Nella Gazzetta Ufficiale n. 63 del 15 marzo 2023, è stato pubblicato il Decreto Legislativo n. 24 del 10 marzo 2023 (il “Decreto”) di attuazione della Direttiva (UE) 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (c.d. Direttiva Whistleblowing).
Le disposizioni di cui al Decreto si applicano, tra le altre, ai soggetti del settore privato che nell’ultimo anno:
I soggetti del settore privato, sentite le rappresentanze o le organizzazioni sindacali, devono istituire ed attivare dei canali di segnalazione interna che garantiscano la riservatezza dell’identità (i) della persona segnalante, (ii) della persona coinvolta ovvero della persona comunque menzionata nella segnalazione nonché (iii) del contenuto della segnalazione e della relativa documentazione.
La gestione dei canali di segnalazione interna può essere affidata (i) internamente, ad una persona o ad un ufficio interno autonomo a ciò dedicato e costituito da personale specificatamente formato per la gestione del canale di segnalazione ovvero (ii) esternamente ad un soggetto terzo, anch’esso autonomo e con personale specificatamente formato. Sono, inoltre, previste specifiche modalità di gestione dei canali di segnalazione interna che dovranno essere puntualmente implementate ed applicate da parte dei datori di lavoro e le informazioni relative al canale, alle procedure e ai presupposti per effettuare le segnalazioni dovranno essere esposte e rese facilmente visibili a tutti i destinatari.
Ogni trattamento di dati personali deve essere effettuato in conformità con la normativa vigente in materia di protezione dei dati personali, oggi rappresentata dal Regolamento (UE) 2016/679 (il “GDPR”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 (il “Codice Privacy”). I datori di lavoro destinatari della nuova normativa devono quindi adottare tutti gli adempimenti necessari richiesti dalla normativa in materia a protezione e tutela dei dati personali trattati.
Per la violazione delle disposizioni di cui al Decreto, è prevista la comminazione di sanzioni amministrative da euro 10.000 a euro 50.000:
Sono inoltre previste sanzioni da euro 500 a euro 2.500 nelle ipotesi in cui sia accertata la responsabilità penale del segnalante per i reati di diffamazione o di calunnia.
Le disposizioni di cui al Decreto hanno effetto dal 15 luglio 2023 (17 dicembre 2023 per le aziende con oltre 249 dipendenti).
Altri insights correlati:
È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.
Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.
Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.
Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:
Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.
Altri insights correlati:
Lo scorso 25 marzo, la Commissione europea e gli Stati Uniti d’America hanno annunciato di aver raggiunto un nuovo accordo quadro sul trasferimento transfrontaliero dei dati personali (il “Trans-Atlantic Data Privacy Framework”) che sarà alla base di una decisione di adeguatezza da parte della stessa Commissione europea. Il nuovo accordo – comunicato a meno di due anni dalla sentenza della Corte di Giustizia europea che aveva dichiarato invalido il “Privacy Shield” – si pone l’obiettivo di non pregiudicare il livello di protezione dei dati garantito dal GDPR in caso di trasferimento di dati personali verso gli Stati Uniti e, in generale, nell’ambito del trattamento dei dati personali dei cittadini europei. I punti cardine dell’accordo saranno rappresentati da regole e salvaguardie vincolanti per limitare l’accesso ai dati da parte delle autorità statunitensi, motivo, questo, che ha assunto notevole rilevanza nella citata decisione della Corte di Giustizia. Sarà, infatti, consentito alle autorità di accedere e, quindi, trattare i dati personali solamente nella misura in cui ciò sia necessario e proporzionato per proteggere e perseguire gli obiettivi di sicurezza nazionale definiti. Ciò avverrà, si legge nel comunicato, stabilendo un meccanismo di ricorso indipendente a due livelli, al fine di stabilire le misure correttive e migliorare la supervisione rigorosa e stratificata delle attività di intelligence garantendo il rispetto delle limitazioni nel corso delle attività di sorveglianza. Il Trans-Atlantic Data Privacy Framework fornirà una base per i flussi di dati transatlantici fondamentale per proteggere i diritti degli interessati. Con il comunicato è stato, altresì, confermato che i team del governo statunitense e della Commissione europea continueranno la loro cooperazione per tradurre questo accordo in documenti legali che entrambe le parti dovranno adottare. Una volta terminato l’iter previsto, Titolari e Responsabili del trattamento, sia europei che americani, saranno chiamati a conformarsi a quanto previsto dall’accordo quadro.
Altri insights correlati:
Il Tribunale di Venezia, con sentenza n. 494/2021, ha dichiarato che l’azienda, che subisce un attacco informatico e sia costretta a pagare un riscatto per recuperare i dati sottratti, può licenziare il dipendente che ha navigato ripetutamente su siti non sicuri per fini privati mettendo a rischio la sicurezza interna.
Un lavoratore, assunto da una società esercente attività di agenzia marittima, veniva licenziato per giusta causa, a seguito di procedimento disciplinare legittimamente esperito, per avere utilizzato impropriamente il personal computer aziendale.
In particolare, gli addebiti mossi dalla società nei confronti del dipendente, erano duplici:
Il dipendente impugnava il recesso aziendale in quanto ritenuto ritorsivo e discriminatorio, avente la sola finalità di estrometterlo in quanto RSA e ritenuto, dunque, un “dipendente scomodo”. Il dipendente, inoltre, sosteneva che le condotte contestate non erano a lui attribuibili posto che il computer assegnatogli era sfornito di password e, pertanto, qualsiasi soggetto avrebbe potuto accedervi.
La società datrice di lavoro si costitutiva in giudizio, respingendo le pretese del dipendente e sottolineando il carattere del tutto causale della scoperta dei dati, poiché emersi all’esito di necessarie verifiche effettuate a seguito di un hackeraggio ai propri sistemi informatici e della diffusione del virus ramsomware.
Il Tribunale di Venezia – confermando la decisione del giudice della fase sommaria del procedimento – ha dichiarato sussistente la giusta causa di recesso e, conseguentemente, legittimo il licenziamento.
Il Giudice adito ha, innanzitutto, evidenziato che gli addebiti mossi nei confronti del dipendente erano stati acquisiti dalla società in conformità con quanto disposto dall’art. 4 dello Statuto dei Lavoratori. Ai sensi del citato articolo, infatti, il datore di lavoro può legittimamente acquisire informazioni dagli strumenti aziendali assegnati ai dipendenti ed utilizzarli per tutti i fini connessi al rapporto di lavoro (ivi inclusi i fini disciplinari). Ciò, a condizione che agli stessi sia stata data adeguata informazione circa le modalità di utilizzo di tali strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dal Codice della Privacy. E la società aveva adottato un Regolamento sull’utilizzo degli strumenti forniti in dotazione, il quale fin dalla sua adozione, era stato affisso in bacheca nonché pubblicato in una apposita cartella all’interno del server accessibile a tutti i dipendenti.
Il Giudice ha poi osservato che, anche prescindendo dalla effettiva adozione del regolamento (oggetto di censura da parte del lavoratore), ciò che rileva nel caso di specie è il numeroso e perpetuo utilizzo per evidenti (e non contestati) fini personali del computer, tale per cui la valenza disciplinare dei fatti addebitati non può non sussistere.
Infine, il Giudice ha respinto la censura del dipendente in merito alla mancata copertura di password personale sul computer. A dire del Giudice adito, infatti, il suo utilizzo improprio era senza dubbio riconducibile al dipendente in questione posto che lo stesso aveva: visitato la propria casella personale, prenotato viaggi a suo nome, usatto chiavette Usb personali, visitato social network a lui riconducili ecc.
Alla luce di tutto quanto sopra, a parere del Tribunale adito, gli addebiti ascritti al dipendente e legittimamente acquisiti dall’azienda, si sono concretizzati nei fatti e sono stati di una gravità tale da legittimarne il licenziamento in tronco.
Altri insight correlati:
La Corte di Cassazione, IV sezione penale, con la sentenza n. 22256 del 3 marzo 2021 (depositata lo scorso 8 giugno), si è pronunciata sulla sussistenza dei requisiti di interesse e vantaggio dell’ente, nell’ipotesi di reati colposi per violazione della normativa antinfortunistica così come previsto dal D.Lgs. 231/01 in materia di responsabilità amministrativa degli enti.
La vicenda riguardava un infortunio sul lavoro subito da un dipendente avente mansioni di autista in un impianto di selezione di rifiuti, il quale sceso dal proprio mezzo – mentre era impegnato e rimuovere il telo di un cassone al fine di consentire lo scarico del materiale proveniente dalla raccolta differenziata – veniva urtato dal muletto di un altro lavoratore, riportando gravi lesioni.
Il Tribunale di primo grado e la Corte d’Appello dichiaravano il datore di lavoro, imputato nel processo, colpevole del reato di lesioni colpose aggravate dalla violazione delle norme per la prevenzione degli infortuni. Ciò in quanto le stesse erano state ritenute conseguenti alla violazione del combinato disposto degli artt. 63 e 64, comma 1, D.Lgs. 81/2008 (rubricati rispettivamente “Requisiti di salute e sicurezza” e “Obblighi del datore di lavoro”) per non aver il datore di lavoro organizzato una viabilità sicura regolamentando, con cartellonistica e segnaletica orizzontale, la circolazione nel piazzale esterno dell’impianto di selezione rifiuti, separando le corsie di marcia, indicando i luoghi di stoccaggio e le corsie destinate ai carrelli elevatori e ai pedoni, nonché le aree di manovra dei mezzi.
Inoltre, i giudici di merito dichiaravano sussistente in capo alla società la responsabilità da illecito amministrativo (ex artt. 5, comma 1, lett. a) e 25-septies, comma 3, D.lgs. 231/2001), seppur con riconoscimento di una circostanza attenuante, condannandola al pagamento di una sanzione amministrativa (di euro 12.900,00).
Secondo i giudici di merito, la società era colpevole della mancata valutazione del rischio di infortunio derivante dalle possibili interferenze tra i conducenti dei carrelli elevatori e gli addetti allo scarico del materiale. Responsabilità questa che scaturiva dalla riduzione dei costi per l’attività del consulente per la revisione del DUVRI e dall’aumento della velocità della produzione come conseguenza della mancata adozione delle necessarie misure.
Nei confronti della sentenza d’Appello, viene proposto ricorso per cassazione.
La Corte di Cassazione ha chiarito che (i) i concetti di interesse e vantaggio devono essere riferiti necessariamente alla condotta e non all’evento e, (ii) gli stessi, sono alternativi e concorrenti tra loro. Il requisito dell’interesse deve essere valutato al momento della commissione del fatto mentre quello del vantaggio in un momento successivo, sulla base degli effetti concretamente derivati dalla realizzazione dell’illecito.
La Corte di Cassazione ha specificato, inoltre, che:
Alla luce di tali chiarimenti, secondo la Corte di Cassazione, la sentenza impugnata non ha chiarito le prove da cui abbia desunto il vantaggio conseguito dall’ente, in termini di risparmio di spesa e di accelerazione del processo produttivo. In particolare, a suo parere, il risparmio dei costi risulterebbe esiguo e la società avrebbe assunto un comportamento di generale osservanza delle norme antinfortunistiche.
Per questi motivi, la Corte di Cassazione ha confermato la sentenza d’Appello nella parte in cui aveva riconosciuto la responsabilità del datore di lavoro persona fisica mentre ha annullato la sentenza nella parte in cui aveva individuato la responsabilità amministrativa dell’ente rinviando alla Corte d’Appello competente in diversa composizione.
Altri insights correlati:
