La Corte di Cassazione, con la recente ordinanza n. 26765 del 15 ottobre 2024, ha respinto il ricorso di un informatore scientifico del farmaco, licenziato dopo essere stato sorpreso dal datore di lavoro a mentire sulle visite effettuate ad alcuni medici indicate nel proprio resoconto mensile. 

Il caso  

La vicenda trae origine dal ricorso proposto da un informatore farmaceutico contro il licenziamento per giusta causa inflittogli dalla società datrice di lavoro. Il dipendente, infatti, era stato licenziato in tronco, ai sensi dell’art. 2119 c.c., per aver falsificato il rapporto mensile relativo alle visite effettuate presso i medici, riportando numeri di visite effettuate ben superiori a quelli effettivi.  

La Società farmaceutica aveva incaricato un investigatore privato per verificare la veridicità delle informazioni fornite del proprio dipendente: le indagini condotte avevano dimostrato che il dipendente aveva mentito, riportando attività non realmente svolte.  

Dalle indagini espletate, in particolare, era risultato che, per tre giorni consecutivi, l’informatore aveva visitato un numero di medici di gran lunga inferiore a quello rendicontato nel rapporto mensile inviato alla società datrice di lavoro e dichiarato di essersi recato in località che non aveva effettivamente visitato. Persino gli orari di visita indicati dal dipendente risultavano non veritieri in quanto, nei medesimi orari, dalle indagini era emerso che il lavoratore era impegnato in attività personali e ricreative. 

Gli esiti del giudizio di merito 

Il Tribunale e la Corte d’Appello di Catanzaro avevano confermato il licenziamento, ritenendo comprovata la lesione irrimediabile del rapporto fiduciario tra il dipendente e la società.  

In particolare, i giudici di merito avevano valutato “grave” la condotta del dipendente, anche in considerazione del fatto che proprio la rendicontazione mensile presentata dal lavoratore era l’unico mezzo a disposizione del datore di lavoro per monitorare la sua attività da informatore scientifico, dal momento che lo stesso godeva di ampia autonomia di movimento e organizzazione. 

Inoltre, era stato evidenziato che tale documentazione era anche necessaria per l’adempimento degli obblighi comunicativi dell’azienda nei confronti dell’Autorità di settore, AIFA. Conseguenzialmente, a causa delle informazioni non veritiere riportate dal dipendente, anche la società farmaceutica si era trovata, incolpevolmente, a riportare dati non corretti all’AIFA sul numero dei sanitari visitati e il numero medio delle interviste effettuate dai propri informatori scientifici. 

Il ricorso del lavoratore e la decisione della Corte di Cassazione 

Il lavoratore, ritenendo sproporzionato il licenziamento, ha impugnato la sentenza della Corte d’Appello, sostenendo che la sua condotta non poteva giustificare un licenziamento, trattandosi al più di una mera “alterazione di cartellino o badge”, punita dal CCNL Chimici Farmaceutici con una sanzione conservativa. 

La Cassazione invece ha avallato la decisione della Corte d’Appello, sostenendo che la condotta del lavoratore integrava non una alterazione di badge, ma una più grave falsificazione di un rapporto informativo sull’attività lavorativa in concreto prestata presso i singoli medici e nelle singole località, punibile con il licenziamento in tronco ai sensi del CCNL. 

In conclusione, la Corte ha respinto il ricorso del lavoratore condannandolo alla rifusione delle spese di giudizio. 

Allerta sul rischio di frodi legate all’aggiornamento delle coordinate bancarie del dipendente

In un mondo del lavoro oramai digitale, il rischio di subire truffe connesse al ricevimento di e-mail fraudolente sta diventando una minaccia sempre più crescente per le aziende. Una delle modalità di azione più ingannevoli e difficili da individuare riguarda la apparente richiesta, da parte di un dipendente dell’organizzazione aziendale, di aggiornamento delle proprie coordinate bancarie sulle quali viene accreditato lo stipendio. Spesso, queste richieste vengono formulate attraverso comunicazioni che sembrano veritiere ma lo sono solo in apparenza. In realtà, rientrano in un più ampio disegno criminale finalizzato a sottrarre denaro e a compromettere la sicurezza informatica dell’azienda target.

Di cosa si tratta

Le truffe connesse all’aggiornamento delle coordinate bancarie, note anche con la definizione di “Business Email Compromise” (BEC), rappresentano una delle forme di attacco informatico più insidiose. Gli autori dell’illecito creano una finta casella di posta elettronica aziendale di un dipendente, o hackerano direttamente la sua casella mail aziendale, e inviano comunicazioni falsificate che, ad una prima lettura, sembrano realmente essere state predisposte dal dipendente (vittima assieme all’azienda). Le finte comunicazioni vengono inviate agli uffici delle Risorse Umane o agli HR Manager informandoli della modifica delle coordinate bancarie. Riportando i nuovi estremi di conto, ovviamente controllate dai truffatori, si richiede che su di essi siano accreditati i prossimi stipendi.

Come avviene la truffa

Premesso che il modus operandi può variare anche affinandosi nel tempo, in linea generale, i passaggi comuni sono i seguenti.

• Raccolta delle informazioni. I truffatori si inseriscono silentemente nelle comunicazioni aziendali, solitamente tramite attacchi di phishing che permettono loro di raccogliere informazioni come indirizzi e-mail, dettagli sui dipendenti oppure modalità di scrittura delle mail.
•  Creazione della e-mail fraudolenta. Utilizzando le informazioni raccolte, i truffatori predispongono una e-mail che sembra realmente provenire dal dipendente dell’organizzazione individuato. La mail potrebbe essere impostata come “urgente”, richiedendo la modifica delle coordinate bancarie per “motivi amministrativi” o a causa di un “errore”. Accade che vengano inclusi dettagli personali del dipendente per rendere l’e-mail quanto più credibile possibile.
•  Richiesta di aggiornamento dell’IBAN. Il contenuto della e-mail è semplice. I suoi autori chiedono esplicitamente che vengano modificati i dati bancari. Il fine è che il destinatario sia indotto a credere che si tratti di una richiesta legittima e quindi proceda, senza indugio, con l’aggiornamento dell’IBAN.
• Elusione delle verifiche. Per evitare quanto più possibile il sorgere di eventuali dubbi o richieste di verifica da parte del destinatario, i truffatori possono utilizzare la pressione temporale, sostenendo che la modifica deve essere effettuata immediatamente per evitare interruzioni nei pagamenti o per altre ragioni urgenti.
• Frode e trasferimento dei fondi. Una volta che gli importi vengono accreditati sul nuovo IBAN, i truffatori li trasferiscono rapidamente su conti bancari a loro favore comportando una reale difficoltà di tracciamento o recuperabilità del denaro versato.

Continua a leggere la versione integrale pubblicata su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.

Come deve porsi l’HR di fronte a situazioni di data breach e comportamenti che fanno capire che il dipendente è “infedele”? L’articolazione normativa e le possibilità che tali situazioni si verifichino richiedono all’HR un approccio che tuteli l’azienda, i dipendenti ed il proprio team di lavoro.

Iniziamo dicendo che, come è già ben noto nelle aziende, il Regolamento Generale sulla Protezione dei Dati (GDPR) prevede sanzioni severe per le violazioni delle norme sulla protezione dei dati: si va dall’avvertimento da parte dell’Autorità a, in caso di violazioni, divieti temporanei o definitivi di trattamento dei dati e sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo mondiale dell’azienda. 

La determinazione degli importi comminati a titolo di sanzione deve tenere conto di elementi quali l’effettività, la proporzionalità ed il fine dissuasivo ma deve considerare fattori come la natura, la gravità e la durata della violazione, nonché il grado di cooperazione dell’organizzazione. In tali scenari, la direzione HR assume un ruolo di fondamentale responsabilità. 

Conformità e reputazione

I casi di data breach non impattano solo su questioni tecnologiche, ma possono rappresentare veri e propri test di fiducia e credibilità per le organizzazioni aziendali. Una violazione dei dati mette in discussione non solo la conformità di una società alla normativa vigente ma anche la trasparenza ed il dovere di responsabilità verso i propri clienti oltreché la sua credibilità reputazionale.

Secondo l’avvocato Vittorio De Luca, Managing Partner di De Luca & Partners: “La gestione dei dati personali è oggi un banco di prova cruciale per le organizzazioni. Un Data Breach espone le aziende non solo al rischio di incorrere nelle pesanti sanzioni previste dalla normativa ma compromette la fiducia costruita nel tempo con clienti e partner andando a minare la reputazione e la credibilità dell’azienda. La prevenzione passa anche attraverso una governance solida e dei processi trasparenti e conformi. Un approccio efficace permette di proteggere il patrimonio economico e reputazionale dell’azienda. E quest’ultimo aspetto, spesso, è molto sottovalutato”. 

Un sistema di prevenzione coerente: il ruolo dell’HR

In questo contesto, la direzione HR opera in un delicato equilibrio. Da un lato, infatti, è chiamata a garantire la protezione dei dati dei dipendenti e dei lavoratori e, dall’altro, deve assicurare che l’organizzazione, nella complessità dinamica di ruoli e responsabilità che esplica, sia articolata e strutturata nel modo più adeguato possibile per operare in conformità con le normative vigenti.

Non si tratta quindi di coordinare la raccolta delle firme dei vari delegati interni ed esterni alla gestione dei dati nel rispetto del GDPR, bensì di equilibrare il complesso sistema di deleghe effettive in riferimento ai differenti ruoli facendo attenzione che non ci siano doppiature o aree scoperte ed attivando un’attenzione meticolosa e una gestione proattiva.

Protezione dei dati dei dipendenti

La direzione HR ha il dovere fondamentale di proteggere i dati personali dei dipendenti. Questo compito non si limita alla mera conservazione dei dati presso l’azienda, ma implica una gestione consapevolmente attenta e conforme alle normative, anche quando i dati sono archiviati e processati tramite servizi di terze parti: l’HR Director deve assicurarsi che questi servizi operino in conformità con i requisiti richiesti dalla normativa. Questo significa implementare rigorose misure di sicurezza per la gestione, l’archiviazione e la conservazione dei dati, garantendo al contempo la conformità con i requisiti per i trasferimenti internazionali dei dati.

Bilanciamento dei ruoli di responsabilità e delega

All’interno dell’organizzazione, la direzione HR orchestra il bilanciamento dei ruoli di responsabilità e la delega. L’organizzazione aziendale è quel sistema strutturato, ma anche sempre in evoluzione, di risorse, processi e persone che collaborano per raggiungere obiettivi comuni. In questo l’HR e i business leader partecipano alla definizione di ruoli, responsabilità e relazioni gerarchiche all’interno dell’azienda, al fine di ottimizzare l’efficienza e l’efficacia operativa.

Tra i punti di attenzione sta anche la definizione di quei ruoli che hanno la responsabilità sui dati a cui accedono, dati che possono essere sia interni di dipendenti e collaboratori, che esterni, ad esempio clienti e fornitori, ricordando che l’azienda risponde delle violazioni dei dati  anche nel caso di fasi di processo svolte da consulenti esterni.

Formazione e sensibilizzazione

Un altro aspetto cruciale della responsabilità della direzione HR in relazione al tema è la formazione e la sensibilizzazione dei dipendenti sui principi di protezione dei dati. Questo non solo aiuta a prevenire violazioni dei dati ma anche a garantire che tutti i membri dell’organizzazione siano consapevoli delle loro responsabilità e dei loro diritti in materia di protezione dei dati. La formazione continua e la sensibilizzazione sono strumenti essenziali per mantenere un ambiente di lavoro sicuro e conforme alle normative.

Continua a leggere la versione integrale pubblicata su HR Link

L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Foodinho S.r.l., società del gruppo Glovo, al pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale.

A seguito di una complessa istruttoria avviata d’ufficio dall’Autorità, è emerso che la società, già sanzionata nel 2021 per trattamenti illeciti e violazioni delle disposizioni previste dalla normativa privacy, effettuava “numerose e gravi violazioni” del GDPR.

Tra le altre, infatti, la società:

1. nel disattivare o bloccare l’account del rider inviava automaticamente un unico messaggio standard che però non informava il destinatario della possibilità di contestare la decisione e chiedere il ripristino dell’account;
2. effettuava trattamenti automatizzati dei dati personali dei rider senza aver adottato le misure previste dalla normativa per l’utilizzo di sistemi automatizzati. Non era infatti prevista, per il rider, la possibilità di esercitare il diritto di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema (n.b. sul punto anche c.d. “Decreto Trasparenza”);
3. inviava, in assenza di preventiva informativa, i dati personali dei rider, compresa la posizione geografica, a società terze. I dati di geolocalizzazione venivano raccolti e trattati anche quando il rider non prestava attività lavorative e anche quando l’app era in background ovvero non era attiva.
4. Oltre alle numerose violazioni della normativa privacy rilevate dall’Autorità e qui parzialmente riportate, vale la pena segnalare che il Garante ha voluto sottolineare che nel caso in esame, la società “pur effettuando un’attività di sistematico controllo della prestazione lavorativa svolta dai rider, attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni), […], non si è conformata a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970, posto che non ha verificato che gli strumenti utilizzati siano riconducibili alle finalità tassativamente ammesse dall’ordinamento (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) né ha attivato la procedura di garanzia prevista in caso di sussistenza di una delle predette finalità (accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro)”.
5. In altre parole, la società oltre ad implementare misure di sicurezza tecniche ed organizzative atte a eliminare le violazioni poste in essere e cessare i trattamenti illeciti di dati personali effettuati dovrà dotarsi di misure appropriate per adempiere anche a quanto previsto dallo Statuto dei Lavoratori in materia di controlli da distanza.

Altri insights correlati:

• Le paure riguardo al futuro del lavoro: l’impatto dell’intelligenza artificiale (Guida al Lavoro de Il Sole 24 Ore)