Categoria: Diritto penale

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.

Non far vedere i figli al coniuge: no alla tenuità del fatto

L’art. 388 c.p. stabilisce che “Chiunque, per sottrarsi all’adempimento degli obblighi nascenti da provvedimento dell’autorità giudiziaria, o dei quali è in corso l’accertamento dinanzi all’autorità giudiziaria stessa, compie, sui propri o sugli altrui beni, atti simulati o fraudolenti, o commette allo stesso scopo altri fatti fraudolenti, è punito, qualora non ottemperi all’ingiunzione di eseguire il provvedimento, con la reclusione fino a tre anni o con la multa da euro 103 a euro 1.032. La stessa pena si applica a chi elude l’esecuzione di un provvedimento del giudice civile, ovvero amministrativo o contabile, che concerna l’affidamento di minori o di altre persone incapaci, ovvero prescriva misure cautelari a difesa della proprietà, del possesso o del credito”.

Il reato può essere applicato al coniuge che non osservi le statuizioni di un provvedimento giudiziale in tema di affidamento dei figli minori.

Con sentenza 30.11.2023 n. 47882 la Sezione II Penale della S.C. di Cassazione, ha ritenuto non applicabile la speciale causa di non punibilità sancita dall’art. 131 bis c.p.p. al caso di una moglie che non aveva consentito al marito separato, per quattro mesi, nell’anno 2016, di vedere i figli a lei affidati, in violazione degli accordi fra i coniugi, recepiti nel decreto di omologa della separazione consensuale.

L’art. 131 bis c.p.p. prevede, tra l’altro che “Nei reati per i quali è prevista la pena detentiva non superiore nel minimo a due anni, ovvero la pena pecuniaria, sola o congiunta alla predetta pena, la punibilità è esclusa quando, per le modalità della condotta e per l’esiguità del danno o del pericolo, valutate ai sensi dell’articolo 133, primo comma, anche in considerazione della condotta susseguente al reato, l’offesa è di particolare tenuità e il comportamento risulta non abituale. L’offesa non può essere ritenuta di particolare tenuità, ai sensi del primo comma, quando l’autore ha agito per motivi abietti o futili, o con crudeltà, anche in danno di animali, o ha adoperato sevizie o, ancora, ha profittato delle condizioni di minorata difesa della vittima, anche in riferimento all’età della stessa ovvero quando la condotta ha cagionato o da essa sono derivate, quali conseguenze non volute, la morte o le lesioni gravissime di una persona”.

Nel caso in esame la S.C. ha stabilito che da un lato non fosse stata data prova di asseriti impegni di lavoro che avrebbero impedito al marito di essere puntuale agli appuntamenti fissati né di un presunto interesse della stessa a privilegiare il rapporto con il nuovo compagno a discapito del diritto del padre di incontrare i figli, mentre dall’altro è emersa la refrattarietà della moglie a trovare soluzioni accomodanti e il protrarsi della condotta elusiva.

Per tali ragioni sono state ritenute indimostrate cause che potessero condurre a una declaratoria di tenuità del fatto.

Scarica qui la sentenza integrale e la nostra newsletter sul punto.

Violazioni in monopattino: niente sospensione della patente

Può essere disposta la sospensione della patente in caso di violazioni del codice della strada commesse utilizzando un monopattino o una bicicletta?

In un recente caso trattato dalla Suprema Corte, l’imputato aveva patteggiato ai sensi dell’art. 444 c.p.p., la pena, condizionalmente sospesa, di mesi cinque, giorni dieci di arresto ed Euro 1.400,00 di ammenda in ordine al reato guida in stato di ebbrezza (art. 186 del D. Lgs. n. 30 aprile 1992, n. 285 c.d. Codice della Strada) è stato dichiarato che “Costituisce principio consolidato nella giurisprudenza di questa Suprema Corte quello per cui la sanzione amministrativa accessoria della sospensione (o della revoca) della patente di guida, conseguente per legge a illeciti posti in essere con violazione delle norme sulla circolazione stradale, non può essere applicata a colui il quale si sia posto alla guida di veicolo per la cui circolazione non è richiesta alcuna abilitazione (così, tra le altre: Sez. 4, n. 34772 del 26/11/2020, Cani, Rv. 280075-01; Sez. 4, n. 19413 del 29/03/2013, Cologna, Rv. 255081; Sez. U, n. 12316 del 30/01/2002, Fugger, Rv. 221039- 01)”.

Prosegue la S.C. affermando che tale principio, per lo più espresso con riferimento alla guida di un velocipede, può, all’evidenza, essere esteso anche alla conduzione di un monopattino, avendo l’art. 1, comma 75-quinquies, legge 27 dicembre 2019, n. 160, espressamente equiparato (fatte salve alcune eccezioni non rilevanti nel caso di specie) i monopattini a propulsione prevalentemente elettrica ai velocipedi.

Nella fattispecie, pertanto, la sanzione amministrativa accessoria della revoca della patente di guida è stata erroneamente applicata con riferimento ad un’ipotesi di guida in stato di ebbrezza concernente la conduzione di un mezzo (monopattino) per la cui guida non è richiesto alcun titolo abilitativo.

Scarica qui Cass. Pen., Sez. IV, 4 dicembre 2023, n. 48083 e la nostra newsletter sul punto.

Intelligenza artificiale: la norma ISO/IEC 42001:2023

Nella ancora confusa ed embrionale regolamentazione del fenomeno dell’AI (Intelligenza Artificiale), nel mese di dicembre è stata pubblicata la norma ISO/IEC 42001:2023 “Information Technology Artificial Intelligence – Management system.

Si tratta di uno standard internazionale che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’intelligenza artificiale nell’ambito delle organizzazioni.

Tale standard è progettato per gli enti che forniscono o utilizzano prodotti o servizi basati sull’intelligenza artificiale, garantendo lo sviluppo e l’uso responsabile dei sistemi di intelligenza artificiale attraverso considerazioni etiche, trasparenza e apprendimento continuo.

ISO descrive i seguenti vantaggi derivanti dall’implementazione della norma ISO/IEC 42001:

  • IA responsabile: lo standard garantisce un uso etico e responsabile dell’intelligenza artificiale.
  • Gestione della reputazione: lo standard migliora la fiducia nelle applicazioni AI.
  • Governance dell’intelligenza artificiale: supporta la conformità agli standard normativi.
  • Guida pratica: gestisce in modo efficace i rischi specifici dell’IA.
  • Identificazione delle opportunità: incoraggia l’innovazione all’interno di un quadro strutturato.

Scarica qui la nostra newsletter sul punto.

Persona sottoposta alle indagini e gara d’appalto: la delibera ANAC 397/2023

ANAC precisa che l’iscrizione nel registro degli indagati non è più causa di esclusione dalle gare d’appalto.

La mera iscrizione nel registro degli indagati non può, da sola, determinare effetti pregiudizievoli di natura civile o amministrativa per la persona alla quale il reato è attribuito.

Pertanto, la mera iscrizione al registro degli indagati non può più comportare l’esclusione dalle gare d’appalto.

Tale principio viene sottolineato da ANAC nella delibera n. 397 del 6 settembre 2023, chiarendo quanto stabilito dal nuovo Codice degli Appalti, operante dal 1° luglio 2023.

In particolare, rispondendo a una richiesta di parere di un Comune siciliano, riguardo i requisiti di ordine generale per l’affidamento di contratti pubblici con particolare riferimento all’illecito professionale grave, Anac fornisce indicazioni specifiche sulle cause di esclusione dalle gare d’appalto, sulla base di quanto disposto dal decreto legislativo 36/2023.

In particolare, Anac ha provveduto ad individuare le differenze tra la disciplina in tema di illecito professionale grave dettata dal Codice Appalti del 2016 e quella introdotta dal Codice Appalti oggi in vigore.

Tra gli aspetti di maggior rilievo del nuovo Codice la tipizzazione delle fattispecie costituenti grave illecito professionale (limitato, sotto il profilo penale ai reati di cui alle lettere g) ed h) del comma 3 dell’art. 98) e dei mezzi di prova utili per la valutazione della sussistenza dell’illecito stesso, superando in tal modo l’impostazione precedente che consentiva di valutare ogni condotta penalmente rilevante idonea ad incidere sulla affidabilità e sull’integrità della impresa concorrente.

È però appena il caso di rilevare come le lettere g) e h) del co. 3 dell’art. 98 indichino un numero rilevantissimo di reati, posto che – tra l’altro – la lettera h) prevede “la contestata o accertata commissione di reati (…) 5) previsti dal decreto legislativo 8.6.2001 n. 231”, ossia un elenco sterminato di fattispecie penalmente rilevanti.

Nell’ambito della tipizzazione introdotta perde, quindi, rilevanza la mera iscrizione nel registro degli indagati, per evidenti esigenze di coordinamento del Codice Appalti con la riforma recata 150/2022 che ha introdotto (tra l’altro) nel codice di procedura penale la nuova disposizione dell’art. 335-bis, che così recita: «La mera iscrizione nel registro di cui all’articolo 335 non può, da sola, determinare effetti pregiudizievoli di natura civile o amministrativa per la persona alla quale il reato è attribuito».

Scarica qui la delibera ANAC 397/2023 e la nostra Newsletter sul punto.