In occasione del nostro ultimo Team Meeting tra i vari argomenti, abbiamo approfondito la recente sentenza della Corte di Giustizia dell’Unione Europea del 4 ottobre 2024, con la quale è stato stabilito che ciascuno Stato Membro possa prevedere la possibilità, per i competitor di un presunto autore di una violazione degli adempimenti richiesti dalla normativa privacy, di contestarla in giudizio in quanto pratica commerciale sleale vietata.

Nella Gazzetta Ufficiale n. 63 del 15 marzo 2023, è stato pubblicato il Decreto Legislativo n. 24 del 10 marzo 2023 (il “Decreto”) di attuazione della Direttiva (UE) 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (c.d. Direttiva Whistleblowing).

Le disposizioni di cui al Decreto si applicano, tra le altre, ai soggetti del settore privato che nell’ultimo anno:

• hanno impiegato la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
• pur avendo impiegato meno di 50 lavoratori subordinati, adottano modelli di organizzazione e gestione previsti dal D.lgs. 231/2001 (“MOG”).

I soggetti del settore privato, sentite le rappresentanze o le organizzazioni sindacali, devono istituire ed attivare dei canali di segnalazione interna che garantiscano la riservatezza dell’identità (i) della persona segnalante, (ii) della persona coinvolta ovvero della persona comunque menzionata nella segnalazione nonché (iii) del contenuto della segnalazione e della relativa documentazione.

La gestione dei canali di segnalazione interna può essere affidata (i) internamente, ad una persona o ad un ufficio interno autonomo a ciò dedicato e costituito da personale specificatamente formato per la gestione del canale di segnalazione ovvero (ii) esternamente ad un soggetto terzo, anch’esso autonomo e con personale specificatamente formato. Sono, inoltre, previste specifiche modalità di gestione dei canali di segnalazione interna che dovranno essere puntualmente implementate ed applicate da parte dei datori di lavoro e le informazioni relative al canale, alle procedure e ai presupposti per effettuare le segnalazioni dovranno essere esposte e rese facilmente visibili a tutti i destinatari.

Ogni trattamento di dati personali deve essere effettuato in conformità con la normativa vigente in materia di protezione dei dati personali, oggi rappresentata dal Regolamento (UE) 2016/679 (il “GDPR”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 (il “Codice Privacy”). I datori di lavoro destinatari della nuova normativa devono quindi adottare tutti gli adempimenti necessari richiesti dalla normativa in materia a protezione e tutela dei dati personali trattati.

Per la violazione delle disposizioni di cui al Decreto, è prevista la comminazione di sanzioni amministrative da euro 10.000 a euro 50.000:

• quando sono commesse ritorsioni nei confronti dei segnalanti, è accertato che la segnalazione è stata ostacolata, si è tentato di ostacolarla ovvero è stato violato l’obbligo di riservatezza;
• se non sono stati istituiti canali di segnalazione, non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero l’adozione delle procedure non è conforme alle disposizioni di cui al Decreto.

Sono inoltre previste sanzioni da euro 500 a euro 2.500 nelle ipotesi in cui sia accertata la responsabilità penale del segnalante per i reati di diffamazione o di calunnia.

Le disposizioni di cui al Decreto hanno effetto dal 15 luglio 2023 (17 dicembre 2023 per le aziende con oltre 249 dipendenti).

Altri insights correlati:

• De Luca & Partners ed HR Capital lanciano una nuova task force dedicata al Whistleblowing (Legalcommunity, 6 febbraio 2023)
• LO SAI CHE… Il recepimento della Direttiva (UE) in materia di whistleblowing comporterà nuovi adempimenti per i datori di lavoro?

È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.

L’attività istruttoria

Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.

Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.

Il provvedimento del Garante

Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:

• in violazione dei principi di “liceità, correttezza e trasparenza” non era stata fornita ai dipendenti un’informativa sul trattamento dei dati personali conforme a quanto disposto dagli articoli 12 e 13 del GDPR. E, come ricorda il Garante, l’adempimento degli obblighi informativi “costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970)”;
• premesso che “la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica […] non sono strumentali allo “svolgimento della prestazione” del dipendente”, tali trattamenti di dati possono comportare un – seppur indiretto – controllo a distanza dell’attività dei lavoratori. Pertanto, il datore di lavoro ha violato non solo la vigente normativa in materia di protezione dei dati ma anche la disciplina in materia di controlli a distanza dei lavoratori;
• il trattamento ed il monitoraggio effettuati hanno permesso al datore di lavoro di acquisire informazioni sulla vita privata dei dipendenti o su fatti comunque non rilevanti ai fini della valutazione dell’attitudine professionale degli stessi;
• i trattamenti dei metadati sono stati effettuati in violazione di principi propri della normativa in materia di protezione dei dati personali ossia i principi di limitazione della conservazione, di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default) nonché del principio di accountability (c.d. principio “di responsabilizzazione”);
• il trattamento dei metadati è stato effettuato in assenza di una preventiva valutazione d’impatto sulla protezione dei dati.

Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.

Altri insights correlati:

• Il datore di lavoro può controllare la mail aziendale del dipendente
• Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione

Lo scorso 25 marzo, la Commissione europea e gli Stati Uniti d’America hanno annunciato di aver raggiunto un nuovo accordo quadro sul trasferimento transfrontaliero dei dati personali (il “Trans-Atlantic Data Privacy Framework”) che sarà alla base di una decisione di adeguatezza da parte della stessa Commissione europea. Il nuovo accordo – comunicato a meno di due anni dalla sentenza della Corte di Giustizia europea che aveva dichiarato invalido il “Privacy Shield” – si pone l’obiettivo di non pregiudicare il livello di protezione dei dati garantito dal GDPR in caso di trasferimento di dati personali verso gli Stati Uniti e, in generale, nell’ambito del trattamento dei dati personali dei cittadini europei. I punti cardine dell’accordo saranno rappresentati da regole e salvaguardie vincolanti per limitare l’accesso ai dati da parte delle autorità statunitensi, motivo, questo, che ha assunto notevole rilevanza nella citata decisione della Corte di Giustizia. Sarà, infatti, consentito alle autorità di accedere e, quindi, trattare i dati personali solamente nella misura in cui ciò sia necessario e proporzionato per proteggere e perseguire gli obiettivi di sicurezza nazionale definiti. Ciò avverrà, si legge nel comunicato, stabilendo un meccanismo di ricorso indipendente a due livelli, al fine di stabilire le misure correttive e migliorare la supervisione rigorosa e stratificata delle attività di intelligence garantendo il rispetto delle limitazioni nel corso delle attività di sorveglianza. Il Trans-Atlantic Data Privacy Framework fornirà una base per i flussi di dati transatlantici fondamentale per proteggere i diritti degli interessati. Con il comunicato è stato, altresì, confermato che i team del governo statunitense e della Commissione europea continueranno la loro cooperazione per tradurre questo accordo in documenti legali che entrambe le parti dovranno adottare. Una volta terminato l’iter previsto, Titolari e Responsabili del trattamento, sia europei che americani, saranno chiamati a conformarsi a quanto previsto dall’accordo quadro.

Altri insights correlati:

• Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA
• Privacy Shield: pubblicate le FAQ dell’EDPB sulla sentenza della Corte di Giustizia Europea Schrems
• LO SAI CHE… sono state approvate nuove Clausole Contrattuali Standard per il trasferimento di dati verso Paesi extra UE?

Il Tribunale di Venezia, con sentenza n. 494/2021, ha dichiarato che l’azienda, che subisce un attacco informatico e sia costretta a pagare un riscatto per recuperare i dati sottratti, può licenziare il dipendente che ha navigato ripetutamente su siti non sicuri per fini privati mettendo a rischio la sicurezza interna.

I fatti di causa

Un lavoratore, assunto da una società esercente attività di agenzia marittima, veniva licenziato per giusta causa, a seguito di procedimento disciplinare legittimamente esperito, per avere utilizzato impropriamente il personal computer aziendale.

In particolare, gli addebiti mossi dalla società nei confronti del dipendente, erano duplici:

1. aver svolto attività extralavorativa durante l’orario di lavoro, consultando la posta elettronica personale, visualizzando foto nonché effettuando ripetute e prolungate navigazioni in internet su siti web di informazioni, prenotazioni viaggi e spettacoli ed addirittura su siti pornografici. Ciò in violazione delle prescrizioni del Regolamento adottato in azienda, mettendo a rischio la sicurezza del sistema informatico nonché sottraendo del tempo alla prestazione lavorativa (addirittura in giornate in cui aveva chiesto l’autorizzazione ad attività lavorativa straordinaria);
2. avere, sempre durante l’orario di lavoro, predisposto e trasmesso a terzi dichiarazioni a nome dell’azienda abusando della carta intesta e del timbro della stessa.

Il dipendente impugnava il recesso aziendale in quanto ritenuto ritorsivo e discriminatorio, avente la sola finalità di estrometterlo in quanto RSA e ritenuto, dunque, un “dipendente scomodo”. Il dipendente, inoltre, sosteneva che le condotte contestate non erano a lui attribuibili posto che il computer assegnatogli era sfornito di password e, pertanto, qualsiasi soggetto avrebbe potuto accedervi.

La società datrice di lavoro si costitutiva in giudizio, respingendo le pretese del dipendente e sottolineando il carattere del tutto causale della scoperta dei dati, poiché emersi all’esito di necessarie verifiche effettuate a seguito di un hackeraggio ai propri sistemi informatici e della diffusione del virus ramsomware.

La decisione del Tribunale

Il Tribunale di Venezia – confermando la decisione del giudice della fase sommaria del procedimento – ha dichiarato sussistente la giusta causa di recesso e, conseguentemente, legittimo il licenziamento.

Il Giudice adito ha, innanzitutto, evidenziato che gli addebiti mossi nei confronti del dipendente erano stati acquisiti dalla società in conformità con quanto disposto dall’art. 4 dello Statuto dei Lavoratori. Ai sensi del citato articolo, infatti, il datore di lavoro può legittimamente acquisire informazioni dagli strumenti aziendali assegnati ai dipendenti ed utilizzarli per tutti i fini connessi al rapporto di lavoro (ivi inclusi i fini disciplinari). Ciò, a condizione che agli stessi sia stata data adeguata informazione circa le modalità di utilizzo di tali strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dal Codice della Privacy. E la società aveva adottato un Regolamento sull’utilizzo degli strumenti forniti in dotazione, il quale fin dalla sua adozione, era stato affisso in bacheca nonché pubblicato in una apposita cartella all’interno del server accessibile a tutti i dipendenti.

Il Giudice ha poi osservato che, anche prescindendo dalla effettiva adozione del regolamento (oggetto di censura da parte del lavoratore), ciò che rileva nel caso di specie è il numeroso e perpetuo utilizzo per evidenti (e non contestati) fini personali del computer, tale per cui la valenza disciplinare dei fatti addebitati non può non sussistere.

Infine, il Giudice ha respinto la censura del dipendente in merito alla mancata copertura di password personale sul computer. A dire del Giudice adito, infatti, il suo utilizzo improprio era senza dubbio riconducibile al dipendente in questione posto che lo stesso aveva: visitato la propria casella personale, prenotato viaggi a suo nome, usatto chiavette Usb personali, visitato social network a lui riconducili ecc.

Alla luce di tutto quanto sopra, a parere del Tribunale adito, gli addebiti ascritti al dipendente e legittimamente acquisiti dall’azienda, si sono concretizzati nei fatti e sono stati di una gravità tale da legittimarne il licenziamento in tronco.

Altri insight correlati:

• Il datore di lavoro può controllare la mail aziendale del dipendente
• Tribunale di Brescia: legittimo il licenziamento per chi utilizza impropriamente il computer aziendale
• Sono vietati i controlli massivi, prolungati ed indiscriminati sugli strumenti informatici concessi in dotazione ai dipendenti