Illegittimo accedere alla casella e-mail del dipendente cessato

Non è consentito al datore di lavoro accedere alla casella e-mail aziendale del dipendente ormai cessato.

È quanto stabilito dal Garante per la Protezione dei dati personali con provvedimento 140/2024 del 7.3.2024.

Con tale provvedimento è stato infatti sanzionato un datore di lavoro che, dopo la cessazione del rapporto di lavoro con due dipendenti, ha mantenuto attivi per diversi mesi gli account di posta elettronica individualizzati assegnati a questi ultimi.

A tali account ha acceduto, in tale lasso di tempo, il rappresentante legale della società.

Non sono state ritenute legittime e preminenti le giustificazioni addotte dal datore di lavoro che aveva dichiarato:

  1. di avere mantenuto attivi i predetti account per avere accesso a reclami o richieste tecniche inviate dai clienti;
  2. che “l’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”;
  3. che l’accesso alle caselle di posta elettronica dopo la cessazione del rapporto di lavoro è stato effettuato solamente con riferimento alle e-mail provenienti da determinati mittenti e relative ai rapporti aziendali, selezionate quindi mediante l’utilizzo di parole chiave

Il Garante ha osservato che il datore di lavoro, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.

Tale comportamento è stato considerato illecito, da un lato, sotto il profilo della mancata informativa all’interessato in ordine al fatto che dopo la cessazione del rapporto, la società avrebbe eseguito accessi sulla sua casella di posta aziendale individualizzata.

Il Titolare del trattamento, avrebbe dovuto fornire ai dipendenti una informativa che contenesse anche indicazioni sulle modalità di disattivazione dell’account da rimuovere, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.

Sotto altro profilo, il trattamento è stato inoltre considerato illecito poiché il datore di lavoro avrebbe effettuato una ricerca delle e-mail rilevanti dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account degli ex dipendenti.

E sul punto il Garante ha sottolineato che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).

Conseguentemente la condotta tenuta dal datore di lavoro, in qualità di titolare del trattamento, consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, è stata dichiarata in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione.

Scarica qui il provvedimento del Garante e la nostra Newsletter sul punto.

Responsabilità sanitaria: il paziente deve dimostrare l’errore medico?

In ordine alle fattispecie di responsabilità medica non sottoposte al nuovo regime introdotto dalla legge n. 24 del 2017 (la quale non trova applicazione ai fatti verificatisi anteriormente alla sua entrata in vigore: Cass. 08/11/2019, n. 28811; Cass. 11/11/2019, n. 28994), la Cassazione, con orientamento consolidatosi sin dagli ultimi anni dello scorso millennio, ha chiarito che, nell’ipotesi in cui il paziente alleghi di aver subìto danni in conseguenza di una attività svolta dal medico (eventualmente, ma non necessariamente, sulla base di un vincolo di dipendenza con la struttura sanitaria) in esecuzione della prestazione che forma oggetto del rapporto obbligatorio tra quest’ultima e il paziente, tanto la responsabilità della struttura quanto quella del medico vanno qualificate in termini di responsabilità contrattuale: la prima, in quanto conseguente all’inadempimento delle obbligazioni derivanti dal contratto atipico di spedalità o di assistenza sanitaria, che il debitore (la struttura) deve adempiere personalmente (rispondendone ex art. 1218 cod. civ.) o mediante il personale sanitario (rispondendone ex art. 1228 cod. civ.); la seconda, in quanto conseguente alla violazione di un obbligo di comportamento fondato sulla buona fede e funzionale a tutelare l’affidamento sorto in capo al paziente in seguito al contatto sociale avuto con il medico, che diviene quindi direttamente responsabile, ex art. 1218 cod. civ.., della violazione di siffatto obbligo (a partire da Cass. 22/01/1999, n. 589, cfr., tra le tante: Cass. 19/04/2006, n. 9085; Cass. 14/06/2007, n. 13953; Cass. 31/03/2015, n. 6438; Cass. 22/09/2015, n. 18610).

Il criterio di riparto dell’onere della prova in siffatte fattispecie non è pertanto quello che governa la responsabilità extracontrattuale aquiliana (nell’ambito della quale il danneggiato è onerato della dimostrazione di tutti gli elementi costitutivi dell’illecito ascritto al danneggiante) ma quello che governa la responsabilità contrattuale, in base al quale il creditore che abbia provato la fonte del suo credito ed abbia allegato che esso sia rimasto totalmente o parzialmente insoddisfatto, non è altresì onerato di dimostrare l’inadempimento o l’inesatto adempimento del debitore, spettando a quest’ultimo la prova dell’esatto adempimento (Cass., Sez. Un., 30/10/2001, n. 13533; tra le conformi, ex multis: Cass. 20/01/2015, n. 826; Cass. 04/01/2019, n. 98; Cass. 11/11/2021, n. 3587).

In particolare, con precipuo riferimento alle fattispecie di inadempimento delle obbligazioni professionali – tra le quali si collocano quelle di responsabilità medica – la S.C. ha da tempo chiarito che è onere del creditore-attore dimostrare, oltre alla fonte del suo credito (contratto o contatto sociale), l’esistenza del nesso causale, provando che la condotta del professionista è stata, secondo il criterio del “più probabile che non”, la causa del danno lamentato (Cass. 07/12/2017, n.29315; Cass. 15/02/2018, n. 3704; Cass. 20/08/2018, n. 20812), mentre è onere del debitore dimostrare, in alternativa all’esatto adempimento, l’impossibilità della prestazione derivante da causa non imputabile, provando che l’inadempimento (o l’inesatto adempimento) è stato determinato da un impedimento imprevedibile ed inevitabile con l’ordinaria diligenza, e dunque sia oggettivamente non imputabile all’agente (ex aliis, tra le più recenti, Cass. 29/03/2022, n.10050; Cass.27/02/2023, n. 5808).

Nel recente caso trattato dalla S.C. con l’ordinanza 5922/2024 un paziente aveva domandato l’accertamento della responsabilità della struttura sanitaria per i danni derivatigli da un intervento (la manovra di anestesia spinale) che egli assumeva svolto in spregio alle leges artis, allegando che, in seguito all’erronea introduzione dell’ago nella cavità spinale, questo aveva subìto una deviazione, provocandogli dolore e non ottenendo il risultato anestetico, tanto che l’anestesista aveva dovuto estrarlo e riposizionarlo più in alto, non senza confessare il proprio errore all’infermiera che lo assisteva.

Avuto riguardo a tale specifica allegazione, il paziente era bensì onerato di introdurre mezzi di prova, anche di natura presuntiva, al fine di accertare il nesso di causalità materiale intercorrente tra l’allegata condotta del medico e l’evento dannoso, rappresentato dal documentato aggravamento della patologia degenerativa preesistente, esitato nella paralisi del nervo ascellare destro e dell’emidiaframma sinistro, diagnosticatagli circa due mesi dopo l’intervento chirurgico, all’esito di numerose visite, effettuate anche presso strutture di Pronto Soccorso, a causa dei problemi ortopedici e respiratori insorti successivamente ad esso; il ricorrente non era, però, altresì onerato di provare la sua allegazione circa la condotta negligente ed imperita dell’anestesista, spettando invece alla Struttura Sanitaria convenuta, previa contestazione di tale allegazione, l’opposto onere di provare che, al contrario, la prestazione sanitaria era stata eseguita con la diligenza, la prudenza e la perizia richieste nel caso concreto, oppure che l’inadempimento (ovvero l’adempimento inesatto) fosse dipeso dall’impossibilità di eseguirla esattamente per causa non imputabile.

La Corte d’appello, disattendendo quanto sopra – e sulla base di una indebita confusione tra i due elementi del fatto di inadempimento e del nesso causale tra lo stesso e l’evento di danno – ha rigettato la domanda risarcitoria del paziente sul rilievo che egli non aveva fornito la prova (asseritamente raggiungibile attraverso la deduzione di appositi capitoli testimoniali e l’escussione su di essi dell’infermiera presente all’intervento) dell’allegata condotta imperita del medico anestesista e dell'”effettività” dello stress algico conseguentemente subito dal paziente.

Secondo la Cassazione, in tal modo, la Corte territoriale, lungi dal sanzionare legittimamente l’inosservanza dell’onere probatorio del paziente di provare il nesso causale, lo ha – illegittimamente – ritenuto gravato del distinto e ulteriore onere di provare l’inadempimento della struttura sanitaria, omettendo di considerare che non spettava al paziente dimostrare l’allegato errore del medico, ma spettava alla struttura sanitaria dimostrarne l’esatto adempimento, provando, in ossequio al parametro della diligenza qualificata di cui all’art. 1176, secondo comma, cod. civ., che la manovra anestesiologica era stata eseguita in modo corretto, nel pieno rispetto delle regole tecniche proprie della professione esercitata.

In sostanza, per la Cassazione, nella citata ordinanza 5922/2024 della Sezione III civile, ricorda le regole di riparto dell’onere probatorio qualora un soggetto invochi il risarcimento del danno da errore medico in ragione di un rapporto di natura contrattuale. Il paziente in questi casi deve provare, anche con presunzioni, il nesso di causa tra la condotta medica ritenuta erronea e il danno subito. La struttura sanitaria deve invece dimostrare la correttezza della condotta medica o che l’inadempimento è stato determinato da una causa non imputabile. Non spetta quindi al paziente che chiede il risarcimento dei danni subiti dimostrare l’errore medico.

Scarica qui l’ordinanza della S.C. e la nostra newsletter sul punto.

Fattura non contestata: credito riconosciuto

La fattura commerciale, documento di formazione unilaterale, ha valenza probatoria anche nei confronti del destinatario?

La questione è stata risolta in senso positivo dalla Corte di Cassazione, Sezione II civile, con sentenza 3581/2024 che ha stabilito che “la fattura commerciale ha non soltanto efficacia probatoria nei confronti dell’emittente, che vi indica la prestazione e l’importo del prezzo, ma può costituire piena prova nei confronti di entrambe le parti dell’esistenza di un corrispondente contratto, allorché risulti accettata dal contraente destinatario della prestazione che ne è oggetto e annotata nelle scritture contabili”.

Tale circostanza renderebbe quindi la fattura, nella sostanza, non contestata affermando, tra l’altro, che stante l’efficacia obbligatoria piena dell’atto ricognitivo, di evidente natura confessoria, operativa come quella della confessione, in ordine ai fatti, produttivi di situazioni o rapporti giuridici, sfavorevoli al dichiarante, la Corte distrettuale ne avrebbe dovuto trarre la conclusione della idoneità della fattura contabilizzata a confermare la preesistenza del rapporto obbligatorio fondamentale.

Sulla base di tali principi, dunque la fattura commerciale può costituire piena prova di un rapporto contrattuale e del credito ivi riportato, costituendo atto ricognitivo in ordine a un fatto produttivo di un rapporto giuridico sfavorevole al dichiarante, stante la sua natura confessoria.

In epoca di fatture elettroniche, quindi, potrà assumere particolare valenza il mancato rifiuto delle fatture passive mediante i programmi di fatturazione in uso agli operatori commerciali.

Scarica qui la sentenza citata e la nostra newsletter sul punto.

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.

Non far vedere i figli al coniuge: no alla tenuità del fatto

L’art. 388 c.p. stabilisce che “Chiunque, per sottrarsi all’adempimento degli obblighi nascenti da provvedimento dell’autorità giudiziaria, o dei quali è in corso l’accertamento dinanzi all’autorità giudiziaria stessa, compie, sui propri o sugli altrui beni, atti simulati o fraudolenti, o commette allo stesso scopo altri fatti fraudolenti, è punito, qualora non ottemperi all’ingiunzione di eseguire il provvedimento, con la reclusione fino a tre anni o con la multa da euro 103 a euro 1.032. La stessa pena si applica a chi elude l’esecuzione di un provvedimento del giudice civile, ovvero amministrativo o contabile, che concerna l’affidamento di minori o di altre persone incapaci, ovvero prescriva misure cautelari a difesa della proprietà, del possesso o del credito”.

Il reato può essere applicato al coniuge che non osservi le statuizioni di un provvedimento giudiziale in tema di affidamento dei figli minori.

Con sentenza 30.11.2023 n. 47882 la Sezione II Penale della S.C. di Cassazione, ha ritenuto non applicabile la speciale causa di non punibilità sancita dall’art. 131 bis c.p.p. al caso di una moglie che non aveva consentito al marito separato, per quattro mesi, nell’anno 2016, di vedere i figli a lei affidati, in violazione degli accordi fra i coniugi, recepiti nel decreto di omologa della separazione consensuale.

L’art. 131 bis c.p.p. prevede, tra l’altro che “Nei reati per i quali è prevista la pena detentiva non superiore nel minimo a due anni, ovvero la pena pecuniaria, sola o congiunta alla predetta pena, la punibilità è esclusa quando, per le modalità della condotta e per l’esiguità del danno o del pericolo, valutate ai sensi dell’articolo 133, primo comma, anche in considerazione della condotta susseguente al reato, l’offesa è di particolare tenuità e il comportamento risulta non abituale. L’offesa non può essere ritenuta di particolare tenuità, ai sensi del primo comma, quando l’autore ha agito per motivi abietti o futili, o con crudeltà, anche in danno di animali, o ha adoperato sevizie o, ancora, ha profittato delle condizioni di minorata difesa della vittima, anche in riferimento all’età della stessa ovvero quando la condotta ha cagionato o da essa sono derivate, quali conseguenze non volute, la morte o le lesioni gravissime di una persona”.

Nel caso in esame la S.C. ha stabilito che da un lato non fosse stata data prova di asseriti impegni di lavoro che avrebbero impedito al marito di essere puntuale agli appuntamenti fissati né di un presunto interesse della stessa a privilegiare il rapporto con il nuovo compagno a discapito del diritto del padre di incontrare i figli, mentre dall’altro è emersa la refrattarietà della moglie a trovare soluzioni accomodanti e il protrarsi della condotta elusiva.

Per tali ragioni sono state ritenute indimostrate cause che potessero condurre a una declaratoria di tenuità del fatto.

Scarica qui la sentenza integrale e la nostra newsletter sul punto.