È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.

L’attività istruttoria

Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.

Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.

Il provvedimento del Garante

Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:

• in violazione dei principi di “liceità, correttezza e trasparenza” non era stata fornita ai dipendenti un’informativa sul trattamento dei dati personali conforme a quanto disposto dagli articoli 12 e 13 del GDPR. E, come ricorda il Garante, l’adempimento degli obblighi informativi “costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970)”;
• premesso che “la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica […] non sono strumentali allo “svolgimento della prestazione” del dipendente”, tali trattamenti di dati possono comportare un – seppur indiretto – controllo a distanza dell’attività dei lavoratori. Pertanto, il datore di lavoro ha violato non solo la vigente normativa in materia di protezione dei dati ma anche la disciplina in materia di controlli a distanza dei lavoratori;
• il trattamento ed il monitoraggio effettuati hanno permesso al datore di lavoro di acquisire informazioni sulla vita privata dei dipendenti o su fatti comunque non rilevanti ai fini della valutazione dell’attitudine professionale degli stessi;
• i trattamenti dei metadati sono stati effettuati in violazione di principi propri della normativa in materia di protezione dei dati personali ossia i principi di limitazione della conservazione, di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default) nonché del principio di accountability (c.d. principio “di responsabilizzazione”);
• il trattamento dei metadati è stato effettuato in assenza di una preventiva valutazione d’impatto sulla protezione dei dati.

Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.

Altri insight correlati:

Il datore di lavoro può controllare la mail aziendale del dipendente

Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione

Lo scorso 25 marzo, la Commissione europea e gli Stati Uniti d’America hanno annunciato di aver raggiunto un nuovo accordo quadro sul trasferimento transfrontaliero dei dati personali (il “Trans-Atlantic Data Privacy Framework”) che sarà alla base di una decisione di adeguatezza da parte della stessa Commissione europea. Il nuovo accordo – comunicato a meno di due anni dalla sentenza della Corte di Giustizia europea che aveva dichiarato invalido il “Privacy Shield” – si pone l’obiettivo di non pregiudicare il livello di protezione dei dati garantito dal GDPR in caso di trasferimento di dati personali verso gli Stati Uniti e, in generale, nell’ambito del trattamento dei dati personali dei cittadini europei. I punti cardine dell’accordo saranno rappresentati da regole e salvaguardie vincolanti per limitare l’accesso ai dati da parte delle autorità statunitensi, motivo, questo, che ha assunto notevole rilevanza nella citata decisione della Corte di Giustizia. Sarà, infatti, consentito alle autorità di accedere e, quindi, trattare i dati personali solamente nella misura in cui ciò sia necessario e proporzionato per proteggere e perseguire gli obiettivi di sicurezza nazionale definiti. Ciò avverrà, si legge nel comunicato, stabilendo un meccanismo di ricorso indipendente a due livelli, al fine di stabilire le misure correttive e migliorare la supervisione rigorosa e stratificata delle attività di intelligence garantendo il rispetto delle limitazioni nel corso delle attività di sorveglianza. Il Trans-Atlantic Data Privacy Framework fornirà una base per i flussi di dati transatlantici fondamentale per proteggere i diritti degli interessati. Con il comunicato è stato, altresì, confermato che i team del governo statunitense e della Commissione europea continueranno la loro cooperazione per tradurre questo accordo in documenti legali che entrambe le parti dovranno adottare. Una volta terminato l’iter previsto, Titolari e Responsabili del trattamento, sia europei che americani, saranno chiamati a conformarsi a quanto previsto dall’accordo quadro.

Altri insights correlati:

• Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA
• Privacy Shield: pubblicate le FAQ dell’EDPB sulla sentenza della Corte di Giustizia Europea Schrems
• LO SAI CHE… sono state approvate nuove Clausole Contrattuali Standard per il trasferimento di dati verso Paesi extra UE?

Il Tribunale di Venezia, con sentenza n. 494/2021, ha dichiarato che l’azienda, che subisce un attacco informatico e sia costretta a pagare un riscatto per recuperare i dati sottratti, può licenziare il dipendente che ha navigato ripetutamente su siti non sicuri per fini privati mettendo a rischio la sicurezza interna.

I fatti di causa

Un lavoratore, assunto da una società esercente attività di agenzia marittima, veniva licenziato per giusta causa, a seguito di procedimento disciplinare legittimamente esperito, per avere utilizzato impropriamente il personal computer aziendale.

In particolare, gli addebiti mossi dalla società nei confronti del dipendente, erano duplici:

1. aver svolto attività extralavorativa durante l’orario di lavoro, consultando la posta elettronica personale, visualizzando foto nonché effettuando ripetute e prolungate navigazioni in internet su siti web di informazioni, prenotazioni viaggi e spettacoli ed addirittura su siti pornografici. Ciò in violazione delle prescrizioni del Regolamento adottato in azienda, mettendo a rischio la sicurezza del sistema informatico nonché sottraendo del tempo alla prestazione lavorativa (addirittura in giornate in cui aveva chiesto l’autorizzazione ad attività lavorativa straordinaria);
2. avere, sempre durante l’orario di lavoro, predisposto e trasmesso a terzi dichiarazioni a nome dell’azienda abusando della carta intesta e del timbro della stessa.

Il dipendente impugnava il recesso aziendale in quanto ritenuto ritorsivo e discriminatorio, avente la sola finalità di estrometterlo in quanto RSA e ritenuto, dunque, un “dipendente scomodo”. Il dipendente, inoltre, sosteneva che le condotte contestate non erano a lui attribuibili posto che il computer assegnatogli era sfornito di password e, pertanto, qualsiasi soggetto avrebbe potuto accedervi.

La società datrice di lavoro si costitutiva in giudizio, respingendo le pretese del dipendente e sottolineando il carattere del tutto causale della scoperta dei dati, poiché emersi all’esito di necessarie verifiche effettuate a seguito di un hackeraggio ai propri sistemi informatici e della diffusione del virus ramsomware.

La decisione del Tribunale

Il Tribunale di Venezia – confermando la decisione del giudice della fase sommaria del procedimento – ha dichiarato sussistente la giusta causa di recesso e, conseguentemente, legittimo il licenziamento.

Il Giudice adito ha, innanzitutto, evidenziato che gli addebiti mossi nei confronti del dipendente erano stati acquisiti dalla società in conformità con quanto disposto dall’art. 4 dello Statuto dei Lavoratori. Ai sensi del citato articolo, infatti, il datore di lavoro può legittimamente acquisire informazioni dagli strumenti aziendali assegnati ai dipendenti ed utilizzarli per tutti i fini connessi al rapporto di lavoro (ivi inclusi i fini disciplinari). Ciò, a condizione che agli stessi sia stata data adeguata informazione circa le modalità di utilizzo di tali strumenti e di effettuazione dei controlli, nel rispetto di quanto disposto dal Codice della Privacy. E la società aveva adottato un Regolamento sull’utilizzo degli strumenti forniti in dotazione, il quale fin dalla sua adozione, era stato affisso in bacheca nonché pubblicato in una apposita cartella all’interno del server accessibile a tutti i dipendenti.

Il Giudice ha poi osservato che, anche prescindendo dalla effettiva adozione del regolamento (oggetto di censura da parte del lavoratore), ciò che rileva nel caso di specie è il numeroso e perpetuo utilizzo per evidenti (e non contestati) fini personali del computer, tale per cui la valenza disciplinare dei fatti addebitati non può non sussistere.

Infine, il Giudice ha respinto la censura del dipendente in merito alla mancata copertura di password personale sul computer. A dire del Giudice adito, infatti, il suo utilizzo improprio era senza dubbio riconducibile al dipendente in questione posto che lo stesso aveva: visitato la propria casella personale, prenotato viaggi a suo nome, usatto chiavette Usb personali, visitato social network a lui riconducili ecc.

Alla luce di tutto quanto sopra, a parere del Tribunale adito, gli addebiti ascritti al dipendente e legittimamente acquisiti dall’azienda, si sono concretizzati nei fatti e sono stati di una gravità tale da legittimarne il licenziamento in tronco.

Altri insight correlati:

• Il datore di lavoro può controllare la mail aziendale del dipendente
• Tribunale di Brescia: legittimo il licenziamento per chi utilizza impropriamente il computer aziendale
• Sono vietati i controlli massivi, prolungati ed indiscriminati sugli strumenti informatici concessi in dotazione ai dipendenti

La Corte di Cassazione, IV sezione penale, con la sentenza n. 22256 del 3 marzo 2021 (depositata lo scorso 8 giugno), si è pronunciata sulla sussistenza dei requisiti di interesse e vantaggio dell’ente, nell’ipotesi di reati colposi per violazione della normativa antinfortunistica così come previsto dal D.Lgs. 231/01 in materia di responsabilità amministrativa degli enti.

I fatti di causa

La vicenda riguardava un infortunio sul lavoro subito da un dipendente avente mansioni di autista in un impianto di selezione di rifiuti, il quale sceso dal proprio mezzo – mentre era impegnato e rimuovere il telo di un cassone al fine di consentire lo scarico del materiale proveniente dalla raccolta differenziata – veniva urtato dal muletto di un altro lavoratore, riportando gravi lesioni.

Il Tribunale di primo grado e la Corte d’Appello dichiaravano il datore di lavoro, imputato nel processo, colpevole del reato di lesioni colpose aggravate dalla violazione delle norme per la prevenzione degli infortuni.  Ciò in quanto le stesse erano state ritenute conseguenti alla violazione del combinato disposto degli artt. 63 e 64, comma 1, D.Lgs. 81/2008 (rubricati rispettivamente “Requisiti di salute e sicurezza” e “Obblighi del datore di lavoro”) per non aver il datore di lavoro organizzato una viabilità sicura regolamentando, con cartellonistica e segnaletica orizzontale, la circolazione nel piazzale esterno dell’impianto di selezione rifiuti, separando le corsie di marcia, indicando i luoghi di stoccaggio e le corsie destinate ai carrelli elevatori e ai pedoni, nonché le aree di manovra dei mezzi.

Inoltre, i giudici di merito dichiaravano sussistente in capo alla società la responsabilità da illecito amministrativo (ex artt. 5, comma 1, lett. a) e 25-septies, comma 3, D.lgs. 231/2001), seppur con riconoscimento di una circostanza attenuante, condannandola al pagamento di una sanzione amministrativa (di euro 12.900,00).

Secondo i giudici di merito, la società era colpevole della mancata valutazione del rischio di infortunio derivante dalle possibili interferenze tra i conducenti dei carrelli elevatori e gli addetti allo scarico del materiale. Responsabilità questa che scaturiva dalla riduzione dei costi per l’attività del consulente per la revisione del DUVRI e dall’aumento della velocità della produzione come conseguenza della mancata adozione delle necessarie misure.

Nei confronti della sentenza d’Appello, viene proposto ricorso per cassazione.

La decisione della Corte di Cassazione

La Corte di Cassazione ha chiarito che (i) i concetti di interesse e vantaggio devono essere riferiti necessariamente alla condotta e non all’evento e, (ii) gli stessi, sono alternativi e concorrenti tra loro. Il requisito dell’interesse deve essere valutato al momento della commissione del fatto mentre quello del vantaggio in un momento successivo, sulla base degli effetti concretamente derivati dalla realizzazione dell’illecito.

La Corte di Cassazione ha specificato, inoltre, che:

• il requisito dell’interesse ricorre qualora l’autore del reato abbia consapevolmente violato la norma cautelare allo scopo di conseguire una utilità per l’ente, mentre
• sussiste il requisito del vantaggio quando la persona fisica viola sistematicamente le norme prevenzionistiche, consentendo una riduzione dei costi ed un contenimento della spesa con conseguente vantaggio nel profitto.

Alla luce di tali chiarimenti, secondo la Corte di Cassazione, la sentenza impugnata non ha chiarito le prove da cui abbia desunto il vantaggio conseguito dall’ente, in termini di risparmio di spesa e di accelerazione del processo produttivo. In particolare, a suo parere, il risparmio dei costi risulterebbe esiguo e la società avrebbe assunto un comportamento di generale osservanza delle norme antinfortunistiche.

Per questi motivi, la Corte di Cassazione ha confermato la sentenza d’Appello nella parte in cui aveva riconosciuto la responsabilità del datore di lavoro persona fisica mentre ha annullato la sentenza nella parte in cui aveva individuato la responsabilità amministrativa dell’ente rinviando alla Corte d’Appello competente in diversa composizione.

Altri insights correlati:

• La mancata adozione delle misure previste dal GDPR è equiparabile alla “colpa di organizzazione” prevista dal D.lgs. 231/2001
• COMPLIANCE RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI (D.LGS 231/01)

È stato pubblicato sulla Gazzetta Ufficiale dello scorso 14 giugno il Decreto-Legge n. 82/2021 (il “Decreto”) recante “disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.

Con il termine “Cyber-sicurezza” si intende “l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza” (art. 1, comma 1, lett. a).

Il Comitato interministeriale per la cyber-sicurezza

Il Decreto, che si compone di 19 articoli, istituzionalizza, tra le altre, il “Comitato interministeriale per la cyber-sicurezza” (il “CIC”). Il CICsvolge funzioni di consulenza, proposta e vigilanza in materia di politiche di cyber-sicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Inoltre, il CIC ha i seguenti compiti:

• proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cyber-sicurezza nazionale;
• esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cyber-sicurezza;
• promuovere l’adozione delle iniziative necessarie per (i) favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cyber-sicurezza, nonché la condivisione delle informazioni e (ii) l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cyber-sicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cyber-sicurezza;
• esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cyber-sicurezza nazionale.

L’Agenzia per la cyber-sicurezza nazionale

Tra le novità principali del Decreto vi è, altresì, l’istituzione dell’”Agenzia per la cyber-sicurezza nazionale” (l’”ANC” o l’”Agenzia”). Il Decreto specifica le sue funzioni chiarendone la composizione e l’organizzazione. Con apposito regolamento, da approvarsi entro 120 giorni dall’entrata in vigore del Decreto, infatti, dovrà essere definito il funzionamento dell’Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili (art. 12, comma 1).

L’Agenzia rappresenta il principale Ente in materia di cyber-sicurezza che esercita funzioni di autorità nazionale in materia e accentra le numerose competenze sin d’ora attribuite ad altri organi tra cui quelle del Ministero dello Sviluppo Economico. Tra i suoi compiti vi rientrano:

• la tutela degli interessi nazionali e delle funzioni essenziali dello Stato da minacce informatiche;
• lo sviluppo di capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici;
• l’innalzamento della sicurezza dei sistemi di “Information and Communications Technology” (“ICT”) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali;
• il supporto allo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo, mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
• l’assunzione delle funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi, e della sicurezza delle reti di comunicazione elettronica.

Il Nucleo per la cyber-sicurezza

L’Agenzia è affiancata dal “Nucleo per la cyber-sicurezza” che ha il compito di supportare il Presidente del Consiglio dei Ministri, per gli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tra i principali compiti affidati a tale organo rientrano:

• la formulazione di proposte di iniziative in materia di cyber-sicurezza del Paese;
• la promozione, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
• lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese ed essere coinvolto nelle crisi che interessano la cyber-sicurezza.

◊◊◊◊

Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei Ministri ha il compito di trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente e la stessa, in qualità di Centro nazionale di coordinamento italiano, nello svolgimento delle proprie attività si interfaccerà con il “Centro europeo di competenza per la cyber-sicurezza nell’ambito industriale, tecnologico e della ricerca“, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Altri insights correlati:

• Smart working e protezione dei dati personali (Top Legal Focus Privacy & Data Protection, febbraio 2021 – Vittorio De Luca, Elena Cannone)
• Data Breach: Le Linee Guida dei Garanti Europei per la gestione delle violazioni dei dati