L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Foodinho S.r.l., società del gruppo Glovo, al pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale.

A seguito di una complessa istruttoria avviata d’ufficio dall’Autorità, è emerso che la società, già sanzionata nel 2021 per trattamenti illeciti e violazioni delle disposizioni previste dalla normativa privacy, effettuava “numerose e gravi violazioni” del GDPR.

Tra le altre, infatti, la società:

  1. nel disattivare o bloccare l’account del rider inviava automaticamente un unico messaggio standard che però non informava il destinatario della possibilità di contestare la decisione e chiedere il ripristino dell’account;
  2. effettuava trattamenti automatizzati dei dati personali dei rider senza aver adottato le misure previste dalla normativa per l’utilizzo di sistemi automatizzati. Non era infatti prevista, per il rider, la possibilità di esercitare il diritto di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema (n.b. sul punto anche c.d. “Decreto Trasparenza”);
  3. inviava, in assenza di preventiva informativa, i dati personali dei rider, compresa la posizione geografica, a società terze. I dati di geolocalizzazione venivano raccolti e trattati anche quando il rider non prestava attività lavorative e anche quando l’app era in background ovvero non era attiva.
  4. Oltre alle numerose violazioni della normativa privacy rilevate dall’Autorità e qui parzialmente riportate, vale la pena segnalare che il Garante ha voluto sottolineare che nel caso in esame, la società “pur effettuando un’attività di sistematico controllo della prestazione lavorativa svolta dai rider, attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni), […], non si è conformata a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970, posto che non ha verificato che gli strumenti utilizzati siano riconducibili alle finalità tassativamente ammesse dall’ordinamento (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) né ha attivato la procedura di garanzia prevista in caso di sussistenza di una delle predette finalità (accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro)”.
  5. In altre parole, la società oltre ad implementare misure di sicurezza tecniche ed organizzative atte a eliminare le violazioni poste in essere e cessare i trattamenti illeciti di dati personali effettuati dovrà dotarsi di misure appropriate per adempiere anche a quanto previsto dallo Statuto dei Lavoratori in materia di controlli da distanza.

Altri insights correlati:

Compliance, contratti di agenzia e gestione della privacy: un quadro di complessità crescente

Lo studio legale De Luca & Partners e HR Capital hanno recentemente messo in luce criticità rilevanti in settori strategici come la gestione dei contratti, la compliance normativa e la protezione dei dati. Questi ambiti, fondamentali per le aziende italiane, si confrontano con un’evoluzione normativa che richiede un’attenzione crescente per evitare conseguenze economiche e reputazionali.


Contratti di agenzia per gli influencer: nuove implicazioni economiche e normative


Una recente sentenza del Tribunale di Roma ha riqualificato quali contratti di agenzia i rapporti di collaborazione commerciale tra una società e alcuni influencer ai quali era affidata l’attività di promozione tramite canali social dei prodotti della società, condannando quest’ultima, in conseguenza della riqualificazione, al versamento dei contributi omessi a Enasarco.


La riqualificazione dei contratti commerciali in contratti di agenzia potrebbe, peraltro, implicare un ulteriore impatto economico significativo per le aziende, ossia il pagamento in favore dell’influencer/agente dell’indennità di cessazione del rapporto da calcolarsi, di norma, sulla base della media annuale dei compensi riscossi dall’influencer/agente negli ultimi cinque anni. Alla luce di quanto precede, sarebbe opportuno che le aziende aggiornassero i propri bilanci con accantonamenti mirati e procedessero alla corretta qualificazione dei contratti già esistenti sanando eventuali irregolarità in essere.

Tuttavia, secondo i name partner dello studio Vincenzo De Luca e Vittorio De Luca, molte aziende non hanno ancora compreso l’urgenza di implementare una adeguata regolamentazione dei rapporti contrattuali.

Contratti di appalto e requisiti di genuinità: rischi penali per le irregolarità

Il rispetto dei requisiti di genuinità nei contratti di appalto è ormai sotto la stretta sorveglianza delle Autorità. Il Legislatore ha recentemente inasprito, sia per i committenti che per gli appaltatori, le conseguenze previste per gli appalti “non genuini” ove si realizzi, di fatto, una somministrazione irregolare di manodopera, prevedendo anche sanzioni di natura penale.
Per essere considerato conforme, un appalto deve rispondere ai tre requisiti ovvero l’assunzione del rischio d’impresa, l’organizzazione dei mezzi e la gestione autonoma del personale da parte dell’appaltatore, con la direzione effettiva delle persone coinvolte da parte dell’appaltatore.
La reintroduzione delle sanzioni penali dal marzo 2024 rappresenta una spinta ulteriore per le aziende a
garantire la trasparenza e l’autonomia dei rapporti di appalto.

Compliance e nuova “Patente a crediti”: un obbligo per aziende e lavoratori autonomi

Dal 1° ottobre 2024 è entrato in vigore il nuovo sistema della “Patente a crediti,” che richiede una serie di
adempimenti formali per chi opera in cantieri o su progetti di ingegneria rilevanti nel territorio italiano.
Sarà un requisito fondamentale per chi deve lavorare (azienda o lavoratore autonomo che opera nel cantiere) sul territorio nazionale.
La compliance per ottenere questa certificazione include documenti come il Durc e il Durf e il rispetto della normativa attinente alla salute e sicurezza sul luogo di lavoro, obbligando anche le imprese estere che operano in Italia a soddisfare tali requisiti.
L’avvocato Vittorio De Luca illustra che la Patente a crediti è prevista anche per le imprese estere che operano sul territorio italiano, ad esempio nei cantieri immobiliari e di infrastrutture, così come nell’installazione di data center. L’azienda estera potrà essere esentata dalla regolamentazione della “Patente a crediti” soltanto qualora abbia conseguito un titolo equipollente con una certificazione rilasciata nello stato estero.
L’integrazione tra aspetti legali, fiscali e contributivi diventa cruciale per un’operatività trasparente e conforme.
Vi è perciò una interconnessione tra la parte legale e di compliance, curata dallo Studio De Luca & Partners, e quella fiscale e contributiva, gestita dal consulente del lavoro HR Capital, come spiega il Dott. Andrea Di Nino.

Privacy e protezione dei dati: le gravi conseguenze delle violazioni

La gestione della privacy e dei dati personali è diventata uno dei punti focali per le aziende italiane, specie alla luce delle severe sanzioni imposte per le violazioni del GDPR, che possono arrivare fino al 4% del fatturato mondiale totale annuo.
La Dott.ssa Martina De Angeli spiega che recenti indagini della Procura di Milano hanno evidenziato come una scarsa sicurezza dei sistemi IT possa portare a intrusioni non autorizzate con conseguenze gravi. Oltre a dover segnalare un eventuale data breach entro le 72 ore – si tenga presente che da un punto di vista operativo è un tempo brevissimo, le aziende devono monitorare costantemente i propri sistemi, formando il personale e implementando processi di controllo e monitoraggio continui.

Continua a leggere la versione integrale pubblicata su Global Legal Chronicle Italia

In occasione del nostro ultimo Team Meeting tra i vari argomenti, abbiamo approfondito la recente sentenza della Corte di Giustizia dell’Unione Europea del 4 ottobre 2024, con la quale è stato stabilito che ciascuno Stato Membro possa prevedere la possibilità, per i competitor di un presunto autore di una violazione degli adempimenti richiesti dalla normativa privacy, di contestarla in giudizio in quanto pratica commerciale sleale vietata.

Il Tribunale di Udine (sezione lavoro, ordinanza 504 del 2 agosto 2024) ha ritenuto legittimo il provvedimento di sospensione dal servizio e dalla retribuzione che una società aveva comminato a una lavoratrice che si era rifiutata di sottoscrivere per accettazione la lettera a soggetto autorizzato al trattamento dei dati personali in base alla normativa in materia di privacy (si veda anche Ntpluslavoro del 26 settembre).

Secondo il Tribunale, per un fatto determinato dalla volontà della dipendente e comunque fuori dalla propria sfera di controllo, la società si è trovata nelle condizioni di dover necessariamente sospendere dal servizio e dalla retribuzione la ricorrente. Se così non avesse fatto, avrebbe di fatto violato le norme di garanzia previste dalla normativa in materia di protezione dei dati personali esponendosi inevitabilmente al rischio di incorrere nelle sanzioni perviste.

Le conseguenze del rifiuto

Il datore di lavoro affida al dipendente non solo risorse e strumenti adeguati a fare in modo che possa effettuare un corretto trattamento dei dati personali, ma anche la responsabilità di trattare tali dati con la dovuta riservatezza, correttezza e diligenza. Se dunque è vero che la nomina a persona designata ha natura unilaterale essendo un atto che promana dalla parte datoriale, è altrettanto vero che la mancata accettazione da parte del lavoratore porta a conseguenze nella gestione del rapporto di lavoro che producono su diversi piani:

– violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto;

– inadempimento dei doveri contrattuali;

– integrazione di condotta disciplinarmente rilavante.

Anche sulla base di queste considerazioni, il Tribunale di Udine ha considerato il rifiuto di accettare la nomina come incaricato al trattamento dei dati elemento sufficiente a giustificare l’adozione del provvedimento disciplinare della sospensione dal servizio e dalla retribuzione.

Il caso specifico porta inevitabilmente a domandarsi quali siano, o possano essere, gli effetti e le conseguenze per il datore di lavoro che si trovi suo malgrado di fronte all’ipotesi in cui un lavoratore non accetti l’incarico a soggetto autorizzato al trattamento dei dati personali o, addirittura, manifesti l’intenzione di revocare una accettazione precedentemente fornita.

Logicamente, ma per completezza di ragionamento vale la pena soffermarsi brevemente anche su questo. Il tema non si pone qualora le mansioni assegnate a un lavoratore non presuppongano un trattamento di dati personali. Ad avviso di chi scrive, il tema non si pone per due ordini di ragioni. Da un lato, autorizzare e istruire un lavoratore che non tratta dati personali nell’espletamento delle attività lavorative sarebbe illogico e non necessario. L’articolo 29 del Regolamento Ue 2016/679 (il Gdpr) e l’articolo 2-quaterdecies del Dlgs 196/2003 dispongono, infatti, che a dover essere istruiti siano coloro che hanno “accesso a dati personali” e non coloro che non effettuano alcuna operazione di trattamento. Dall’altro lato, il rifiuto di chi, in ragione delle mansioni assegnate, non accede a informazioni personali non avrebbe alcun impatto nell’espletamento delle quotidiane attività lavorative. Pertanto, anche di fronte a tale ultima ipotesi, non si determinerebbe alcuna condotta potenzialmente rilevante dal punto di vista disciplinare.

Continua a leggere la versione integrale pubblica su Norme e Tributi Plus Lavoro del Il Sole 24 Ore.

L’uso di dati personali non è soggetto all’obbligo di informazione ed alla previa acquisizione del consenso del titolare quando i dati stessi vengano raccolti e gestiti nell’ambito di un processo”. Ciò “purché i dati siano inerenti al campo degli affari e delle controversie giudiziarie che ne scrimina la raccolta, non siano utilizzati per finalità estranee a quelle di giustizia in ragione delle quali ne è avvenuta l’acquisizione e sussista il provvedimento autorizzatorio”.

Lo ha ribadito la Corte di Cassazione, ordinanza n. 24797/2024, del 16 settembre 2024.

Nel caso di specie, alcuni dipendenti avevano – ciascuno nell’ambito del proprio contenzioso avente ad oggetto questioni inerenti alle loro posizioni lavorative – depositato in giudizio la registrazione di una conversazione avvenuta diversi anni prima tra un loro collega ed alcuni dirigenti della società datrice di lavoro. Registrazione che era stata effettuata all’insaputa, e senza il consenso, dei partecipanti. I dirigenti coinvolti proponevano reclamo all’Autorità Garante per la protezione dei dati personali che respingeva la richiesta constatando che la registrazione, e quindi la connessa attività di trattamento dei dati personali, era stata effettuata per finalità connesse alla contestazione di addebiti nell’ambito del rapporto di lavoro. A questo punto, i dirigenti si rivolgevano al giudice ordinario.

Oltre alla consolidata giurisprudenza nazionale formatasi sul tema, la Cassazione richiama anche la Corte di giustizia (UE) che, con sentenza del 2 marzo 2023, C-268/21 – Norra Stockholm Bygg AB contro Per Nycander AB, chiariva che qualora dati personali di terzi vengano utilizzati in un giudizio è il giudice nazionale che deve ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco e che “tale valutazione può, se del caso, indurlo ad autorizzare la divulgazione completa o parziale alla controparte dei dati personali che gli sono stati così comunicati, qualora ritenga che una siffatta divulgazione non ecceda quanto necessario al fine di garantire l’effettivo godimento dei diritti che i soggetti dell’ordinamento traggono dall’articolo 47 della Carta“.

E, ricorda la Corte di Cassazione nella pronuncia in commento, gli “artt. 17 e 21 del GDPR rendono palese che nel bilanciamento degli interessi in gioco il diritto a difendersi in giudizio può essere ritenuto prevalente sui diritti dell’interessato al trattamento dei dati personali”.