La Corte di Cassazione, con ordinanza del 13 gennaio 2025, n. 807, è tornata nuovamente sul tema della legittimità dei controlli datoriali effettuati tramite accesso alla casella di posta elettronica aziendale dei lavoratori. Con quest’ultima pronuncia, la Suprema Corte ha ribadito che il datore di lavoro può sì eseguire indagini accedendo alla mail aziendale del dipendente ma ciò è legittimo solo a partire dal momento in cui sorge il fondato sospetto della commissione di un illecito. Ne deriva che eventuali informazioni raccolte in una fase precedente non sono utilizzabili per nessuna finalità comprese, quindi, eventuali azioni disciplinari nei confronti del lavoratore infedele.

Nel caso di specie, la società intimava il licenziamento ad un proprio dirigente sulla base di informazioni raccolte durante un controllo effettuato sui file log di e-mail inviate dal lavoratore anteriormente all’”alert” inviato dal sistema informatico dell’azienda che aveva generato il “sospetto datoriale” e quindi sollevato l’esigenza di avviare dei controlli.

Già secondo la Corte d’Appello le informazioni così raccolte dalla società erano di fatto inutilizzabili per fini disciplinari e gli elementi di prova a motivazione del licenziamento avrebbero dovuto essere ricercati esclusivamente nelle giustificazioni rese dal dirigente.

La sentenza in esame solleva un’importante riflessione sul tema dei controlli datoriali in un contesto in cui le nuove tecnologie hanno notevolmente ampliato le possibilità di monitoraggio. È essenziale definire con chiarezza quali siano i confini da considerare affinché le azioni intraprese e i dati eventualmente raccolti possano essere considerati legittimi e conformi al quadro normativo oggi vigente. Il rischio è che informazioni che possano confermare la commissione di illeciti siano di fatto inutilizzabili.

Occorre anche considerare quanto sia fondamentale individuare il punto di equilibrio tra le esigenze di protezione degli interessi e dei beni aziendali e di libertà di iniziativa economica in capo al datore di lavoro e la tutela della dignità e della riservatezza del lavoratore. Se a fronte di un fondato sospetto il datore di lavoro potesse estendere il proprio controllo indistintamente a tutti i dati che fino a quel momento sono stati raccolti e conservati nel sistema informatico aziendale, l’equilibrio tra gli interessi in gioco verrebbe naturalmente meno. A ricordarlo è la stessa Corte di Cassazione (ordinanza 807/2025).

Ma quindi il datore di lavoro può porre in essere controlli tecnologici finalizzati a tutelare beni estranei al rapporto di lavoro o a evitare comportamenti illeciti da parte dei suoi dipendenti?

La risposta è sicuramente affermativa ma ciò è possibile a determinate condizioni.

• Deve generarsi un fondato sospetto della commissione di azioni e condotte illecite.

• Il controllo deve essere mirato, limitato nel tempo e finalizzato solo a ricercare elementi che confermino il sospetto generatosi.

• Oggetto di controllo possono essere esclusivamente le informazioni acquisite successivamente – ex post – all’insorgere del sospetto.

Ciò consente di individuare e assicurare il mantenimento del punto di equilibrio tra le diverse esigenze delle parti coinvolte citato anche con quest’ultima pronuncia dalla stessa Corte di Cassazione.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Con la sentenza del 19 dicembre 2024, causa C‑65/23, la Corte di Giustizia dell’Unione Europea ha stabilito che (i) le disposizioni dei contratti collettivi nazionali di lavoro devono rispettare le norme in materia di protezione dei dati personali e che (ii) “qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo […] non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni […]”.

La vicenda

La vicenda trae origine da un ricorso presentato da un lavoratore tedesco, il quale sosteneva che la società, sua datrice di lavoro, trattasse illegittimamente i suoi dati personali. Nello specifico, la società utilizzava un software SAP per finalità contabili e i dati in esso inseriti venivano trasferiti all’interno di un server situato negli Stati Uniti d’America. La società si difendeva affermando che il trattamento di dati personali effettuato fosse legittimo in quanto conforme alle disposizioni del contratto collettivo nazionale applicato in azienda.

Il lavoratore adiva quindi i giudici nazionali territorialmente competenti presentando domande dirette a ottenere: (i) l’accesso ai suoi dati personali; (ii) la cancellazione di dati che lo riguardavano nonché (iii) il riconoscimento di un risarcimento.

I giudici nazionali tedeschi chiamati a decidere sul caso di specie hanno sollevato delle questioni sulla portata dell’applicabilità dell’art. 88 del GDPR. L’art. 88 del GDPR prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.

I contratti collettivi possono dunque determinare le regole sul trattamento dei dati anche derogando le disposizioni del GDPR o devono rispettarle integralmente?

Con la pronuncia in commento, la Corte di Giustizia ha chiarito che, quando le disposizioni di un CCNL disciplinano il trattamento dei dati personali nei luoghi di lavoro, le stesse devono rispettare i principi fondamentali del GDPR. L’effetto deve essere quello di vincolare i suoi destinatari (datori di lavoro e associazioni sindacali) a garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento, dei requisiti per un consenso lecito e delle norme sul trattamento di categorie particolari di dati personali.

Ciò comporta che se un giudice dovesse accertare che le disposizioni di un contratto collettivo che disciplinano uno o più trattamenti di dati personali nei luoghi di lavoro violano le condizioni e i limiti prescritti dalla normativa di settore applicabile, allora sarebbe tenuto a disapplicare le disposizioni non conformi senza che il margine di discrezionalità di cui dispongono le parti di tale contratto nel determinare il carattere «necessario» di un trattamento di dati personali impedisca all’autorità giudiziale di esercitare un controllo giurisdizionale completo al riguardo.

Altri insights correlati:

• Garante privacy: no al controllo delle presenze tramite riconoscimento facciale e no al monitoraggio delle attività dei lavoratori
• Criticità emergenti in ambito giuslavoristico e privacy: le sfide per le aziende italiane (Global Legal Chronicle Italia, 19 novembre 2024)

Allerta sul rischio di frodi legate all’aggiornamento delle coordinate bancarie del dipendente

In un mondo del lavoro oramai digitale, il rischio di subire truffe connesse al ricevimento di e-mail fraudolente sta diventando una minaccia sempre più crescente per le aziende. Una delle modalità di azione più ingannevoli e difficili da individuare riguarda la apparente richiesta, da parte di un dipendente dell’organizzazione aziendale, di aggiornamento delle proprie coordinate bancarie sulle quali viene accreditato lo stipendio. Spesso, queste richieste vengono formulate attraverso comunicazioni che sembrano veritiere ma lo sono solo in apparenza. In realtà, rientrano in un più ampio disegno criminale finalizzato a sottrarre denaro e a compromettere la sicurezza informatica dell’azienda target.

Di cosa si tratta

Le truffe connesse all’aggiornamento delle coordinate bancarie, note anche con la definizione di “Business Email Compromise” (BEC), rappresentano una delle forme di attacco informatico più insidiose. Gli autori dell’illecito creano una finta casella di posta elettronica aziendale di un dipendente, o hackerano direttamente la sua casella mail aziendale, e inviano comunicazioni falsificate che, ad una prima lettura, sembrano realmente essere state predisposte dal dipendente (vittima assieme all’azienda). Le finte comunicazioni vengono inviate agli uffici delle Risorse Umane o agli HR Manager informandoli della modifica delle coordinate bancarie. Riportando i nuovi estremi di conto, ovviamente controllate dai truffatori, si richiede che su di essi siano accreditati i prossimi stipendi.

Come avviene la truffa

Premesso che il modus operandi può variare anche affinandosi nel tempo, in linea generale, i passaggi comuni sono i seguenti.

• Raccolta delle informazioni. I truffatori si inseriscono silentemente nelle comunicazioni aziendali, solitamente tramite attacchi di phishing che permettono loro di raccogliere informazioni come indirizzi e-mail, dettagli sui dipendenti oppure modalità di scrittura delle mail.
•  Creazione della e-mail fraudolenta. Utilizzando le informazioni raccolte, i truffatori predispongono una e-mail che sembra realmente provenire dal dipendente dell’organizzazione individuato. La mail potrebbe essere impostata come “urgente”, richiedendo la modifica delle coordinate bancarie per “motivi amministrativi” o a causa di un “errore”. Accade che vengano inclusi dettagli personali del dipendente per rendere l’e-mail quanto più credibile possibile.
•  Richiesta di aggiornamento dell’IBAN. Il contenuto della e-mail è semplice. I suoi autori chiedono esplicitamente che vengano modificati i dati bancari. Il fine è che il destinatario sia indotto a credere che si tratti di una richiesta legittima e quindi proceda, senza indugio, con l’aggiornamento dell’IBAN.
• Elusione delle verifiche. Per evitare quanto più possibile il sorgere di eventuali dubbi o richieste di verifica da parte del destinatario, i truffatori possono utilizzare la pressione temporale, sostenendo che la modifica deve essere effettuata immediatamente per evitare interruzioni nei pagamenti o per altre ragioni urgenti.
• Frode e trasferimento dei fondi. Una volta che gli importi vengono accreditati sul nuovo IBAN, i truffatori li trasferiscono rapidamente su conti bancari a loro favore comportando una reale difficoltà di tracciamento o recuperabilità del denaro versato.

Continua a leggere la versione integrale pubblicata su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.

Compliance, contratti di agenzia e gestione della privacy: un quadro di complessità crescente

Lo studio legale De Luca & Partners e HR Capital hanno recentemente messo in luce criticità rilevanti in settori strategici come la gestione dei contratti, la compliance normativa e la protezione dei dati. Questi ambiti, fondamentali per le aziende italiane, si confrontano con un’evoluzione normativa che richiede un’attenzione crescente per evitare conseguenze economiche e reputazionali.

Contratti di agenzia per gli influencer: nuove implicazioni economiche e normative

Una recente sentenza del Tribunale di Roma ha riqualificato quali contratti di agenzia i rapporti di collaborazione commerciale tra una società e alcuni influencer ai quali era affidata l’attività di promozione tramite canali social dei prodotti della società, condannando quest’ultima, in conseguenza della riqualificazione, al versamento dei contributi omessi a Enasarco.

La riqualificazione dei contratti commerciali in contratti di agenzia potrebbe, peraltro, implicare un ulteriore impatto economico significativo per le aziende, ossia il pagamento in favore dell’influencer/agente dell’indennità di cessazione del rapporto da calcolarsi, di norma, sulla base della media annuale dei compensi riscossi dall’influencer/agente negli ultimi cinque anni. Alla luce di quanto precede, sarebbe opportuno che le aziende aggiornassero i propri bilanci con accantonamenti mirati e procedessero alla corretta qualificazione dei contratti già esistenti sanando eventuali irregolarità in essere.

Tuttavia, secondo i name partner dello studio Vincenzo De Luca e Vittorio De Luca, molte aziende non hanno ancora compreso l’urgenza di implementare una adeguata regolamentazione dei rapporti contrattuali.

Contratti di appalto e requisiti di genuinità: rischi penali per le irregolarità

Il rispetto dei requisiti di genuinità nei contratti di appalto è ormai sotto la stretta sorveglianza delle Autorità. Il Legislatore ha recentemente inasprito, sia per i committenti che per gli appaltatori, le conseguenze previste per gli appalti “non genuini” ove si realizzi, di fatto, una somministrazione irregolare di manodopera, prevedendo anche sanzioni di natura penale.
Per essere considerato conforme, un appalto deve rispondere ai tre requisiti ovvero l’assunzione del rischio d’impresa, l’organizzazione dei mezzi e la gestione autonoma del personale da parte dell’appaltatore, con la direzione effettiva delle persone coinvolte da parte dell’appaltatore.
La reintroduzione delle sanzioni penali dal marzo 2024 rappresenta una spinta ulteriore per le aziende a
garantire la trasparenza e l’autonomia dei rapporti di appalto.

Compliance e nuova “Patente a crediti”: un obbligo per aziende e lavoratori autonomi

Dal 1° ottobre 2024 è entrato in vigore il nuovo sistema della “Patente a crediti,” che richiede una serie di
adempimenti formali per chi opera in cantieri o su progetti di ingegneria rilevanti nel territorio italiano.
Sarà un requisito fondamentale per chi deve lavorare (azienda o lavoratore autonomo che opera nel cantiere) sul territorio nazionale.
La compliance per ottenere questa certificazione include documenti come il Durc e il Durf e il rispetto della normativa attinente alla salute e sicurezza sul luogo di lavoro, obbligando anche le imprese estere che operano in Italia a soddisfare tali requisiti.
L’avvocato Vittorio De Luca illustra che la Patente a crediti è prevista anche per le imprese estere che operano sul territorio italiano, ad esempio nei cantieri immobiliari e di infrastrutture, così come nell’installazione di data center. L’azienda estera potrà essere esentata dalla regolamentazione della “Patente a crediti” soltanto qualora abbia conseguito un titolo equipollente con una certificazione rilasciata nello stato estero.
L’integrazione tra aspetti legali, fiscali e contributivi diventa cruciale per un’operatività trasparente e conforme.
Vi è perciò una interconnessione tra la parte legale e di compliance, curata dallo Studio De Luca & Partners, e quella fiscale e contributiva, gestita dal consulente del lavoro HR Capital, come spiega il Dott. Andrea Di Nino.

Privacy e protezione dei dati: le gravi conseguenze delle violazioni

La gestione della privacy e dei dati personali è diventata uno dei punti focali per le aziende italiane, specie alla luce delle severe sanzioni imposte per le violazioni del GDPR, che possono arrivare fino al 4% del fatturato mondiale totale annuo.
La Dott.ssa Martina De Angeli spiega che recenti indagini della Procura di Milano hanno evidenziato come una scarsa sicurezza dei sistemi IT possa portare a intrusioni non autorizzate con conseguenze gravi. Oltre a dover segnalare un eventuale data breach entro le 72 ore – si tenga presente che da un punto di vista operativo è un tempo brevissimo, le aziende devono monitorare costantemente i propri sistemi, formando il personale e implementando processi di controllo e monitoraggio continui.

Continua a leggere la versione integrale pubblicata su Global Legal Chronicle Italia

Le rivelazioni dall’indagine condotta dalla procura di Milano e dal nucleo investigativo dei Carabinieri di Varese che hanno portato alla luce attività di acquisizione illecita di informazioni – riservate, sensibili e personali – e che, nelle ultime ore, stanno dominando il dibattito politico e pubblico italiano, non possono non far riflettere. L’Autorità Garante per la protezione dei dati personali ha costituito una task force interdipartimentale per individuare prontamente le attività da intraprendere e le maggiori garanzie a protezione delle banche dati. La task force si pone, tra l’altro, l’obiettivo di definire misure di sicurezza, tecniche e organizzative, adeguate riguardo agli accessi ai database da parte del personale autorizzato, ma anche al complesso delle operazioni svolte dagli incaricati della loro gestione e manutenzione. In attesa di ricevere nuovi aggiornamenti a riguardo, cosa deve sapere un’azienda e cosa può e deve fare in casi analoghi?

Prima di entrare nel merito, occorre far presente che, come è noto, ai sensi del Regolamento (UE) 2016/679 si definisce “violazione dei dati” (c.d. “Data Breach”) qualsiasi violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, che possa compromettere la riservatezza, l’integrità o la disponibilità dei dati personali.

In caso di Data Breach, vi sono specifici obblighi da rispettare.

• Indagini interne, contenimento e valutazione. Non appena se ne venga a conoscenza, è fondamentale identificare la violazione, valutarne la portata e l’impatto sui dati personali e comprenderne la causa in modo da identificare eventuali vulnerabilità da affrontare.
• Obblighi di Notifica.
• All’autorità Garante per la protezione dei dati. Le organizzazioni devono notificare la violazione all’Autorità Garante entro 72 ore dal momento in cui ne sono venute a conoscenza, a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone.
• Ai soggetti coinvolti. Se la violazione comporta un rischio elevato per le persone interessate, queste devono essere informate senza indebito ritardo.
• Registro delle violazioni. Mantenere una registrazione della violazione verificatasi, compresi i dettagli sulla sua natura, i suoi effetti e le azioni correttive adottate. La registrazione di una violazione non solo è richiesta dalla normativa vigente ma è fondamentale per la conformità aziendale e per gli audit successivi.
• Attuare le azioni correttive. Implementare e adottare misure correttive per migliorare la sicurezza dei dati e prevenire future violazioni, tra cui la revisione dei protocolli di sicurezza e attivare programmi di formazione dei dipendenti.
• Rivedere e aggiornare le politiche. Dopo aver affrontato la violazione, è fondamentale rivedere le politiche aziendali di protezione dei dati e i piani di risposta per assicurarsi che siano solidi ed efficaci.
• Monitoraggio continuo. Attivare il monitoraggio continuo dei sistemi di dati per rilevare e rispondere tempestivamente a qualsiasi altro incidente.
• Formazione. Vale la pena ricordare che tutte le azioni e le misure adottate non saranno mai del tutto efficaci se chi opera nel quotidiano non è adeguatamente formato.

È appena il caso di precisare che se un Data Breach si è verificato, eventuali misure già adottate dall’azienda non sono sufficienti e devono essere riviste e rafforzate. Anche a questo serve la procedura di Data Breach.

Come anticipato in premessa, le notizie recentemente emerse devono far riflettere. Le informazioni e i dati sono sempre di più “merce preziosa” e la sicurezza tecnica e organizzativa da applicare a tutela e protezione delle informazioni trattate è un tema fondamentale per le aziende. Rafforzare la struttura informatica e prevedere misure di sicurezza avanzate e in continuo aggiornamento non meritano più di essere considerate dei costi ma degli investimenti. Ne beneficerà il business e la reputazione aziendale.

Rassegna stampa:

• De Luca & Partners: banche dati, dossier e sicurezza, cosa sapere e come muoversi – PAROLA AL MERCATO – Borsa Italiana