Categoria: Diritto civile

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.

Non far vedere i figli al coniuge: no alla tenuità del fatto

L’art. 388 c.p. stabilisce che “Chiunque, per sottrarsi all’adempimento degli obblighi nascenti da provvedimento dell’autorità giudiziaria, o dei quali è in corso l’accertamento dinanzi all’autorità giudiziaria stessa, compie, sui propri o sugli altrui beni, atti simulati o fraudolenti, o commette allo stesso scopo altri fatti fraudolenti, è punito, qualora non ottemperi all’ingiunzione di eseguire il provvedimento, con la reclusione fino a tre anni o con la multa da euro 103 a euro 1.032. La stessa pena si applica a chi elude l’esecuzione di un provvedimento del giudice civile, ovvero amministrativo o contabile, che concerna l’affidamento di minori o di altre persone incapaci, ovvero prescriva misure cautelari a difesa della proprietà, del possesso o del credito”.

Il reato può essere applicato al coniuge che non osservi le statuizioni di un provvedimento giudiziale in tema di affidamento dei figli minori.

Con sentenza 30.11.2023 n. 47882 la Sezione II Penale della S.C. di Cassazione, ha ritenuto non applicabile la speciale causa di non punibilità sancita dall’art. 131 bis c.p.p. al caso di una moglie che non aveva consentito al marito separato, per quattro mesi, nell’anno 2016, di vedere i figli a lei affidati, in violazione degli accordi fra i coniugi, recepiti nel decreto di omologa della separazione consensuale.

L’art. 131 bis c.p.p. prevede, tra l’altro che “Nei reati per i quali è prevista la pena detentiva non superiore nel minimo a due anni, ovvero la pena pecuniaria, sola o congiunta alla predetta pena, la punibilità è esclusa quando, per le modalità della condotta e per l’esiguità del danno o del pericolo, valutate ai sensi dell’articolo 133, primo comma, anche in considerazione della condotta susseguente al reato, l’offesa è di particolare tenuità e il comportamento risulta non abituale. L’offesa non può essere ritenuta di particolare tenuità, ai sensi del primo comma, quando l’autore ha agito per motivi abietti o futili, o con crudeltà, anche in danno di animali, o ha adoperato sevizie o, ancora, ha profittato delle condizioni di minorata difesa della vittima, anche in riferimento all’età della stessa ovvero quando la condotta ha cagionato o da essa sono derivate, quali conseguenze non volute, la morte o le lesioni gravissime di una persona”.

Nel caso in esame la S.C. ha stabilito che da un lato non fosse stata data prova di asseriti impegni di lavoro che avrebbero impedito al marito di essere puntuale agli appuntamenti fissati né di un presunto interesse della stessa a privilegiare il rapporto con il nuovo compagno a discapito del diritto del padre di incontrare i figli, mentre dall’altro è emersa la refrattarietà della moglie a trovare soluzioni accomodanti e il protrarsi della condotta elusiva.

Per tali ragioni sono state ritenute indimostrate cause che potessero condurre a una declaratoria di tenuità del fatto.

Scarica qui la sentenza integrale e la nostra newsletter sul punto.

Intelligenza artificiale: la norma ISO/IEC 42001:2023

Nella ancora confusa ed embrionale regolamentazione del fenomeno dell’AI (Intelligenza Artificiale), nel mese di dicembre è stata pubblicata la norma ISO/IEC 42001:2023 “Information Technology Artificial Intelligence – Management system.

Si tratta di uno standard internazionale che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’intelligenza artificiale nell’ambito delle organizzazioni.

Tale standard è progettato per gli enti che forniscono o utilizzano prodotti o servizi basati sull’intelligenza artificiale, garantendo lo sviluppo e l’uso responsabile dei sistemi di intelligenza artificiale attraverso considerazioni etiche, trasparenza e apprendimento continuo.

ISO descrive i seguenti vantaggi derivanti dall’implementazione della norma ISO/IEC 42001:

  • IA responsabile: lo standard garantisce un uso etico e responsabile dell’intelligenza artificiale.
  • Gestione della reputazione: lo standard migliora la fiducia nelle applicazioni AI.
  • Governance dell’intelligenza artificiale: supporta la conformità agli standard normativi.
  • Guida pratica: gestisce in modo efficace i rischi specifici dell’IA.
  • Identificazione delle opportunità: incoraggia l’innovazione all’interno di un quadro strutturato.

Scarica qui la nostra newsletter sul punto.

Tutela del whistleblowing: prime pronunce

Interessante sentenza della Sezione Lavoro del Tribunale di Milano in tema di tutela del lavoratore che abbia segnalato comportamenti illeciti.

Come noto, il recente d.lgs. 24/2023 ha stabilito le misure di tutela dei c.d. “whistleblower”, ossia coloro che denuncino ai prescritti canali interni ovvero alle autorità esterne deputate alla ricezione di tali segnalazioni, illeciti amministrativi, civili e penali, condotte illecite rilevanti ai fini della responsabilità amministrative dell’ente ex d.lgs. 231/2001 e altri illeciti che ledono gli interessi tutelati dalla UE, che vengano commessi nell’ambito della attività d’impresa.

Il decreto citato vieta ogni misura ritorsiva nei confronti del c.d. segnalante o “whistleblower” e all’art. 17 sancisce espressamente che costituiscono (a titolo esemplificativo e non esaustivo) ritorsioni:

  1. il licenziamento, la sospensione o misure equivalenti;
  2. la retrocessione di grado o la mancata promozione;
  3. il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro;
  4. la sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa;
  5. le note di merito negative o le referenze negative;
  6. l’adozione di misure disciplinari o di altra sanzione, anche pecuniaria;
  7. la coercizione, l’intimidazione, le molestie o l’ostracismo;
  8. la discriminazione o comunque il trattamento sfavorevole;
  9. la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
  10. il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
  11. i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
  12. l’inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;
  13. la conclusione anticipata o l’annullamento del contratto di fornitura di beni o servizi;
  14. l’annullamento di una licenza o di un permesso;
  15. la richiesta di sottoposizione ad accertamenti psichiatrici o medici.

In questo contesto, il Tribunale di Milano con provvedimento del 20.8.2023 ha sospeso ogni provvedimento disciplinare irrogato da una società a un dipendente che aveva effettuato una serie di segnalazioni, prima informalmente e poi formalmente, ad organi di controllo e di garanzia della società nonché al sindaco di Milano in relazione alla vicenda, poi divenuta di pubblico dominio, dei “biglietti clonati”, vale a dire il sistema creato da alcuni dipendenti infedeli per generare e vendere ” in nero” biglietti e abbonamenti non registrati dai sistemi informatici e, dunque, nemmeno contabilizzati con la correlativa perdita di somme ingentissime da parte della società datrice di lavoro e del Comune di Milano.

Scarica qui il provvedimento del Tribunale di Milano e la nostra newsletter sul punto.

Clausole abusive: il tramonto del giudicato

Le Sezioni Unite della Cassazione, con la Sentenza n.9479 del 6 aprile 2023 si sono pronunciate in ordine al fatto se un decreto ingiuntivo non opposto e quindi passato in giudicato, basato su clausole abusive ai danni di un consumatore sia ormai definitivamente incontestabile o se soccorrano mezzi di tutela a favore del consumatore.

La vicenda prende le mosse da una questione di normativa europea, oggetto di dibattito dottrinale e giurisprudenziale, in merito al superamento del giudicato implicito nel provvedimento monitorio e delle possibili soluzioni per adattare gli istituti dell’ordinamento interno secondo le indicazioni della Corte di Giustizia Europea.

La Corte Europea con quattro sentenze emesse il 17 maggio 2022 (cause riunite C-693/19 e C-831/19, causa C-725/19, causa C-600/19 e causa C-869/19), in applicazione della disciplina prevista dalla direttiva europea 93/13/CEE a tutela della categoria dei consumatori, ha ritenuto superabile la definitività del decreto ingiuntivo non opposto rispetto al diritto in esso accertato in presenza di clausole abusive ed ha disposto che tutti gli Stati Membri debbano assicurare le misure idonee al fine di garantire la piena tutela riconosciuta dalla direttiva in questione

Tale direttiva sancisce all’art. 6 che “Gli Stati membri prendono le misure necessarie affinché il consumatore non sia privato della protezione assicurata dalla presente direttiva a motivo della scelta della legislazione di un paese terzo come legislazione applicabile al contratto, laddove il contratto presenti un legame stretto con il territorio di uno Stato membro” e all’art. 7 che “Gli Stati membri, nell’interesse dei consumatori e dei concorrenti professionali, provvedono a fornire mezzi adeguati ed efficaci per far cessare l’inserzione di clausole abusive nei contratti stipulati tra un professionista e dei consumatori”.

La giurisprudenza europea, quindi, facendo leva sulla posizione di inferiorità del consumatore, sia dal punto di vista informativo che rispetto al potere negoziale, nei confronti del professionista ha dichiarato contraria ai principi europei la normativa interna che non consente al Giudice dell’Esecuzione di poter rilevare d’ufficio l’eventuale abusività delle clausole del contratto su cui si fonda il diritto di credito accertato nel provvedimento monitorio non opposto.

Questa pronuncia, come è agevole comprendere pone in discussione il principio del giudicato, posto che – secondo la normativa italiana, il decreto ingiuntivo fa stato tra le parti sia sul dedotto (il diritto di credito) sia sul deducibile (il contenuto del contratto).

Ebbene, le Sezioni Unite della Cassazione, con la Sentenza n. 9479 del 6 aprile 2023, hanno deciso che la clausola del contratto resta abusiva anche se il consumatore non si è opposto all’ingiunzione. Spetta quindi al giudice dell’esecuzione controllare se la clausola abbia natura vessatoria.

Nello specifico, le SS.UU. hanno affermato i seguenti principî:

Fase monitoria

Il giudice del monitorio:

a)     deve svolgere, d’ufficio, il controllo sull’eventuale carattere abusivo delle clausole del contratto stipulato tra professionista e consumatore in relazione all’oggetto della controversia;

b)    a tal fine procede in base agli elementi di fatto e di diritto in suo possesso, integrabili, ai sensi dell’art. 640 c.p.c., con il potere istruttorio d’ufficio, da esercitarsi in armonia con la struttura e funzione del procedimento d’ingiunzione:

b1)      potrà, quindi, chiedere al ricorrente di produrre il contratto e di fornire gli eventuali chiarimenti necessari anche in ordine alla qualifica di consumatore del debitore;

b2)      ove l’accertamento si presenti complesso, non potendo egli far ricorso ad un’istruttoria eccedente la funzione e la finalità del procedimento (ad es. disporre c.t.u.), dovrà rigettare l’istanza d’ingiunzione;

c)        all’esito del controllo:

c.1)     se rileva l’abusività della clausola, ne trarrà le conseguenze in ordine al rigetto o all’accoglimento parziale del ricorso;

c.2)     se, invece, il controllo sull’abusività delle clausole incidenti sul credito azionato in via monitoria desse esito negativo, pronuncerà decreto motivato, ai sensi dell’art. 641 c.p.c., anche in relazione alla anzidetta effettuata delibazione;

c.3)     il decreto ingiuntivo conterrà l’avvertimento indicato dall’art. 641 c.p.c., nonché l’espresso avvertimento che in mancanza di opposizione il debitore-consumatore non potrà più far valere l’eventuale carattere abusivo delle clausole del contratto e il decreto non opposto diventerà irrevocabile.

Fase esecutiva

Il giudice dell’esecuzione:

a) in assenza di motivazione del decreto ingiuntivo in riferimento al profilo dell’abusività delle clausole, ha il dovere – da esercitarsi sino al momento della vendita o dell’assegnazione del bene o del credito – di controllare la presenza di eventuali clausole abusive che abbiano effetti sull’esistenza e/o sull’entità del credito oggetto del decreto ingiuntivo;

b) ove tale controllo non sia possibile in base agli elementi di diritto e fatto già in atti, dovrà provvedere, nelle forme proprie del processo esecutivo, ad una sommaria istruttoria funzionale a tal fine;

c) dell’esito di tale controllo sull’eventuale carattere abusivo delle clausole – sia positivo, che negativo – informerà le parti e avviserà il debitore esecutato che entro 40 giorni può proporre opposizione a decreto ingiuntivo ai sensi dell’art. 650 c.p.c. per fare accertare (solo ed esclusivamente) l’eventuale abusività delle clausole, con effetti sull’emesso decreto ingiuntivo;

d) fino alle determinazioni del giudice dell’opposizione a decreto ingiuntivo ai sensi dell’art. 649 c.p.c., non procederà alla vendita o all’assegnazione del bene o del credito;

(ulteriori evenienze)

e) se il debitore ha proposto opposizione all’esecuzione ex art. 615, primo comma, c.p.c., al fine di far valere l’abusività delle clausole del contratto fonte del credito ingiunto, il giudice adito la riqualificherà in termini di opposizione tardiva ex art. 650 c.p.c. e rimetterà la decisione al giudice di questa (translatio iudicii);

f) se il debitore ha proposto un’opposizione esecutiva per far valere l’abusività di una clausola, il giudice darà termine di 40 giorni per proporre l’opposizione tardiva – se del caso rilevando l’abusività di altra clausola – e non procederà alla vendita o all’assegnazione del bene o del credito sino alle determinazioni del giudice dell’opposizione tardiva sull’istanza ex art. 649 c.p.c. del debitore consumatore.

Fase di cognizione

Il giudice dell’opposizione tardiva ex art. 650 c.p.c.:

a) una volta investito dell’opposizione (solo ed esclusivamente sul profilo di abusività delle clausole contrattuali), avrà il potere di sospendere, ex art. 649 c.p.c., l’esecutorietà del decreto ingiuntivo, in tutto o in parte, a seconda degli effetti che l’accertamento sull’abusività delle clausole potrebbe comportare sul titolo giudiziale;

b) procederà, quindi, secondo le forme di rito.

Scarica qui  la sentenza integrale e la nostra newsletter sul punto.