Con sentenza n. 46188 del 26 settembre 2023, la Corte di Cassazione, Sezione 3, si è pronunciata sulla configurabilità del reato di cui all’art. 4 della legge n. 300 del 1970 (lo “Statuto dei Lavoratori) affermando che l’installazione di un impianto di videosorveglianza senza l’autorizzazione richiesta dalla legge non configura reato se all’interno dei locali aziendali non vi sono dipendenti e se l’impianto non implica un effettivo controllo sull’attività lavorativa.

I fatti di causa

Il Tribunale di Messina dichiarava penalmente responsabile la titolare di un esercizio commerciale per il reato di cui all’art. 4 della legge 300 del 1970, condannandola al pagamento di 3.000 euro di ammenda per aver installato un impianto di videosorveglianza all’interno del proprio esercizio commerciale in mancanza, nel caso di specie, dell’autorizzazione dell’Ispettorato Territoriale del Lavoro (“ITL”).

Avverso tale decisione, la titolare presentava ricorso per Cassazione, lamentando, tra le altre, la violazione dell’art. 4 dello Statuto dei Lavoratori deducendo che il Tribunale adito in primo grado non avesse fornito indicazioni su due elementi centrali della fattispecie di reato, ossia (i) se l’impianto fosse preposto alla registrazione di immagini e (ii) se, presso l’azienda della titolare, fossero impiegati dei dipendenti.

Al riguardo, la ricorrente segnalava che l’impianto installato era a circuito chiuso, non implicando alcuna registrazione di immagini, e che la sua azienda non aveva dipendenti ad organico.

La decisione della Corte di Cassazione

Nel pronunciarsi sul caso di specie, la Suprema Corte ha colto l’occasione per riassumere brevemente le regole e i principi vigenti in materia di videosorveglianza e di controllo a distanza dei lavoratori.

In primo luogo, ha evidenziato che la presenza di dipendenti nel luogo ripreso dagli impianti di videosorveglianza è “requisito imprescindibile per la configurabilità del reato in contestazione”, dal momento che la disposizione di cui all’articolo 4, comma 1, dello Statuto dei Lavoratori è diretta appunto a regolamentare l’uso, da parte del datore di lavoro, degli impianti audiovisivi – e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza – “dell’attività dei lavoratori”.

In secondo luogo, la Cassazione ricorda che non è configurabile alcuna violazione della normativa se un impianto, sebbene installato in difetto di un accordo con le rappresentanze sindacali legittimate o di una autorizzazione dell’ITL, “sia strettamente funzionale alla tutela del patrimonio aziendale”, a condizione che (i) “il suo utilizzo non implichi un significativo controllo sull’ordinario svolgimento dell’attività lavorativa dei dipendenti” oppure (ii) “resti necessariamente “riservato” al fine di poter consentire l’accertamento di gravi condotte illecite”.

La pronuncia del giudice di prime cure, però, non ha chiarito se nel caso di specie sussistessero gli elementi di cui ai precedenti punti (i) e (ii), pertanto, la fondatezza di tali presupposti, ha imposto alla Corte l’annullamento della pronuncia con rinvio della sentenza impugnata al medesimo Tribunale in diversa composizione.

Altri insights correlati:

Vittorio De Luca ha partecipato al convegno promosso da RSM Studio tributario e societario dal titolo: ”La nuova legge sul whistleblowing: balzello o opportunità?”

Focus

Nel corso dell’intervento, Vittorio ha affrontato il tema dei profili giuslavoristici nella disciplina del whistleblowing: in particolare, sono state esaminate le misure poste a tutela di coloro che effettuano segnalazioni di illeciti di cui si è venuti a conoscenza nel contesto lavorativo (c.d. whistleblowers) da parte del D.lgs. 24/2023, nonché gli oneri e adempimenti gravanti sulle aziende al fine di essere in regola con la normativa vigente e di poter gestire nel migliore dei modi le eventuali segnalazioni pervenute.

In particolare sono stati affrontati i seguenti temi:

  • La finalità e il metodo;
  • Il contesto lavorativo​:
  • I soggetti segnalanti​;
  • L’interesse personale del segnalante;
  • ​La definizione di ritorsione; 
  • Il divieto di ritorsioni;
  • La violazione del divieto di ritorsione​;​
  • La prospettiva datoriale​;
  • Le sanzioni disciplinari.

Lo scorso 10 luglio 2023 la Commissione Europea ha adottato una decisione di adeguatezza per il “EU-US Data Privacy Framework” che determina che gli Stati Uniti d’America garantiscono un livello di protezione dei dati personali adeguato e paragonabile a quello dell’Unione Europea.

La decisione di adeguatezza è uno degli strumenti previsti dal Regolamento (UE) 2016/679 (il “Regolamento”) per trasferire dati personali dall’Unione Europea a Paesi Terzi che, a fronte di una preventiva valutazione della Commissione Europea, offrono “un adeguato livello di protezione”, ossia un livello di protezione dei dati personali equivalente a quello garantito all’interno dell’UE.

La conseguenza è che i dati personali possono essere trasferiti in modo sicuro e possono essere gestiti allo stesso modo delle trasmissioni di dati che avvengono all’interno del territorio europeo.

Cosa prevede il nuovo EU-US Data Privacy Framework?

L’EU-US Data Privacy Framework si struttura su un meccanismo di autocertificazione in base al quale le aziende statunitensi si impegnano a rispettare una serie di obblighi in materia di protezione dei dati personali, tra cui, a titolo esemplificativo e non esaustivo, il rispetto dei principi di limitazione delle finalità, di minimizzazione e conservazione dei dati, nonché obblighi specifici in materia di sicurezza dei dati e condivisione dei dati con soggetti terzi.

L’impegno da parte delle organizzazioni sarà rinnovato su base annuale e soggetto al controllo e al monitoraggio del Dipartimento del Commercio degli Stati Uniti, il quale elaborerà le domande di certificazione e verificherà periodicamente il rispetto dei requisiti da parte delle aziende partecipanti.

I cittadini europei beneficeranno di diverse vie di ricorso indipendenti ed imparziali nel caso in cui i loro dati siano trattati in modo non conforme, e tra esse rientra il neo istituito Tribunale di Revisione sulla Protezione dei Dati (DPRC).

L’ordinamento statunitense prevederà una serie di garanzie, tra cui la limitazione dell’accesso ai dati personali da parte delle autorità pubbliche a quanto necessario e proporzionato al fine di proteggere la sicurezza nazionale o allo scopo di applicare la legge penale.

In ogni caso, il Data Privacy Framework sarà soggetto a revisioni periodicheda parte della Commissione Europea unitamente ai rappresentanti delle autorità europee per la protezione dei dati e alle competenti autorità statunitensi. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza.

Gli altri strumenti previsti dal Regolamento

Con l’occasione, vale la pena ricordare che oltre alla decisione di adeguatezza, il Regolamento prevede anche altri strumenti utilizzabili per realizzare un corretto trasferimento di dati al di fuori dell’Unione Europea, tra cui:

  • l’adozione di Clausole Contrattuali Standard;
  • l’adozione di Norme Vincolanti d’Impresa (“BCR Binding Corporate Rules”) da parte dei grandi gruppi internazionali a seguito della negoziazione con le Autorità di controllo dei paesi coinvolti;
  • l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto al quale i dati vengono trasferiti;
  • il consenso dell’interessato che deve essere adeguatamente informato così come previsto dal Regolamento stesso.

◊◊◊◊

Come da ultimo sottolineato nella nota informativa del Comitato Europeo per la Protezione dei Dati (EDPB) lo scorso 18 luglio 2023, tutte le tutele previste dal governo statunitense nell’ambito della sicurezza nazionale si applicano a tutti i trasferimenti di dati personali effettuati verso aziende negli Stati Uniti, indipendentemente dai meccanismi di trasferimento utilizzati. Pertanto, tali garanzie servono a facilitare anche il ricorso agli altri strumenti previsti dal Regolamento.

Altri insights correlati:

1. RIVOLUZIONE DIGITALE E DIRITTO

L’emersione di tecnologie caratterizzate dall’impiego di sistemi di intelligenza artificiale ha inaugurato una nuova stagione di dibattito in merito alle principali questioni etiche, sociali e giuridiche attorno all’impiego di tali tecnologie e alle relative conseguenze.

Le odierne tecnologie – incidendo sempre più sulla società e sui costumi – sollevano infatti il problema della elaborazione di strumenti di tutela dei diritti fondamentali, della sicurezza e della protezione dai dati e ciò al fine di assicurare che il progresso tecnologico si svolga in armonia con le esigenze di tutela individuali e collettive, nel rispetto di una dimensione antropocentrica.

Risulta infatti evidente che lo sviluppo di algoritmi di nuova generazione e di tecniche sempre più sofisticate di trattamento automatizzato dei dati offre nuove opportunità ma, allo stesso tempo, pone complesse sfide che investono pressoché ogni area del diritto.

Il diritto del lavoro non è immune da tale profonda trasformazione che impone un continuo adattamento rispetto alle nuove istanze provenienti dall’esperienza concreta. Si è osservato, in proposito, come questo renda il diritto del lavoro «un diritto necessariamente dinamico avendo alla propria base il contratto di lavoro connesso funzionalmente alle organizzazioni produttive e strutturato in modo che i contenuti del rapporto di lavoro si modifichino in funzione dei mutamenti organizzativi e produttivi».

Uno dei fattori di mutamento dell’organizzazione e dello svolgimento della prestazione lavorativa è senz’altro rappresentato da quella particolare branca dell’informatica denominata intelligenza artificiale (codificato ormai come I.A. o, con il corrispondente acronimo inglese, A.I.).

2. L’INTELLIGENZA ARTIFICIALE NELLA GESTIONE DEL RAPPORTO DI LAVORO

Con il preciso fine di mettere a fuoco le infinite sfaccettature e le molteplici applicazioni del fenomeno, si sono succedute nel tempo molte definizioni di I.A. Particolarmente interessante, data la sua provenienza, è la definizione di Intelligenza Artificiale fornita dalla Commissione Europea nella Proposta di Regolamento del Parlamento Europeo e del Consiglio dell’aprile 2021 che stabilisce regole armonizzate sull’intelligenza artificiale (I.A. Act).

La Proposta di Regolamento, all’art. 3, definisce il “sistema di intelligenza artificiale” come “un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce”.

Funzione specifica del Regolamento, nei termini formulati dalla Proposta, è quella di fissare i requisiti specifici dei sistemi di I.A. e gli obblighi cui deve sottostare chi immette sul mercato questo tipo di prodotti, fino all’utilizzatore, al fine di assicurare che i sistemi di I.A. immessi sul mercato e utilizzati siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione.

Le relative disposizioni si basano su una gradazione del livello potenziale di incidenza dei sistemi sulla collettività, con particolare attenzione alle applicazioni dell’I.A. formalmente qualificabili “ad alto rischio” (ovvero che hanno “un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell’Unione”.

Per quanto qui di interesse, si rileva che l’A.I. Act qualifica, tra l’altro, come “sistemi ad alto rischio” quelli utilizzati “nel settore dell’occupazione, nella gestione dei lavoratori e nell’accesso al lavoro autonomo, in particolare per l’assunzione e la selezione delle persone, per l’adozione di decisioni in materia di promozione e cessazione del rapporto di lavoro, nonché per l’assegnazione dei compiti, per il monitoraggio o la valutazione delle persone nei rapporti contrattuali legati al lavoro”.

Tale classificazione deriva dal fatto che “tali sistemi possono avere un impatto significativo sul futuro di tali persone in termini di future prospettive di carriera e sostentamento”.

2.1 INTELLIGENZA ARTIFICIALE NELLA FASE DI RECRUITING

Già nella fase prodromica del rapporto lavorativo, l’I.A. sta acquisendo una sempre maggiore importanza: grande sviluppo sta, infatti, avendo l’algorithmic hiring, inteso quale procedura di selezione del personale integralmente o parzialmente affidata ad algoritmi.

La percezione diffusa è che tali procedure automatizzate siano più rapide, affidabili ed economiche rispetto alle selezioni “canoniche”, consentendo di individuare efficacemente le caratteristiche e le attitudini personali dei candidati tramite l’analisi di una grande mole di dati raccolti durante le interviste virtuali.

Se da un lato l’I.A. rappresenta una grande opportunità, dall’altro, quando non è adeguatamente controllata, può essere influenzata da una problematica insidiosa, ovverosia il pregiudizio umano che si riflette inevitabilmente sugli algoritmi. Richiamando l’A.I. Act sopra citato, sono infatti considerati ad “Alto Rischio”:

  • i sistemi di AI per lo screening dei candidati;
  • la formulazione di classifiche e graduatorie;
  • i sistemi di matching;
  • i sistemi che supportano la valutazione del candidato nel corso di colloqui o test.

Con riferimento ai rischi connessi all’utilizzo dell’intelligenza artificiale nel contesto lavorativo, è stato infatti rilevato che  “durante tutto il processo di assunzione, nonché ai fini della valutazione e della promozione delle persone o del proseguimento dei rapporti contrattuali legati al lavoro, tali sistemi possono perpetuare modelli storici di discriminazione, ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale. I sistemi di IA utilizzati per monitorare le prestazioni e il comportamento di tali persone possono inoltre incidere sui loro diritti in materia di protezione dei dati e vita privata”.

In base alle modalità di costruzione del software, anche l’azienda che non abbia finalità discriminatorie, potrebbe inconsapevolmente introdurre c.d. bias nel processo di trattamento, che, con un effetto a catena, condizionerebbero gli esiti del processo, con effetti discriminatori.

Ciò in quanto i software, per quanto possano essere artificialmente intelligenti, vengono comunque programmati da esseri umani e risentono quindi delle dinamiche giudicanti dei loro stessi programmatori.

A ciò aggiungasi che i dati inseriti nei software rimangono memorizzati all’interno del programma condizionando le analisi predittive future che risulteranno influenzate da dati non aggiornati.

Interessante ricordare, a tal proposito, il noto caso di Amazon.

Il famoso colosso statunitense aveva sviluppato un programma sperimentale di talent finding automatizzato con lo scopo di valutare i candidati secondo una scala di punteggio graduale. Tuttavia, con specifico riferimento a ruoli IT, il sistema non selezionava le candidature in modo neutrale rispetto al genere: le figure femminili venivano escluse automaticamente. La ragione era dovuta al fatto che il software si basava su dati raccolti negli ultimi 10 anni e la maggior parte delle risorse assunte in tale arco temporale in ambito informatico erano, appunto, di genere maschile.

Gli algoritmi hanno quindi individuato e messo in luce i pregiudizi dei loro stessi creatori, dimostrando così che l’addestramento dei sistemi automatizzati su dati imparziali porta a future decisioni non neutrali.

Il caso di Amazon offre un interessante spunto di riflessione sui limiti dell’apprendimento dell’Intelligenza Artificiale e su quanto i c.d. bias umani possano riflettersi sui sistemi automatici, condizionandone gli algoritmi.

2.2 POTERE DIRETTIVO ATTRAVERSO L’ALGORITHMIC MANAGEMENT

Oltre alla fase pre-assuntiva, i sistemi di I.A rappresentano un fattore importante altresì nell’organizzazione del lavoro: si pensi, ad esempio, ai sistemi per la gestione della logistica nei magazzini nonché alle piattaforme utilizzate per la gestione dei riders.

In questi settori, le decisioni in merito alla migliore gestione delle attività e delle risorse umane è sempre più spesso demandata ad algoritmi, in grado di analizzare un’infinita quantità di dati e di individuare la soluzione gestionale ed organizzativa più efficace: algoritmi che determinano l’assegnazione di mansioni in base a determinati parametri, sistemi automatizzati di monitoraggio, sistemi di geolocalizzazione che prevedano segnalazioni o interventi automatici in caso di pericolo.

In tale contesto lavorativo in rapida evoluzione, l’Unione Europea ha sottolineato l’esigenza che i lavoratori siano pienamente e tempestivamente informati in merito alle condizioni essenziali del loro lavoro.

Al fine di garantire al lavoratore e alle organizzazioni sindacali una conoscenza dei sistemi digitali nelle singole organizzazioni imprenditoriali, il legislatore, recependo nell’ordinamento interno la Direttiva (UE) 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili, ha introdotto a carico del datore di lavoro un obbligo di informativa relativo al caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati (art. 1-bis del D.lgs. n. 152/1997 introdotto dal c.d. Decreto Trasparenza, D.Lgs. 104/2022).

Lo scopo della novella legislativa è stato quello, come si evince dalla lettura delle premesse e dell’art. 1 della Direttiva UE, di «migliorare le condizioni di lavoro promuovendo un’occupazione più trasparente e prevedibile, pur garantendo nel contempo l’adattabilità del mercato del lavoro».

Una traduzione in termini pratici di un linguaggio a tratti ostico è che il lavoratore deve poter conoscere se si usano le tecniche automatizzate, se il datore di lavoro si avvale di decisioni algoritmiche e simili; inoltre, il lavoratore ha diritto di sapere come tali tecniche funzionano, quale ne sia la logica e quale gli impatti, anche in termini di rischi per la sicurezza dei dati personali.

Da una lettura combinata dell’art. 1, co. 1, lett. s) e dell’art. 1-bis, co. 1 del D.lgs. 152/1997, si evince che la predisposizione di tale specifica informativa è richiesta nel caso in cui le modalità di esecuzione della prestazione dei lavoratori siano organizzate tramite l’utilizzo di sistemi decisionali e/o di monitoraggio automatizzati, destinati a «fornire indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori».

La portata della norma contenuta nell’art. 1-bis del Decreto Trasparenza ha creato dubbi interpretativi e difficoltà applicative relativi all’individuazione di quali sistemi fossero da includere tra quelli soggetti a tale ulteriore informativa da distinguersi dagli strumenti di controllo a distanza, rispetto ai quali gli obblighi informativi sono viceversa regolati, come ampiamente noto, dall’art. 4 della L. n. 300/1970, ossia da una disposizione fatta espressamente salva dalla novella e che sembra mantenere un suo grado di autonomia.

Con riferimento alle tipologie di strumenti da intendersi quali sistemi automatizzati, la Circolare del Ministero del Lavoro e delle Politiche Sociali n. 19/2022 ha tentato di fornire alcune precisazioni sulle novità introdotte dal D.lgs. 104/2022. In particolare, la Circolare ha escluso l’obbligo informativo nel caso di utilizzo di badge, ovvero di strumenti  automatizzati per la rilevazione delle presenze dei dipendenti in entrata o in uscita, sempre che tale registrazione non generi automaticamente una decisione datoriale, mentre, a titolo puramente esemplificativo ma non esaustivo, ha previsto tale obbligo nel caso di utilizzo di sistemi automatizzati di gestione dei turni, di determinazione della retribuzione, di tablet, GPS, wearables e altro.

Continua a leggere la versione integrale pubblicata su Guida al lavoro de Il Sole 24 Ore.

Un’ordinanza della Corte di Cassazione riconosce che il datore di lavoro può utilizzare le riprese delle videocamere di sicurezza per fini disciplinari

Il datore di lavoro può utilizzare le riprese delle videocamere di sicurezza per fini disciplinari. Lo ha affermato la Corte di Cassazione con ordinanza numero 8375 dello scorso 23 marzo 2023.

Il controllo a distanza dell’attività dei lavoratori

Come ormai noto, l’articolo 4 dello Statuto dei Lavoratori dispone che gli impianti audiovisivi – o comunque gli strumenti dai quali derivi una possibilità di controllo a distanza dell’attività dei lavoratori (tra cui rientrano anche i sistemi di videosorveglianza) possono essere impiegati dal datore di lavoro esclusivamente per:

  • esigenze organizzative e produttive,
  • la sicurezza del lavoro e
  • la tutela del patrimonio aziendale.

Tali strumenti possono essere installati previo accordo collettivo stipulato con le organizzazioni sindacali e comunque non sono installabili per controllare l’attività lavorativa dei dipendenti.

Utilizzabilità delle videoriprese per fini disciplinari

Se l’articolo 4 dello Statuto dei Lavoratori si prefigge l’obiettivo di tutelare il lavoratore da un controllo a distanza della sua prestazione lavorativa, perché la Corte di Cassazione ha affermato che le registrazioni possono essere utilizzate per comminare una contestazione disciplinare?

Continua a leggere la versione integrale pubblicata su Wired