Mercoledì 13 marzo 2024, il Parlamento europeo ha approvato la proposta di testo del c.d. “A.I. Act”, il primo testo normativo, un Regolamento, in materia di intelligenza artificiale, che – stabilendo obblighi per l’A.I. sulla base dei possibili rischi e del livello d’impatto – si pone l’obiettivo di proteggere il rispetto dei diritti fondamentali degli individui, della democrazia e della sostenibilità ambientale dai sistemi “ad alto rischio”. 

Sono “ad alto rischio” i sistemi di A.I. destinati a essere utilizzati per:  

  1. l’assunzione o la selezione di persone fisiche, per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati
  1. adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.  

Per avere maggiori informazioni sull’argomento, contattaci a info@delucapartners.it

Con il provvedimento n. 642 del 21 dicembre 2023, l’Autorità Garante per la protezione dei dati personali ha adottato un documento denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” avente lo scopo di fornire, ai datori di lavoro pubblici e privati, indicazioni di indirizzo sull’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica aziendale.


Il documento viene adottato a seguito di accertamenti effettuati dal Garante in occasione dei quali è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti conservandoli per un esteso arco temporale. Con “metadati” devono intendersi informazioni quali, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail.

Per assicurare il rispetto della normativa in materia di protezione dei dati nonché la disciplina di settore in materia di controlli a distanza – come noto, disciplinata dall’art. 4, L. 300/1970 (“Statuto dei Lavoratori”), i datori di lavoro dovranno:

  • verificare che i programmi e servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di 7 giorni, estendibili di ulteriori 48 ore in presenza di condizioni specifiche;
  • diversamente, espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori, ossia sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato, nazionale o territoriale, del Lavoro. Ciò poiché l’estensione del periodo di conservazione oltre l’arco temporale dei 7/9 giorni può comportare un indiretto controllo a distanza dell’attività del lavoratore;
  • in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo preventivamente agli stessi una specifica informativa sul trattamento dei dati personali.

In altre parole, se per rispondere a esigenze organizzative e produttive, di tutela del patrimonio aziendale e di sicurezza del lavoro, la conservazione dei dati non può essere limitata ai periodi indicati dal Garante, i datori di lavoro dovranno sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato del Lavoro.

In assenza di ciò, si configura un controllo a distanza delle attività del lavoratore che può avere conseguenze anche penali al quale si aggiunge anche la violazione della normativa in materia di protezione dei dati personali avente, quale conseguenza, (i) l’illiceità del trattamento dei dati personali, (ii) la violazione del principio di limitazione della conservazione nonché (iii) la violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita oltreché di responsabilizzazione.


In ogni caso, resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non potranno comunque essere utilizzati. ​

Altri insights correlati:

In attuazione della Direttiva UE 1937/2019 nel nostro ordinamento è entrato in vigore il D.lgs. 24/2023 che ha provveduto ad introdurre la nuova disciplina di legge in materia di whistleblowing. La fattispecie era in vigore già da alcuni anni nelle aziende tenute ad implementare i modelli 231 ed è oggi prevista in modo analitico e puntuale per tutte le aziende, dal punto di vista procedurale e sanzionatorio. 

Il termine “whistleblowing” indica l’attività di segnalazione di violazioni di disposizioni normative nazionali o della Ue di cui i lavoratori siano venuti a conoscenza nel contesto lavorativo. Per le aziende con più di 250 dipendenti l’obbligo di dotarsi di sistemi adeguati alla segnalazione è in vigore dal 15 luglio 2023, mentre per le piccole medie imprese l’obbligo è scattato a partire dal 17 dicembre. 

Sono oggetto di segnalazione i comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in violazioni riconducibili alle specifiche fattispecie elencate nel decreto. 

La persona che ritiene sussistente i presupposti per una segnalazione può ricorrere ai seguenti canali: (i) segnalazione interna; (ii) segnalazione esterna, se non è prevista l’attivazione obbligatoria del canale di segnalazione interna, o se questa è già stata fatta senza seguito, se il segnalante ha fondati motivi per ritenere che alla segnalazione interna non sarebbe dato seguito o ci sarebbero rischi di ritorsione oppure se il segnalante ha fondato motivo per ritenere che la violazione costituisca un pericolo per il pubblico interesse; (iii) divulgazione pubblica, se il segnalante ha già effettuato una segnalazione interna e/o esterna senza riscontro, se vi è fondato motivo di ritenere che la violazione possa costituire un pericolo per il pubblico interesse oppure se vi è fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa essere inefficace; (iv) denuncia all’autorità giudiziaria, sempre possibile. 

I canali interni devono garantire la riservatezza della persona segnalante, del contenuto della segnalazione, del facilitatore e della persona coinvolta. Nella definizione dei canali di segnalazione interni è necessario ricorrere a strumenti idonei a recepire le segnalazioni sia in forma orale che scritta, essendo garantite al segnalante entrambe le modalità. 

A tal proposito, l’Anac con delibera 311 del 12 luglio 2023 ha ritenuto la posta elettronica ordinaria e la posta elettronica certificata sistemi non adeguati a garantire la riservatezza, rimandando quindi all’utilizzo di piattaforme online. Per quanto riguarda la segnalazione cartacea, l’Anac ha richiesto che venga inserita in due buste chiuse (una con i dati identificativi e la seconda con la segnalazione vera e propria), inserendo poi entrambe le buste in una terza busta chiusa con indicazione esterna della dicitura “riservata” al gestore della segnalazione. 

Per attuare il nuovo obbligo normativo, le aziende sono tenute a definire il canale con un atto organizzativo specifico; informare le rappresentanze sindacali; mettere a disposizione della persona segnalante informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne o esterne (ad esempio tramite il sito web o la pagina della piattaforma); garantire l’attività di formazione di coloro a cui è demandata la gestione del canale di segnalazione e a tutto il personale interno; adeguare il modello organizzativo 231 (se adottato) e porre in essere tutti gli adempimenti richiesti affinché sia rispettata la disciplina in materia di protezione  dei dati personali ed i trattamenti effettuati siano ad essa conformi. Le imprese, infine, dovranno adottare un sistema sanzionatorio in caso di violazione delle disposizioni di cui al decreto. 

In conclusione, il quadro regolatorio che scaturisce dalla disciplina introdotta con il D.lgs. n. 24/2023 alle imprese e agli operatori una grande attenzione nella predisposizione delle policy e degli strumenti organizzativi e di gestione necessari all’attuazione agli obblighi di legge in modo da assicurare, così, la tutela e la concreta valorizzazione dei principi etici di ogni organizzazione. 

Con sentenza n. 46188 del 26 settembre 2023, la Corte di Cassazione, Sezione 3, si è pronunciata sulla configurabilità del reato di cui all’art. 4 della legge n. 300 del 1970 (lo “Statuto dei Lavoratori) affermando che l’installazione di un impianto di videosorveglianza senza l’autorizzazione richiesta dalla legge non configura reato se all’interno dei locali aziendali non vi sono dipendenti e se l’impianto non implica un effettivo controllo sull’attività lavorativa.

I fatti di causa

Il Tribunale di Messina dichiarava penalmente responsabile la titolare di un esercizio commerciale per il reato di cui all’art. 4 della legge 300 del 1970, condannandola al pagamento di 3.000 euro di ammenda per aver installato un impianto di videosorveglianza all’interno del proprio esercizio commerciale in mancanza, nel caso di specie, dell’autorizzazione dell’Ispettorato Territoriale del Lavoro (“ITL”).

Avverso tale decisione, la titolare presentava ricorso per Cassazione, lamentando, tra le altre, la violazione dell’art. 4 dello Statuto dei Lavoratori deducendo che il Tribunale adito in primo grado non avesse fornito indicazioni su due elementi centrali della fattispecie di reato, ossia (i) se l’impianto fosse preposto alla registrazione di immagini e (ii) se, presso l’azienda della titolare, fossero impiegati dei dipendenti.

Al riguardo, la ricorrente segnalava che l’impianto installato era a circuito chiuso, non implicando alcuna registrazione di immagini, e che la sua azienda non aveva dipendenti ad organico.

La decisione della Corte di Cassazione

Nel pronunciarsi sul caso di specie, la Suprema Corte ha colto l’occasione per riassumere brevemente le regole e i principi vigenti in materia di videosorveglianza e di controllo a distanza dei lavoratori.

In primo luogo, ha evidenziato che la presenza di dipendenti nel luogo ripreso dagli impianti di videosorveglianza è “requisito imprescindibile per la configurabilità del reato in contestazione”, dal momento che la disposizione di cui all’articolo 4, comma 1, dello Statuto dei Lavoratori è diretta appunto a regolamentare l’uso, da parte del datore di lavoro, degli impianti audiovisivi – e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza – “dell’attività dei lavoratori”.

In secondo luogo, la Cassazione ricorda che non è configurabile alcuna violazione della normativa se un impianto, sebbene installato in difetto di un accordo con le rappresentanze sindacali legittimate o di una autorizzazione dell’ITL, “sia strettamente funzionale alla tutela del patrimonio aziendale”, a condizione che (i) “il suo utilizzo non implichi un significativo controllo sull’ordinario svolgimento dell’attività lavorativa dei dipendenti” oppure (ii) “resti necessariamente “riservato” al fine di poter consentire l’accertamento di gravi condotte illecite”.

La pronuncia del giudice di prime cure, però, non ha chiarito se nel caso di specie sussistessero gli elementi di cui ai precedenti punti (i) e (ii), pertanto, la fondatezza di tali presupposti, ha imposto alla Corte l’annullamento della pronuncia con rinvio della sentenza impugnata al medesimo Tribunale in diversa composizione.

Altri insight correlati:

Vittorio De Luca ha partecipato al convegno promosso da RSM Studio tributario e societario dal titolo: ”La nuova legge sul whistleblowing: balzello o opportunità?”

Focus

Nel corso dell’intervento, Vittorio ha affrontato il tema dei profili giuslavoristici nella disciplina del whistleblowing: in particolare, sono state esaminate le misure poste a tutela di coloro che effettuano segnalazioni di illeciti di cui si è venuti a conoscenza nel contesto lavorativo (c.d. whistleblowers) da parte del D.lgs. 24/2023, nonché gli oneri e adempimenti gravanti sulle aziende al fine di essere in regola con la normativa vigente e di poter gestire nel migliore dei modi le eventuali segnalazioni pervenute.

In particolare sono stati affrontati i seguenti temi:

  • La finalità e il metodo;
  • Il contesto lavorativo​:
  • I soggetti segnalanti​;
  • L’interesse personale del segnalante;
  • ​La definizione di ritorsione; 
  • Il divieto di ritorsioni;
  • La violazione del divieto di ritorsione​;​
  • La prospettiva datoriale​;
  • Le sanzioni disciplinari.