Categoria: Diritto amministrativo

Illegittimo accedere alla casella e-mail del dipendente cessato

Non è consentito al datore di lavoro accedere alla casella e-mail aziendale del dipendente ormai cessato.

È quanto stabilito dal Garante per la Protezione dei dati personali con provvedimento 140/2024 del 7.3.2024.

Con tale provvedimento è stato infatti sanzionato un datore di lavoro che, dopo la cessazione del rapporto di lavoro con due dipendenti, ha mantenuto attivi per diversi mesi gli account di posta elettronica individualizzati assegnati a questi ultimi.

A tali account ha acceduto, in tale lasso di tempo, il rappresentante legale della società.

Non sono state ritenute legittime e preminenti le giustificazioni addotte dal datore di lavoro che aveva dichiarato:

  1. di avere mantenuto attivi i predetti account per avere accesso a reclami o richieste tecniche inviate dai clienti;
  2. che “l’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”;
  3. che l’accesso alle caselle di posta elettronica dopo la cessazione del rapporto di lavoro è stato effettuato solamente con riferimento alle e-mail provenienti da determinati mittenti e relative ai rapporti aziendali, selezionate quindi mediante l’utilizzo di parole chiave

Il Garante ha osservato che il datore di lavoro, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.

Tale comportamento è stato considerato illecito, da un lato, sotto il profilo della mancata informativa all’interessato in ordine al fatto che dopo la cessazione del rapporto, la società avrebbe eseguito accessi sulla sua casella di posta aziendale individualizzata.

Il Titolare del trattamento, avrebbe dovuto fornire ai dipendenti una informativa che contenesse anche indicazioni sulle modalità di disattivazione dell’account da rimuovere, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.

Sotto altro profilo, il trattamento è stato inoltre considerato illecito poiché il datore di lavoro avrebbe effettuato una ricerca delle e-mail rilevanti dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account degli ex dipendenti.

E sul punto il Garante ha sottolineato che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).

Conseguentemente la condotta tenuta dal datore di lavoro, in qualità di titolare del trattamento, consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, è stata dichiarata in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione.

Scarica qui il provvedimento del Garante e la nostra Newsletter sul punto.

What Next? Le Città Metropolitane a 10 anni dalla loro istituzione

Con Ispro Istituzioni e Progetti la nostra senior partner Avv. Francesca Aliverti ha avuto il piacere e l’onore di intervenire nella giornata dell’8 aprile 2024 al seminario organizzato presso Palazzo Isimbardi da Città Metropolitana di Milano dal titolo What Next? finalizzato a stimolare una riflessione sul ruolo dell’ente di area vasta a 10 anni dalla sua istituzione.

Sono state monitorate e studiate le iniziative parlamentari e governative finalizzate a riformare – ancora una volta e sotto vari aspetti (dal sistema elettivo, alle funzioni fondamentali al sistema di finanziamento) – l’ente Città Metropolitana.

La lettura critica ai provvedimenti ha messo in evidenza la necessità di una riforma più strutturale su funzioni e modalità di finanziamento e ha voluto anche stimolare una riflessione sulla necessità di assegnare un ruolo può definito alle tre grandi città metropolitane italiane sulla falsariga dei modelli delle grandi metropoli europee.

Scarica il programma dell’evento, ovvero accedi alla pagina dedicata sul portale della Città Metropolitana di Milano.

Accedi qui per l’intervento dell’Avv. Francesca Aliverti.

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.

Violazioni in monopattino: niente sospensione della patente

Può essere disposta la sospensione della patente in caso di violazioni del codice della strada commesse utilizzando un monopattino o una bicicletta?

In un recente caso trattato dalla Suprema Corte, l’imputato aveva patteggiato ai sensi dell’art. 444 c.p.p., la pena, condizionalmente sospesa, di mesi cinque, giorni dieci di arresto ed Euro 1.400,00 di ammenda in ordine al reato guida in stato di ebbrezza (art. 186 del D. Lgs. n. 30 aprile 1992, n. 285 c.d. Codice della Strada) è stato dichiarato che “Costituisce principio consolidato nella giurisprudenza di questa Suprema Corte quello per cui la sanzione amministrativa accessoria della sospensione (o della revoca) della patente di guida, conseguente per legge a illeciti posti in essere con violazione delle norme sulla circolazione stradale, non può essere applicata a colui il quale si sia posto alla guida di veicolo per la cui circolazione non è richiesta alcuna abilitazione (così, tra le altre: Sez. 4, n. 34772 del 26/11/2020, Cani, Rv. 280075-01; Sez. 4, n. 19413 del 29/03/2013, Cologna, Rv. 255081; Sez. U, n. 12316 del 30/01/2002, Fugger, Rv. 221039- 01)”.

Prosegue la S.C. affermando che tale principio, per lo più espresso con riferimento alla guida di un velocipede, può, all’evidenza, essere esteso anche alla conduzione di un monopattino, avendo l’art. 1, comma 75-quinquies, legge 27 dicembre 2019, n. 160, espressamente equiparato (fatte salve alcune eccezioni non rilevanti nel caso di specie) i monopattini a propulsione prevalentemente elettrica ai velocipedi.

Nella fattispecie, pertanto, la sanzione amministrativa accessoria della revoca della patente di guida è stata erroneamente applicata con riferimento ad un’ipotesi di guida in stato di ebbrezza concernente la conduzione di un mezzo (monopattino) per la cui guida non è richiesto alcun titolo abilitativo.

Scarica qui Cass. Pen., Sez. IV, 4 dicembre 2023, n. 48083 e la nostra newsletter sul punto.

Intelligenza artificiale: la norma ISO/IEC 42001:2023

Nella ancora confusa ed embrionale regolamentazione del fenomeno dell’AI (Intelligenza Artificiale), nel mese di dicembre è stata pubblicata la norma ISO/IEC 42001:2023 “Information Technology Artificial Intelligence – Management system.

Si tratta di uno standard internazionale che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’intelligenza artificiale nell’ambito delle organizzazioni.

Tale standard è progettato per gli enti che forniscono o utilizzano prodotti o servizi basati sull’intelligenza artificiale, garantendo lo sviluppo e l’uso responsabile dei sistemi di intelligenza artificiale attraverso considerazioni etiche, trasparenza e apprendimento continuo.

ISO descrive i seguenti vantaggi derivanti dall’implementazione della norma ISO/IEC 42001:

  • IA responsabile: lo standard garantisce un uso etico e responsabile dell’intelligenza artificiale.
  • Gestione della reputazione: lo standard migliora la fiducia nelle applicazioni AI.
  • Governance dell’intelligenza artificiale: supporta la conformità agli standard normativi.
  • Guida pratica: gestisce in modo efficace i rischi specifici dell’IA.
  • Identificazione delle opportunità: incoraggia l’innovazione all’interno di un quadro strutturato.

Scarica qui la nostra newsletter sul punto.