – L’ICO, Autorità garante del Regno Unito, ha annunciato di aver reso disponibile online un aggiornamento della sua guida ai trasferimenti internazionali di dati al fine di includere una nuova sezione dedicata valutazioni sul rischio del trasferimento, nonché per aggiungere un nuovo strumento di valutazione, il #TRA (scaricabile gratuitamente in formato word sul sito dell’Autorità). Lo strumento – che vuole porsi come alternativa in materia all’approccio dell’EDPB – ai compone di sei domande (poche ma ben strutturate) e di tabelle e linee guida che aiutano le società a interpretare i risultati della valutazione.

FRANCIA (SANZIONE CNIL A DISCORD) – L’autorità garante francese (“CNIL”) ha sanzionato per 800.000 euro. DISCORD Inc. – piattaforma che fornisce un servizio per chattare tramite microfono e/o webcam su Internet e messaggistica istantanea, in cui gli utenti possono creare server, canali di testo, voce e video – ritenendo commesse le seguenti violazioni: (i) aver conservato i dati personali per un periodo eccessivo (ii) violazione del diritto di informazione sui tempi di conservazione (iii) violazione degli obblighi di privacy by default e (iv) mancanza di misure di sicurezza adeguate. Il comunicato della CNIL sulla decisione è disponibile a questo link.

ARGENTINA – L’Autorità argentina per la protezione dei dati (“AAIP”) ha pubblicato (i) un progetto di legge per l’aggiornamento della normativa sulla protezione dei dati personali, a seguito di una consultazione pubblica e (ii) un report sullo sviluppo del progetto, in cui si sottolinea che l’aggiornamento della legge è un passo decisivo per aumentare le garanzie necessarie per la protezione dei dati personali nella società dell’informazione, e per stabilire regole chiare per promuovere l’innovazione e lo sviluppo dell’economia in Argentina.

SPAGNA – L’autorità spagnola per la protezione dei dati personali (“AEPD”) ha inflitto una sanzione di 70.000 euro a una banca, successivamente ridotta a 48.000 euro, a seguito di un reclamo di un privato. Il ricorrente aveva richiesto un certificato di proprietà per proprio conto alla banca, ricevendo una copia di un contratto di terzi per un errore operativo. Il ricorrente ha prontamente informato la banca, ma continuava ad avere accesso al documento attraverso la chat di contatto. Nella sua decisione, l’AEPD ha tenuto conto che la banca ha, in seguito, eliminato l’accesso del cliente al fascicolo del contratto e che, sebbene la conversazione tra la banca e il ricorrente sia stata salvata, il collegamento al fascicolo è stato rimosso. La decisione dell’AEPD, in spagnolo, è disponibile a questo link.

TANZANIA – Il Parlamento della Tanzania ha recentemente approvato il disegno di legge in materia di protezione dei dati personali. Il documento mira a stabilire un livello minimo di protezione dei dati nelle fasi di raccolta e trattamento degli stessi, nonché alla creazione di una Commissione ad hoc per la loro protezione. Vengono in tal modo fissati i criteri in base ai quali le informazioni personali possono formare oggetto di divulgazione e/o trasferimento internazionale – recependo, peraltro, anche il concetto di #adeguatezza di matrice comunitaria. Tra le altre novità, anche la proposta della emanazione del Personal Information Protection Act 2022. In tema di sanzioni, il tetto massimo viene fissato 100 milioni (corrispondenti a poco più di 41 mila euro).

CALIFORNIA – Il tribunale distrettuale della California, a seguito di una class action, ha approvato un accordo da 90 milioni di dollari con Meta, e ha imposto un ordine di sequestro e cancellazione di tutti i dati raccolti impropriamente entro il 10 febbraio 2023. I ricorrenti hanno denunciato che Meta aveva consapevolmente intercettato e tracciato l’attività Internet degli utenti su pagine che mostravano un pulsante “Mi piace”, utilizzando i cookie. L’accordo è disponibile a questo link.

Decreto “Trasparenza” / 2: gli aspetti di diritto del lavoro

4 Agosto 2022/in Checklist, Diritto del lavoro, News, Normativa/da Alberto Scirè

Integriamo la scheda pubblicata in precedenza con quella, redatta in collaborazione con RG Avvocati, riguardante gli aspetti prettamente lavoristici – non pochi e per nulla banali – di novità del Decreto appena approvato, in vigore dal prossimo 13 agosto.

Buona lettura!

LAVORO-Scheda-decreto-trasparenza Download

Novità in materia Smart Working: il 31 agosto (al momento) è la data.

20 Luglio 2022/in Approfondimento, Compliance aziendale, Diritto del lavoro, Normativa, Privacy/da Francesca Di Bello

Il prossimo 31 agosto la versione “emergenziale” dello smart working cesserà.

Con la fine del periodo emergenziale tramonterà anche il periodo “di favore” concesso alle aziende private allo scopo di fornire un accesso allo smart working – o, abbandonando ogni inglesismo, al cd. “lavoro agile” – semplificato dal punto di vista procedurale.

Nel corso degli ultimi due anni, infatti, l’accesso a tale modalità di lavoro è avvenuta attraverso un iter estremamente celere e scorrevole, rivelandosi sufficiente l’invio al Ministero del Lavoro e delle Politiche Sociali di apposito modulo contenente l’elencazione di tutti i lavoratori dell’azienda coinvolti nel passaggio di modalità.

Quindi, dal 1° settembre 2022 toneranno in vigore le regole dettate dalla legge n. 81/2017, integrate da quanto in ultimo stabilito dal “Protocollo nazionale sul lavoro in lavoro agile” del 7 dicembre 2021.

Già lo scorso marzo eravamo intervenuti sul tema con l’approfondimento “Lo smart working: nuova normalità”.

Tuttavia, alla luce dell’imminente cambio di normativa, ci sembra opportuno rispolverarne i passaggi fondamentali.

Nell’ultimo paragrafo, invece, trovate le attività concrete e operative da effettuare prima del 31 agosto, al fine di continuare ad accedere al “lavoro agile” correttamente.

Legge 81/2017

La legge 22 maggio 2017, n. 81 reca – al capo II e con l’obiettivo di bilanciare le esigenze private e professionali del lavoratore – disposizioni in materia di lavoro agile, per tale intendendosi una modalità di lavoro flessibile, caratterizzata dall’assenza di particolari vincoli in termini di luogo e di orari di lavoro.

Rispetto alla procedura semplificata di matrice emergenziale, la legge sul lavoro agile risulta sicuramente più rigida e vincolante: la comunicazione complessiva dei nominativi sarà soppiantata dalla sottoscrizione di un accordo individuale con ciascuno dei lavoratori coinvolti.

Vincoli vengono poi imposti al datore di lavoro anche per quanto riguarda il contenuto di tale accordo.

Dovrà infatti figurare nel testo:

la previsione di tempi di riposo del lavoratore e diritto alla sua disconnessione (art. 19);
la previsione del diritto recesso dall’accordo (art. 19, secondo comma);
una garanzia di un trattamento economico e normativo non inferiore a quello applicato ai colleghi che eseguono le mansioni in modalità ordinaria (art. 20);
la disciplina poteri di controllo del datore di lavoro ex art.4 Statuto dei lavoratori (art.21).

Il datore di lavoro, inoltre, deve inoltre fornire al lavoratore agile una informativa scritta per la sicurezza, una tutela contro gli infortuni sul lavoro e le malattie professionali per rischi connessi alla prestazione lavorativa resa all’esterno dell’azienda, nonché una tutela contro gli infortuni sul lavoro occorsi durante il normale percorso di andata e ritorno dal luogo di abitazione a quello prescelto.

Protocollo Nazionale sul Lavoro Agile

Ad integrare la normativa è intervenuto, lo scorso 7 dicembre, il Protocollo nazionale sul lavoro agile, dettando regole e vincoli ulteriori.

Innanzitutto, vengono individuate informazioni aggiuntive da inserire nell’accordo di cui alla legge n.81/2017. Tra queste figurano, tra le altre, la durata dell’accordo e i luoghi eventualmente esclusi ai fini della prestazione lavorativa, l’alternanza con periodi di lavoro in sede e gli strumenti di lavoro, nonché i tempi di riposo e le forme di esercizio dei diritti sindacali.

Ribadisce inoltre gli elementi caratterizzanti il lavoro agile:

l’assenza di un preciso orario di lavoro (art.3);
il rispetto della normativa relativa alla protezione dei dati personali (art.12);
la libertà del lavoratore di scegliere il luogo in cui svolgere la prestazione lavorativa (art.4);
la fornitura, di regola, da parte del datore di lavoro di tutta la strumentazione tecnologica e informatica necessaria allo svolgimento della prestazione lavorativa (art.5);

Suggerimenti operativi

Per un passaggio lineare allo smart working – o per un suo mantenimento, laddove sia attualmente attivo –, un primo aspetto da tenere ben in conto attiene alla comunicazione: è difatti importantissimo avvisare i lavoratori di tale possibilità, preferibilmente attraverso l’organizzazione di incontri di approfondimento, finalizzati anche a comprendere, tra le altre cose, le preferenze e le disponibilità per quanto riguarda la il numero di giornate lavorative da destinarsi all’una o all’altra modalità di lavoro.

Allo stesso modo, particolare attenzione va riservata alla gestione della contrattazione individuale. Ogni lavoratore è difatti portatore di esigenze e desideri diversi, che diversamente impattano sulla buona riuscita del progetto.

Dovranno pertanto essere attentamente analizzati i bisogni di ciascun lavoratore, in modo tale da garantire che l’obiettivo fissato dal Legislatore – bilanciamento vita privata/lavoro, ma anche incremento della produttività – venga efficacemente raggiunto.

Alla luce di quanto detto, appare evidente che gli aspetti da tenere in conto sono numerosi e diversi, che non si limitano al solo ambito della normativa lavoristica ma ricomprendono anche aspetti privacy e sicurezza sul lavoro.

Al di là dei singoli accordi individuali, è consigliato – anzi, quasi necessario – stilare un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione dello smart working nonché predisporre e/o revisionare il regolamento d’uso degli strumenti aziendali e il codice disciplinare.

Per questa ragione, il suggerimento è quello di coinvolgere, sempre e sin dall’inizio, tutti i consulenti e i referenti aziendali di volta in volta interessati dall’innovazione o cambiamento, in modo tale staccarsi sempre più dal concetto di “emergenza”, rendendo sempre più “normale” il ricorso a questa forma agile di lavoro.

_________________________________________

Immagine di copertina di Austin Distel grazie a Unsplash

Organismo di Vigilanza: compiti, requisiti e responsabilità

30 Giugno 2022/in Approfondimento, Compliance aziendale, D.Lgs. 231/01, Normativa/da Francesca Di Bello

L’organismo di vigilanza è un organo introdotto nel nostro ordinamento dal D. Lgs. 231/ 2001– che lo scorso 8 giugno ha compiuto 21 anni, diventando così maggiorenne in tutti gli stati del mondo – istituito al fine di vigilare sulla corretta applicazione del modello di organizzazione, gestione e controllo (cd. MOGC) e dei protocolli in esso previsti, in tutti quei casi in cui gli operatori imprenditoriali decidano di dotarsene.

È importante ricordare, infatti, che l’adozione del modello di organizzazione e gestione e la correlata istituzione di un organismo di vigilanza (anche “OdV”) sono rimesse alla facoltà di ciascuna entità produttiva; il legislatore lascia dunque loro piena libertà di decidere se equipaggiarsi o meno di questi strumenti di compliance.

L’OdV riveste nel panorama aziendale un ruolo centrale ed insostituibile: soltanto laddove questo funzioni in maniera corretta – attraverso una scrupolosa attività di vigilanza sull’osservazione del modello e di aggiornamento dello stesso, ove necessario – la società che lo ha nominato sarà in grado di ottenere l’esimente prevista dall’art. 6 del Decreto 231 in relazione ai reati-presupposto commessi da soggetti operanti al suo interno.

Cosa ci dice l’articolo 6

L’art. 6 comma 1, lettere b) e d) del D. Lgs 231/2001 stabilisce che l’ente può essere esonerato dalla responsabilità conseguente alla commissione di illeciti da parte di un dipendente – apicale o sottoposto – se:

prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” e
“non vi è stata omessa o insufficiente vigilanza da parte dell’organismo”.

Già dai primi articoli il Decreto esprime in maniera chiara ed evidente la necessità che il modello, una volta adottato, non rimanga relegato allo stato di mero adempimento formale.

La corretta attuazione del MOGC passa, come è evidente, inevitabilmente attraverso una costante attività di controllo e vigilanza dei protocolli e delle procedure in esso previste, nonché di adeguamento laddove le stesso dovessero risultare in corso d’opera inadeguate al perseguimento degli obiettivi di tutela fissati dalla normativa 231.

Affinché tali attività vengano svolte nel migliore dei modi dall’OdV, la legge richiede la sussistenza nei suoi (o nel suo, a seconda dei casi) membri di particolari requisiti.

Composizione: monocratica o collegiale?

La legge non fornisce precise indicazioni per quanto concerne la composizione dell’OdV; agli operatori del settore è dunque demandata la scelta di optare tra un organismo monocratico o collegiale.

Sebbene la scelta sia sostanzialmente libera, è prassi consolidata quella di optare per un organismo collegiale (formato da componenti interni o esterni all’ente), soprattutto nelle strutture aziendali di grandi dimensioni e maggiormente articolate.

In questi casi, se l’ente ha natura di società di capitali, l’art. 6 del Decreto 231 comma 4 bis, il ruolo di OdV può essere ricoperto dal collegio sindacale, dal consiglio di sorveglianza e dal comitato per il controllo della gestione.

La scelta deve, in altre parole, sempre rispecchiare la complessità delle attività che l’organismo è chiamato a gestire: se optare per un Organismo di Vigilanza monocratico risulterebbe delicato e foriero di problematiche per una multinazionale, potrebbe certamente essere la soluzione ottimale per una piccola impresa in cui l’organizzazione interna non è particolarmente strutturata.

Proprio per tali ragioni, l’art. 6 comma 4 prevede la possibilità che nelle piccole imprese sia addirittura lo stesso organo dirigente a ricoprire il ruolo di OdV.

Requisiti

In considerazione delle delicate funzioni che la legge demanda alla competenza dell’Organismo di Vigilanza, si richiedere che i suoi membri siano dotati di particolari requisiti, elaborati dalla giurisprudenza sulla base di quanto espresso nel decreto 231.

• Autonomia e indipendenza: la posizione dell’organismo di vigilanza deve essere tale da garantire un’azione di controllo autonoma, ossia svincolata da ogni forma di condizionamento proveniente da componenti dell’ente, in particolare dall’organo dirigente (che, al contrario, è uno dei soggetti controllati).

L’organismo deve inoltre essere personalmente ed economicamente indipendente: non deve cioè versare in condizioni di conflitto di interesse, nemmeno potenziali.

È chiaro che, quanto più l’organismo sia composto da soggetti estranei all’organizzazione, tanto maggiore sarà il suo grado di autonomia ed indipendenza globale.

A livello giurisprudenziale si è poi consolidata una posizione per cui, perché possa parlarsi di autonomia ed indipendenza dell’organismo deputato alla vigilanza del modello 231, non debba sussistere alcun tipo di sovrapposizione tra soggetto controllato e organo controllante.

Tale principio è stato messo nero su bianco anche nelle sentenze che hanno definito il caso (tragicamente famoso) dell’incidente avvenuto nello stabilimento torinese delle acciaierie Thyssenkrupp.

• Professionalità: tale requisito, (elaborato da Tribunale di Napoli con sentenza del 26 giugno 2007) richiede che l’OdV sia dotato di specifiche competenze e conoscenze tecniche idonee a garantire un controllo adeguato.

Visti gli evidenti punti di contatto della normativa 231 con elementi di diritto penale, uno dei componenti dell’OdV dovrebbe preferibilmente essere un esperto della materia.

• Continuità di azione: l’OdV deve essere strutturato in maniera tale da garantire una attività di controllo costante e continuata, tale da garantire modifiche puntuali al modello ogni qual volta ciò risulti necessario in relazione a quello che è lo sviluppo della realtà aziendale che il modello è chiamato a regolare.

Compiti e responsabilità

I poteri, i compiti e le responsabilità affidati dalla normativa vigente alle cure dell’OdV sono tutti indirizzati alla prevenzione della commissione di reati–presupposto da parte dell’organizzazione che lo ha nominato e si sostanziano essenzialmente in attività tipo consultivo, proposito e di impulso, tra cui (a titolo esemplificativo e non esaustivo):

vigilare sulla corretta applicazione del modello;
curare l’aggiornamento e l’implementazione dello stesso, ove necessario;
verificare la diffusione del modello in ambito aziendale;
analizzare i flussi informativi;
svolgere audit.

_________________

Immagine di Agence Olloweb ottenuta grazie a Unsplash

Controlli a distanza: il punto tra privacy e diritto del lavoro

10 Maggio 2022/in Approfondimento, Compliance aziendale, Diritto del lavoro, Privacy/da Miriam Pedruzzi

Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.

La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.

Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.

In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).

L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.

Videosorveglianza

Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.

Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.

Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.

I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.

Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).

Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.

Gps sui veicoli in uso ai dipendenti

Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.

L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.

Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.

Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.

Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Geolocalizzazione di smartphone, tablet e dispositivi mobili

Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.

Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.

Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.

A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.

______________________________________________

Photo by Tobias Tullius on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

1 Aprile 2022/in Approfondimento, Compliance aziendale, Diritto del lavoro, Privacy/da Francesca Di Bello

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
chiarimento sui livelli di riservatezza delle informazioni aziendali
uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
uso lecito della rete internet
focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Quadro delle recenti novità in materia di Whistleblowing

23 Marzo 2022/in Compliance aziendale, D.Lgs. 231/01, Privacy/da Francesca Di Bello

Il tema delle segnalazioni interne in materia di illeciti commessi nell’esercizio dell’impresa è di grande rilevanza oggi nel panorama della compliance aziendale, costituendo uno strumento di emersione di comportamenti spesso trascurati o ignorati: la sua normazione genera al contempo rilevanti e spinose questioni di bilanciamento tra l’autonomia dell’esercizio dell’azione economica privata e la protezione degli interessi pubblici, oltre che di privacy e protezione degli individui segnalanti.

Breve panorama del concetto e della normativa italiana di rilievo

Il concetto di “Whistleblower” (letteralmente: “colui che soffia il fischietto”) entra per la prima volta nel linguaggio e nel panorama giuridico italiano con la Legge n. 190/2012, la c.d. “Anticorruzione” che, tramite aggiunta dell’art. 54-bis nel corpo del D.Lgs. 165/2001, introduce nel nostro ordinamento la figura del dipendente pubblico “segnalatore di illeciti”. Qualche anno più tardi la Legge n. 179/2017 va a modificare il D.Lgs. 231/2001, offrendo così anche al settore privato una base giuridica su cui costruire il proprio sistema interno di segnalazione degli illeciti.
Con la Direttiva 1937/2019 l’UE ha, di recente, inteso fissare i punti fondamentali per garantire ai “segnalatori di illeciti” uno standard minimo di tutela in ambito comunitario. Vengono quindi posti in capo ad ogni Stato Membro obblighi e divieti mirati a far adottare , entro il termine del 17 dicembre 2021, un adeguato sistema di segnalazione degli illeciti in grado di proteggere il segnalante da tutte le conseguenze negative che potrebbero insorgere a seguito della sua azione, e ciò tanto per il settore pubblico quanto per quello privato.

I requisiti fissati dalla Direttiva e le prospettive di recepimento

Innanzitutto, anche per il settore privato (a partire da una soglia minima di 50 dipendenti) diviene obbligatorio dotarsi di un sistema di prevenzione degli illeciti conseguenti alla violazione del diritto comunitario.
In questo senso, ciò che per l’Italia rappresenta ancora oggi l’eccezione- ci si riferisce infatti a quegli enti che abbiano volontariamente adottato i modelli di organizzazione previsti dal Decreto 231 e limitatamente ai reati da questo previsti- diverrà quindi (e finalmente) la regola.

Viene poi predisposto un ventaglio più ampio di soggetti che possono godere delle garanzie della Direttiva una volta coinvolti nel “processo di segnalazione”. Superata la dicotomia apicali-sottoposti, si aprono le porte a segnalazioni di soggetti che in modi diversi ed in diversa misura entrano in contatto con l’ente. Basti pensare che, a titolo esemplificativo, può assumere la qualifica di segnalante anche colui che non ha ancora cominciato un rapporto di lavoro con l’ente, perché il processo di selezione è ancora in corso.

Appare qui evidente l’intenzione del legislatore comunitario di assicurarsi che anche le violazioni commesse nelle fasi prodromiche all’instaurazione del rapporto di lavoro non rimangano impunite.

Ai fini della segnalazione, la Direttiva non richiede poi l’effettiva commissione di un illecito- così come previsto dalla L. n. 179/2017 e dal D.Lgs. 231/2001- ma soltanto il sussistere nel denunciante del “ragionevole motivo” di ritenere che le informazioni denunciate rispondano al vero e all’interesse pubblico.

Novità anche per quanto riguarda i canali di segnalazione.

Se il legislatore italiano non entra attualmente nel merito delle scelte operative, limitandosi a richiedere che i canali predisposti siano genericamente idonei a garantire la riservatezza (e non anche l’anonimato) dell’identità del denunciante, il legislatore comunitario si rivela più puntuale, richiedendo la implementazione di canali interni ed esterni all’ente, ai quali si affianca il canale pubblico, c.d. “public disclosure”.

La Direttiva lascia comunque libero il denunciante nella scelta del canale, sebbene incoraggi alle segnalazioni interne, soprattutto nei casi di più semplice risoluzione.

Molto importante anche la questione privacy.

La Direttiva prevede che qualsiasi trattamento di dati personali effettuato in occasione della Direttiva stessa debba svolgersi nel rispetto del Regolamento 2016/679 e della Direttiva 2016/680 (per il trattamento di dati con finalità di polizia).

L’obiettivo è quindi quello di scongiurare quanto più possibile il rischio che la segnalazione diventi l’occasione per una violazione della privacy; inoltre, viene espressamente sancito che non vadano raccolti e trattati dati eccedenti o non pertinenti rispetto ad una specifica segnalazione, e – laddove raccolti o trattati – essi vengano prontamente cancellati.

I ritardi nel recepimento della Direttiva

Benché la legge di delegazione europea n. 53/2021 rechi indicazioni per il recepimento della c.d. “Direttiva Whistleblowing”, l’Italia tutta è ancora in attesa di azioni concrete da parte del Governo.

Se indubbiamente molte sono state le “distrazioni” in questi ultimi due anni, a partire dalla pandemia fino alla questione del Colle, è tuttavia opportuno chiedersi quante e quali di queste siano effettivamente in grado di giustificare l’inerzia dell’Esecutivo su un tema particolarmente sensibile come quello della segnalazione di comportamenti illeciti all’interno delle società di capitali.

Ciò è particolarmente rilevante quando entra in gioco la vita umana, come nel caso tristemente noto della Funivia del Mottarone: è di dominio pubblico, infatti, la notizia per cui un ex dipendente avrebbe subito minacce di licenziamento per aver denunciato, molto tempo prima dell’incidente, problemi tecnici alla cabina poi coinvolta nella strage.

_________________________________________________________

Photo by Geron Dison on Unsplash