Articoli

News #34: negli USA si avvicina la legge privacy federale; novità su smart working e controllo da remoto; prima sanzione privacy in California.

/in , , /da

Immagine di copertina di Timothy Dykes grazie a Unsplash.

  • PRIVACY

LAVORATORE SPIATO – Scoprire che il lavoratore non adempie alla propria prestazione mediante l’attività di un investigatore privato non consente, da sola, al datore di lavoro di licenziarlo. È quanto stabilito dalla Corte di Cassazione con ordinanza 25287 dello scorso 24 agosto. Il controllo sull’operato del dipendente, infatti, spetta esclusivamente al datore di lavoro, che non può in nessun caso avvalersi di altri soggetti.

LEGGE FEDERALE USA – Continua il percorso della proposta normativa denominato “ADPPA” (American Data Privacy and Protection Act), questa volta con una inedita lettera, inviata da ben 48 diverse associazioni americane per i diritti civili allo Speaker della Camera, Nancy Pelosi. Il generale consenso sulla necessità di uniformare lo spettro della legislazione USA in materia appare evidente e, mai come prima, potrebbe essere il viatico per un avanzamento della bozza di legge: sul punto è interessante questo articolo dello IAPP, che include anche altri sviluppi normativi USA ad esempio in materia di intelligenza artificiale.

NOYB-GMAIL – NOYB (None of your business), l’organizzazione senza scopo di lucro guidata da Max Schrems, ha recentemente presentato una denuncia contro Google presso l’Autorità garante francese (CNIL). La doglianza di NOYB è basata sulle ripetute violazioni da parte di Google della normativa e della giurisprudenza europea in materia di marketing diretto. Pare infatti che Google, in spregio alla Direttiva ePrivacy e ad una sentenza della Corte di Giustizia (C-102/20), abbia ripetutamente inviato ai propri utenti e-mail contenenti pubblicità, e ciò senza che gli utenti stessi avessero prestato il loro consenso a riguardo.

ISTRUTTORIA SUL VIDEO DI PIACENZA – Il Garante per la protezione dei dati italiano ha annunciato di aver aperto un’istruttoria al fine di individuare le responsabilità – dal punto di vista della normativa privacy – dei soggetti coinvolti nell’ambito del caso della violenza sessuale avvenuta a Piacenza. Il caso, già serio di per sè stesso, ha subito un aggravamento (soprattutto dal punto di vista della vittima, in termini di dignità e tutela) in seguito all’uso strumentale che ne è stato fatto ai fini della campagna elettorale da parte di una forza politica che, per raccogliere consensi, ha provveduto a diffondere online il video.

META E LA SANZIONE IRLANDESE – Rimandata all’autunno la decisione sui trasferimenti internazionali effettuati da Facebook e Instagram (Meta Platforms) a seguito delle contestazioni sollevate da alcune autorità locali alla bozza di decisione della DPC irlandese: principale scoglio, l’assenza (incomprensibile) di alcuna sanzione verso il gigante USA seppur nella conferma della violazione di diversi precetti del GDPR. Si è pertanto aperta la procedura di cui all’art. 65 GDPR, che seguiremo da vicino nelle prossime news.

  • MERCATI DIGITALI

SMART WORKING – Il Governo interviene ancora, in piena estate, sulla materia dello “smart working”, con il Decreto ministeriale n. 149/2022 – pubblicato in Gazzetta Ufficiale lo scorso 19 agosto a firma del Ministro Orlando – che fissa alcune novità. Ai fini di un corretto svolgimento del lavoro in modalità agile, tra l’altro, sembra essere scomparso l’obbligo di effettuare al Ministero la comunicazione dei lavoratori coinvolti prima dell’inizio dello smart working, decadendo anche la relativa sanzione. Ne parla il Sole 24 Ore in questo e in questo articolo, mentre il Ministero ha rilasciato una nota stampa qui.

TWITTER – HateAid, organizzazione tedesca no-profit, ha denunciato Twitter presso l’Ufficio federale di giustizia. La denuncia si fonda sulla violazione di una disposizione del Network Enforcement Act, che prescrive l’obbligo di comunicare i meccanismi con i quali i social gestiscono i reclami: secondo quanto lamentato dall’organizzazione, Twitter non avrebbe adempiuto a ciò nel suo ultimo Rapporto sulla trasparenza, relativo al periodo gennaio-giugno 2022. In una notizia non correlata, l’ex responsabile della sicurezza di Twitter (Peiter ‘Mudge’ Zatko) ha lanciato pesanti accuse contro il social network per gravi e reiterate falle nella gestione della protezione degli utenti e nella lotta ai “bots”: qui un interessante articolo del The Guardian.

GOOGLE ENTRA NELL’OOH – Con un blog post ufficiale Google ha annunciato di aver integrato, nella propria piattaforma di adv, anche strumenti di “out of home”, ovvero pubblicazione di annunci commerciali attraverso videowall in stazioni, aeroporti, centri commerciali e altri luoghi di alto traffico di persone. L’azienda di Mountain View si è subito affrettata a precisare, per inciso, che non saranno utilizzati dati personali per “targettizzare” le pubblicazioni, ma solo “dati contestuali”, ad esempio mostrando annunci relativi allo specifico luogo di diffusione e/o al contesto reale in cui lo spettatore si trova.

  • NEWS DAL MONDO

CALIFORNIA – Arriva la prima sanzione del public enforcement locale contro una società per violazione del CCPA, seppure attraverso un accordo transattivo: Sephora, gigante del retail cosmetico, dovrà pagare 1,2 milioni di dollari per aver venduto i dati degli utenti senza effettuare loro alcuna notificazione o dare accurate informazioni, e inoltre sarà tenuta a specificare tali attività mediante diversi interventi concordati con l’autorità. Il portavoce di quest’ultima, per inciso, ha comunicato che sono in corso di invio circa cento altre lettere ad altrettanti brand, per violazioni della legge locale a protezione dei consumatori.

TURCHIA – KVKK, Autorità garante turca, ha pubblicato una bozza – destinata alla consultazione pubblica – di linee guida in materia di trattamento di dati genetici. Scopo del documento è aiutare i titolari del trattamento nel trattamento di tale delicata categoria di dati, nella scelta di un’adeguata base giuridica e nell’adempimento degli obblighi posti dalla normativa nazionale vigente.

USA – L’Electronic Privacy Information Center (EPIC) e il National Consumer Law Center (NCLC) hanno rilasciato una dichiarazione congiunta per sollecitare la Federal Communication Commission (FCC) a imporre sanzioni più severe nei confronti di tutte le compagnie telefoniche che non sono in grado di proteggere i consumatori da telefonate automatiche di truffa.

ROMANIA- L’ANSPDCP, autorità locale, ha recentemente reso nota la propria decisione di infliggere una sanzione di 10 mila euro a Enel Energie Muntenia SA per aver violato gli artt.32  e 33 del GDPR. Infatti, in seguito ad un incidente (un dipendente Enel ha inoltrato ad un destinatario sbagliato dati personali riferibili ad altro soggetto) Enel Energie non ha provveduto a dimostrare di aver posto in essere tutte le misure necessarie per evitare che un simile inconveniente potesse ripetersi in futuro, nè si è adoperata in termini di segnalazione dell’incidente stesso all’Autorità. 

PERÙ – In occasione della “Festa del bambino”, celebrata in Perù lo scorso 21 agosto, il Garante peruviano (ANPD) ha emanato delle raccomandazioni finalizzate alla protezione dei dati personali e alla prevenzione di molestie sessuali nei confronti di soggetti minori. Tra i consigli offerti dall’Autorità, evitare di fornire indicazioni precise circa la scuola e gli altri luoghi frequentata dai bambini, non accettare richieste da soggetti sconosciuti e evitare di rispondere a questionari e/o domande sui minori che appaiono discutibili e inappropriate.

BRASILE – Meta è stata condannata dal SENACON a pagare un risarcimento di 6.6 milioni di Real (circa 1,2 milioni di euro) per le violazioni derivanti dallo scandalo Cambridge Analytica, tra cui l’analisi e valutazione delle risposte attraverso app e “giochi” al fine di indirizzare il voto dei cittadini durante le elezioni.

News #33: attacchi “hacker” in aumento; attenti a cosa digitate attraverso TikTok e Facebook; Google sanzionato anche in Australia.

/in , /da

Immagine di copertina di Ryan Wilson grazie a #Unsplash.

  • PRIVACY & CYBERSECURITY

CYBERSICUREZZA IN ITALIA – Nel corso della tradizionale riunione del Comitato nazionale per l’ordine e la sicurezza pubblica – presieduto dalla Ministra dell’Interno, Luciana Lamorgese- sono stati resi pubblici dati preoccupanti circa la situazione della sicurezza informatica nel nostro paese. Secondo i dati rilasciati dal Viminale, infatti, gli attacchi hacker rilevati nell’ultimo anno sono oltre il 75% in più rispetto a quelli registrati nell’anno precedente.

IL DPO NON PUÒ DIFENDERE L’ENTE – Il Garante ha sanzionato, con decisione del 9 giugno scorso emersa di recente, il Comune di Policoro per aver affidato al proprio DPO (avvocato) alcuni incarichi di tutela in contenziosi aventi ad oggetto il tema privacy. In questo modo, evidentemente, generando un irrisolvibile conflitto d’interessi tra controllato e controllore, non accettabile in particolare se riguarda un ente pubblico.

GOOGLE NELLE SCUOLE – Continua a restare sulla linea del rigore l’Autorità danese in riferimento all’utilizzo – molto diffuso anche in Italia – di Google Workspace nelle scuole. In un aggiornamento della vicenda, infatti, la municipalità ha inviato una DPIA considerata “insufficiente e scarsa” dalla DPA danese, oltre che non commentata (!!) dal DPO nominato: nessuna misura di salvaguardia, in sostanza, è stata assunta per tutelare i minori dall’uso indiscriminato dei dati da parte della Big Tech USA, che per diversi trattamenti è considerata “titolare” del trattamento, e non responsabile.

AZIENDA vs. AZIENDA – L’Autorità belga per la protezione dei dati ha assunto di recente la posizione secondo cui una azienda, che ritenga un’altra in violazione del GDPR e/o della normativa locale, può adire proprio la DPA per vedere la seconda sanzionata. Si tratta sicuramente di un punto di vista interessante, anche se foriero (come diversi commentatori riportano) di numerosi profili critici, tenendo conto del già alto numero di contenziosi e procedimenti che il regolamento europeo ha portato con sè, a fronte di mezzi e risorse per le autorità locali di poco superiori al periodo ante-2018.

  • MERCATI DIGITALI

APPLE, ALLARME SICUREZZA – Arriva un annuncio ufficiale per tutti coloro che utilizzano dispositivi a marchio Apple: aggiornare quanto prima i propri device alla nuova versione dei sistemi operativi. A spingere la società di Cupertino a diffondere una tale comunicazione (e ad intervenire prontamente con un aggiornamento) sarebbe stata la scoperta di una falla nel sistema che, a quanto pare, consentirebbe ad hacker l’accesso ai dispositivi, con la conseguente possibilità che gli stessi si approprino dei dati personali in essi contenuti.

I SOCIAL SONO KEYLOGGER – Ha aperto un vero e proprio vaso di Pandora la scoperta che anche TikTok, oltre che Facebook e Instagram, effettuano iniezioni di codice informatico nei siti web che vengono visitati attraverso i browser “inclusi” nelle app per dispositivi mobili. La ragione? Con questa tecnica, i social network mappano e leggono ogni tasto premuto – e quindi ogni parola o click effettuato – dall’utente, di fatto venendo a sapere tutto ciò che avviene anche su portali di soggetti terzi, senza esclusione alcuna (e anche su Apple iOS). Si attendono indagini e verifiche, auspicabilmente, da parte delle autorità preposte.

  • NEWS DAL MONDO

AUSTRALIA – L’ACCC (Australian Competition and Consumer Commission) ha annunciato che la Corte federale australiana ha inflitto una salatissima multa a Google, di ben 60 milioni di dollari. Secondo la ricostruzione della Corte, il colosso digitale avrebbe reso dichiarazioni ingannevoli ai consumatori in merito alla raccolta e all’utilizzo dei loro dati personali, in particolar modo per quanto riguarda l’attività di profilazione degli stessi.

PORTOGALLO – L’Autorità nazionale per le comunicazioni portoghese (ANACOM) ha di recente annunciato la pubblicazione di una nuova legge (n.16/2022)  sulle comunicazioni elettroniche. Viene in tal modo stabilito un nuovo regime normativo, attraverso l’abrogazione della normativa precedente (che risaliva al 2004) e il recepimento di alcune direttive comunitarie. Tra le novità, l’obbligo di notifica all’ANACOM in caso di verificazione di qualsiasi tipo di incidente di sicurezza in grado di determinare un significativo impatto sul funzionamento di reti e servizi.

FILIPPINE – La Commissione nazionale per la privacy filippina ha recentemente emesso una circolare sulle linee guida in materia di sanzioni amministrative conseguenti alle violazioni della normativa vigente commesse da titolari e responsabili del trattamento. Scopo della circolare è quello di consentire l’irrogazione di sanzioni dissuasive e proporzionate alle infrazioni effettivamente commesse.

LITUANIA – L’autorità nazionale per la privacy ha recentemente pubblicato una interessante linea guida sulle funzioni e sui compiti del Data Protection Officer, tema sempre complesso è fonte di rischi privacy (come anche la recente decisione italiana riportata sopra ci ricorda).

News #32: i chiarimenti di INL sulla Trasparenza; data breach per Twilio; nuovi incentivi per la gestione dei rifiuti elettronici in azienda.

/in , , /da

Immagine di copertina di Ray Hennessy grazie a Unsplash.

  • PRIVACY

D. LGS. TRASPARENZA – L’Ispettorato Nazionale Lavoro (“INL”) ha emanato una circolare, d’intesa con il Ministero del Lavoro, che contiene le “prime indicazioni di carattere operativo” sulla interpretazione di alcuni passaggi dell’ormai famoso D.Lgs. 104/2022, che è entrato in vigore lo scorso 13 agosto. Tra i numerosi spunti – tutti da verificare nella pratica – rileva la possibilità di avvalersi del “mezzo elettronico” per tutte le comunicazioni da effettuare a favore dei lavoratori (informative, istruzioni, ecc.). In relazione alla norma ed ai “nuovi” adempimenti privacy introdotti, segnaliamo poi l’interessante spunto di analisi offerto da Antonio Ciccia Messina su LinkedIn, qui.

UE-GIAPPONE – L’EDPS (European Data Protection Supervisor) ha annunciato di aver emesso un parere circa la possibilità che, nell’esecuzione di un partenariato UE-Giappone, vengano trasferiti anche flussi di dati personali. Sebbene il Giappone sia già dal 2019 considerato un “paese adeguato”, l’EDPS ha espresso il suo parere in termini di necessità di ulteriori e specifici negoziati. In particolare, l’obiettivo sarebbe quello di prevedere – seppur limitatamente a casi espressamente giustificati – l’adozione di misure che comportino la conservazione dei dati nell’ambito dell’UE o, comunque, dello Spazio Economico Europeo (SEE).

CNIL VS. CRITEO – Sebbene non sia ancora stata comminata alcuna sanzione definitiva, la notizia è già diventata virale: il CNIL avrebbe in serbo per il colosso Criteo una sanzione di ben 65 milioni di dollari. L’accusa sarebbe quella di aver violato il GDPR e, più nello specifico, di aver effettuato attività di tracciamento e profilazione in mancanza di una base giuridica valida. Nei giorni scorsi l’Autorità francese – così come prescritto dalla normativa vigente – ha informato Criteo dell’andamento della denuncia a proprio carico. Rimaniamo ora in attesa della definitiva decisione sul caso.

DATA BREACH IN TWILIO – Il sito ufficiale del fornitore di servizi di comunicazione con base USA (SMS automation in particolare) ha rilasciato una news sul proprio blog in cui riporta di aver subito un “social engineering attack” che ha compromesso dati di dipendenti e clienti, scoperto in data 4 agosto. I clienti coinvolti hanno ricevuto una e-mail di alert con una serie di istruzioni e chiarimenti ulteriori.

  • D.LGS. 231

ANTICORRUZIONE – L’Autorità Anticorruzione italiana (ANAC) ha recentemente lanciato un nuovo portale per fornire ai cittadini degli indicatori “oggettivi” al fine di valutare l’intensità del rischio di verificazione di eventi corruttivi. Attraverso il portale – denominato “Misura le corruzione” – l’utente potrà valutare il rischio di ciascuna città o provincia italiana. Tre le macro aree tematiche individuate: indicatori di contesto, rischio corruttivo negli appalti e rischi a livello comunale.

AMBIENTE E RIFIUTI DIGITALI – Pubblicato di recente in Gazzetta Ufficiale il Decreto del Ministero della Transizione Ecologica che mira ad incentivare l’introduzione volontaria dei sistemi certificati di gestione ambientale disciplinati dal Reg. UE (CE) 2009/1221. Si prevede un contributo sino a 15 mila euro per consulenza e attività di certificazione, qualora non si disponga ancora di tali sistemi di gestione.

  • MERCATI DIGITALI

MEDIASET VS. VIMEO – Notizie di stampa riportano che anche il giudizio di appello nella controversia in materia di copyright tra il colosso italiano e la piattaforma Vimeo è andato a favore della prima: confermata la sanzione da 8,5 milioni di euro per violazione dei diritti d’autore su migliaia di filmati tratti da programmi televisivi della media company. La decisione si innesta in un solco già ampiamente tracciato a livello europeo.

GOOGLE E LA TRASPARENZA – Sarà lanciata a breve anche in Italia la funzione “Informazioni su questo risultato”, con cui la big di Mountain View punta a rafforzare la sua “operazione trasparenza” chiarendo all’utente le ragioni per cui vengono mostrati certi risultati nella ricerca sul web. Si segnala, in proposito, anche una e-mail inviata da Google ai propri utenti non paganti (account free) in cui viene ricordato che i servizi offerti sono gratuiti propri grazie alla pubblicità con cui la big tech si finanzia.

WHATSAPP E LA PRIVACY – Con un annuncio tramite Facebook, Mark Zuckerberg ha dichiarato l’arrivo di nuove funzioni “privacy” all’interno del popolare sistema di messaggistica immediata, tra cui il divieto di effettuare screenshot delle chat istantanee e la possibilità di uscire “silenziosamente” dai gruppi.

MUSK-TWITTER – Elon Musk ha venduto azioni di Tesla per un ammontare complessivo di quasi 7 miliardi di dollari. Secondo indiscrezioni, la decisione sarebbe strettamente correlata al caso Twitter: temendo un eventuale giudizio contrario nella causa contro il social network, Musk starebbe cominciando a trovare i fondi necessari per l’acquisto dello stesso, nel caso in cui gli esiti dovessero rivelarsi per lui sfavorevoli.

  • NEWS DAL MONDO

RUSSIA – Il prossimo 1 settembre entreranno in vigore in Russia nuove disposizioni in materia di trattamento di dati personali. Lo scorso 11 agosto il Roskomnadzor, Servizio federale per la supervisione delle comunicazioni, della tecnologia, dell’informazione e delle comunicazioni, ha reso disponibile una sintesi delle imminenti modifiche legislative. Tra le nuove previsioni, l’obbligo di comunicazione di fughe di dati e la previsione di pene più severe in caso di trattamento illegale, da considerarsi come vero e proprio “atto criminale”.

FRANCIA – L’Autorità garante per la protezione dei dati francese (CNIL) ha recentemente pubblicato degli strumenti didattici indirizzati al settore sportivo non agonistico, finalizzati a garantire il rispetto della normativa privacy dettata dal GDPR. Tra gli obiettivi dichiarati dell’Autorità, quello di fornire i medesimi strumenti anche per il settore professionistico.

BANGLADESH – Il Dipartimento delle tecnologie, dell’informazione e della comunicazione bengalese ha emanato un progetto di legge in materia di protezione dei dati, il cui ambito di applicazione territoriale si espanderà anche oltre i confini del Bangladesh. Come specificamente dichiarato nel corpo della bozza, la normativa non si applicherà al trattamento di dati anonimi, crittografati e pseudonimizzati.

AUSTRALIA – Sono al vaglio del governo locale le ipotesi di riforma del “Privacy Act 1988”, nell’ottica di tenere in considerazione la legislazione europea (GDPR in particolare) come standard di trasparenza ed efficacia a cui ispirarsi: l’OIAC, commissioner locale simile alle nostre autorità garanti, ha espresso un dettagliato parere in proposito.

SINGAPORE – L’autorità locale per la trasparenza monetaria (MAS) ha pubblicato un paper sull’analisi del rischio operazionale delle terze parti, all’esito di una approfondita ispezione di diverse banche aventi sede nel territorio. Interessanti i controlli e le indicazioni di governance formulate, specifiche per il settore bancario.

News #31: la Corte UE “estende”​ i dati sensibili; sciarpe “smart”​ allo stadio; nel patteggiamento 231 l’ente non paga le spese processuali.

/in , , /da

Immagine di copertina di Kalen Emsley grazie a Unsplash

  • PRIVACY

MATOMO, GA4 E I LORO FRATELLI – Mentre i dubbi continuano riguardo a Google Analytics 4 e alla sua (improbabile, a quanto pare) conformità al GDPR, salvo cambiamenti, emergono informazioni interessanti sui suoi competitor. Tra di essi Matomo, che – avendo avuto grande esposizione mediatica – sta venendo analizzato con sempre maggiore attenzione, e che presenta anch’esso potenziali profili di rischio a seguito del (dichiarato) utilizzo di soluzioni cloud offerte da Amazon Web Services (tramite la controllata neozelandese), in particolare per l’offerta di strumenti di CDN.

LA CGUE INTERPRETA I DATI PARTICOLARI – Una recentissima decisione dell’alta Corte UE (C-184/20) riguardo ad un caso lituano sembra aver aperto la strada per una interpretazione molto ampia di cosa costituisca un “dato particolare” ai sensi del GDPR. In particolare, la decisione ha ad oggetto i cosiddetti “dati inferiti”, cioè quelli derivati da altri dati personali: anche il dato derivato, insomma, è “particolare” se rivela – come nel caso di specie – un orientamento sessuale (o rientra comunque nella casistica di cui all’art. 9 GDPR). Tempi duri per servizi online come quelli di dating, di salute, o di pubblicità su temi “sensibili”?

BLOCKCHAIN VS. GDPR – Un report pubblicato da Bloomberg pone dei seri – e molto interessanti – quesiti sulla convivenza tra i diritti esercitabili in base alla normativa europea e la sostanziale “eternità” delle informazioni immagazzinate attraverso la blockchain, soprattutto riguardo a diritti di rettifica e “oblio”. Non solo: l’incertezza legale può arrivare a riguardare anche il concetto di “dati crittografati”, che con la blockchain rende complesso concedere uno dei diritti fondamentali, quello di accesso.

SCIARPA SMART – Ha fatto notizia l’avvio di una fase di test della “smart scarf” da parte del team inglese del Manchester City, che raccoglie dati utilizzando una serie di sensori a contatto con il collo e le spalle del tifoso che la indossa. Molto interessante come il club abbia rilevato i momenti di maggior interesse, emozione e coinvolgimento dei tifosi oggetto del pilota, lungo il corso dei 90 minuti di partita, tra cui il battito cardiaco e la temperatura corporea.

  • D. LGS. 231

PATTEGGIAMENTO – Con una recentissima sentenza (n. 30610 dello scorso 3 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) la Suprema Corte di Cassazione ha stabilito che, in caso di patteggiamento, l’ente non può essere condannato al pagamento delle spese processuali. Secondo l’orientamento dei giudici di Piazza Cavour, infatti, l’istituto della applicazione della pena previsto per le persone giuridiche non è perfettamente sovrapponibile a quello previsto per le persone fisiche (che non prevede il beneficio dell’esenzione dalle spese).

WHISTLEBLOWING –  Lo scorso 2 agosto la Camera dei Deputati ha approvato in via definitiva il Disegno di Legge recante la delega al Governo per poter – finalmente – recepire anche all’interno del nostro ordinamento la Direttiva UE 2019/1937 (cd. Direttiva Whistleblowing). La Direttiva, come è ormai noto, avrebbe dovuto essere recepita in tutti gli Stati Membri entro il 21 dicembre dello scorso anno, tuttavia moltissimi sono stati i Paesi che – proprio come l’Italia –  non hanno provveduto nei termini stabiliti. Aggiunto il tassello del voto della Camera, non ci resta che aspettare il Decreto Legislativo dell’Esecutivo.

MALVERSAZIONE – Ai fini della sussistenza del reato di malversazione (di cui all’art.316-bis c.p.) non è necessario che il finanziamento sia erogato dallo Stato, essendo sufficiente che il denaro sia concesso in presenza di una garanzia pubblica. A stabilirlo è la Cassazione (con la sentenza  n. 28416 dello scorso 19 luglio).

RAPPRESENTANZA PROCESSUALE DELL’ENTE –  La Corte di Cassazione ha recentemente stabilito (con la sentenza n. 28963) che gli amministratori indagati o imputati per il reato-presupposto non possono rappresentare l’ente in giudizio. A fondamento di tale decisione, la Corte ribadisce il tenore dell’articolo 39 del Decreto 231, secondo il quale l’ente non può partecipare al procedimento per il tramite del proprio rappresentante, nel caso in cui questi risulti coinvolto in prima persona nello stesso. Una tale inderogabile previsione è necessaria per assicurare e garantire pienamente il diritto di difesa della persona giuridica.

  • MERCATI DIGITALI

YOUTUBE-AGCOM – L’Autorità per le garanzie nelle comunicazioni ha recentemente sanzionato Youtube (di proprietà di Google) per ben 750 mila euro. Alla base del provvedimento la diffusione, da parte della piattaforma, di pubblicità del gioco d’azzardo, comportamento vietato dall’art. 9 del Decreto Dignità (D.L. 87/2018).

AMAZON COMPRA ROOMBA – Il colosso di Jeff Bezos ha annunciato di aver acquisito la casa produttrice di iRobot, l’aspirapolvere auto-gestito tra i più diffusi nel mondo, così rafforzando la sua posizione di fornitore di beni, oltre che di servizi. Non va dimenticato, tra l’altro, che il Roomba mappa la geometria di casa per fornire il miglior servizio, conoscendo così – di fatto – dove e come viviamo.. al centimetro.

PROCESSO PENALE TELEMATICO – Il Consiglio dei Ministri ha approvato il Decreto Legislativo che dà il via alle tecnologie informatiche nel settore penale, intervenendo ad esempio su notificazioni per via telematica e trasmissione dei fascicoli tra gli uffici giudiziari, evitando così che tali adempimenti impieghino mesi o anni, come oggi.

  • NEWS DAL MONDO

RUSSIA – Anche WhatsApp finisce nel mirino del Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, delle tecnologie, dell’informazione e dei mass media. Così come era successo ad altri big del settore digitale, anche WhatsApp viene sanzionato per non aver conservato all’interno del territorio federale russo una copia della documentazione attestante che il trattamento dei dati dei cittadini russi fosse avvenuto sul territorio dello stato.

REPUBBLICA CECA – L’UOOU (Ufficio per la protezione dei dati personali ceco) ha inflitto, lo scorso 1 agosto, una pesante ammenda nei confronti del Ministero dell’Interno locale per violazione della “Legge sulla polizia” nazionale. In particolare, è stato sanzionato il trattamento di dati sanitari (e, dunque, particolari) caricati dai cittadini su una app dedicata alla quarantena.

BASSA SASSONIA – L’Autorità garante della Bassa Sassonia ha recentemente inflitto una salata sanzione (per ben 900 mila euro) a un istituto di credito per aver trattato dati personali senza avere a supporto una base giuridica sufficiente. In particolare, l’ente sanzionato avrebbe tratto dati personali – addirittura anche di ex clienti – senza consenso, sulla sola base dell’insufficiente legittimo interesse.

INDIA – A seguito di una mozione alla Camera bassa, riporta Data Guidance, il Governo locale ha cancellato il “data protection bill” del 2019, mentre è in corso di diffusione per pubblica consultazione la nuova norma che lo andrà a sostituire.

Controlli in azienda e Green Pass: novità del 21 settembre 2021

/in , /da

Tenuto conto della novità di ieri – ancora in via di esatta definizione – riguardo alla obbligatorietà di possesso del Green Pass per accedere ai luoghi di lavoro in ambito privato, ho ritenuto utile cominciare a proporre alcuni appunti sul Decreto Legge appena approvato, corredati da spunti operativi dedicati ai naviganti (le aziende). Tutto questo, alla data del 22 settembre 2021, ore 15:30 (caveat per i posteri).

La situazione attuale

E’ stato approvato oggi (21 settembre) il Decreto Legge n. 127/2021 (QUI in Gazzetta Ufficiale), con cui il Governo interviene in via d’urgenza – come siamo ormai abituati a vedere – sulla gestione della pandemia da Covid-19 tutt’ora in atto.

Con l’art. 3 del Decreto Legge si forniscono le disposizioni in “ambito lavorativo privato”: in sostanza, e prima di tutto, per le aziende, gli studi professionali, le ONLUS e tutti gli ambiti “non pubblici” e/o giudiziari (su cui invece rilevano gli artt. 1 e 2).

Giova ricordare che il Decreto Legge dovrà essere convertito in legge entro 60 giorni dalla sua pubblicazione, da parte del Parlamento, con eventuali modifiche.

La norma chiave sarà quindi, salvo modificazioni, l’art. 9-septies del D. L. 52/2021.

Principali tematiche aperte

Primo punto è, ovviamente, la data fatidica di “obbligo” della verifica del Green Pass: il 15 ottobre 2021. Va anche precisato che, al momento – e non poteva essere diversamente – l’obbligo resterà valido fino a tutto il 31 dicembre 2021, termine previsto dello stato di emergenza. Si dubita, naturalmente, che al 1 gennaio 2022 tutto ciò venga meno, in quanto (purtroppo) la situazione pandemica appare ben lontana dall’essere conclusa.

Ruota tutto intorno alla verifica, posta in capo ai datori di lavoro (comma IV), del rispetto dell’obbligo di possedere la “certificazione verde” (o Green Pass) attribuita a chiunque presti lavoro nel settore privato.

Il Decreto prevede:

  • la definizione delle “modalità operative” di verifica del Green Pass (istruzioni ai verificatori, procedure esatte),
  • la sua verifica “anche a campione”,
  • i luoghi di verifica (“prioritariamente, ove possibile, … al momento dell’accesso ai luoghi di lavoro”),
  • le sanzioni – sia per il lavoratore sprovvisto che per il datore che non controlla adeguatamente – in caso di mancato rispetto della normativa in vigore.

Tutto ciò oltre, naturalmente, al rispetto della protezione dei dati personali, su cui sia il legislatore che il Garante si sono già soffermati, e su cui probabilmente torneranno con l’emanazione di un DPCM (il Governo) e di linee guida (l’Autorità), ci si augura non a ridosso del 15 ottobre prossimo.

Si crea allora un quadro sempre più complesso e articolato, rispetto alla ultime news a cui ci siamo rapidamente abituati (QUI alcuni spunti pubblicati nei giorni scorsi).

Azioni operative in vista del 15 ottobre

La formulazione della norma appare il risultato – evidente – di una mediazione, che si è svolta tra diverse sensibilità e potrebbe anche non essere del tutto terminata.

Si lascia infatti al datore di lavoro una certa discrezionalità – utile e pericolosa insieme – su come predisporre i controlli e gestire il flusso di informazioni e dati personali.

La flessibilità è utile, perché in aziende di ampie dimensioni e/o suddivise in diversi luoghi (ad esempio, di produzione) sarà possibile fare verifiche “a campione”, ovvero non puntuali e stressanti ogni giorno, ma predisporre un piano di controlli sensato e adatto alle esigenze.

Una prima proposta di lavoro, ad esempio, potrebbe esser quella di verificare una prima volta tutti i lavoratori, il 15 ottobre, e poi disporre controlli a campione, non potendo sapere quali Green Pass fossero “da vaccinazione” e quali “da tampone” (l’app VerificaC19 non dà informazioni in merito, e non è permesso chiedere dati ulteriori).

Vero è che con i controlli a campione potrebbero sfuggire situazioni di assenza del Green Pass, anche per più giorni consecutivi: e allora, se non in base alla sanzione del Decreto Legge, il rischio per il datore di lavoro – e l’RSPP – sarebbe configurabile certamente in tema D. Lgs. 81/2008, ovvero lato sicurezza sul lavoro. Un bilanciamento di esigenze sarà probabilmente da studiare, caso per caso, escludendo soluzioni “standard”.

Stessa flessibilità viene concessa anche per il luogo di effettuazione delle verifiche: “prioritariamente, ove possibile” al momento dell’accesso ai luoghi di lavoro. Ciò significa che ben potrebbe il datore di lavoro gestire la verifica (sempre a campione, in teoria) anche all’interno dello stabilimento, qualora non vi siano altre possibilità o esse siano particolarmente gravose – anche considerando che andiamo incontro al periodo invernale. Come potrebbe essere sensato creare lunghe file all’esterno di un capannone industriale, magari al freddo, tenendo decine o centinaia di lavoratori per diversi minuti fermi, mentre il personale verifica tramite l’App ufficiale i Green Pass?

Va infatti ricordato, per chiudere le considerazioni pratiche, che non è consentito alcun trattamento di dati ulteriore, rispetto all’uso “manuale” della App ufficiale.

Non sono previsti totem o altri sistemi di memorizzazione, né raccolta su file excel o database di informazioni inerenti il Green Pass (“valido”/”non valido” si è visto in ambito scolastico, solo tramite piattaforma validata dal Garante, e solo con accesso limitato a pochi soggetti ben determinati).

In ultimo, va ricordato anche che la norma di cui all’art. 9-septies impone la verifica non solo verso i propri dipendenti, ma anche sui collaboratori esterni, fornitori e consulenti che accedono ai locali aziendali – in collaborazione con il datore di lavoro di questi ultimi, se presente.

In sostanza, le cautele dovranno essere molte, e ben strutturate.

_____________________________________________

Photo by LYCS Architecture on Unsplash