Approfondimenti

Gestione della posta elettronica nel contesto lavorativo e gestione dei metadati: il nuovo documento di indirizzo del Garante Privacy

Con il provvedimento di indirizzo n. 364 del 6 giugno 2024 il Garante Privacy torna ad esprimersi sulla questione relativa alla conservazione dei metadati delle caselle e-mail in uso ai dipendenti, all’esito della consultazione pubblica avviata nello scorso febbraio. Innanzitutto, il Garante Privacy chiarisce il significato di metadati di posta elettronica (o log di posta elettronica), specificando come gli stessi non debbano confondersi con il corpo del messaggio di posta elettronica e le parti ad esso integrate, che rimangono sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei dati). I metadati di posta elettronica di cui invece si occupa il provvedimento di indirizzo corrispondono alle informazioni registrate automaticamente dai sistemi di posta elettronica per la gestione, smistamento e recapito del messaggio di posta. Più nel dettaglio, tali informazioni possono comprendere: Indirizzi e-mail del mittente e del destinatario;Indirizzi IP dei server o dei client coinvolti;Orario di invio, ritrasmissione e ricezione del messaggio;Dimensioni del messaggio;Presenza e dimensione di eventuali allegati;Oggetto del messaggio. Chiarito l’oggetto del documento è importante capire quali indicazioni il Garante Privacy fornisce ai datori di lavoro pubblici e privati per il corretto trattamento di tali dati personali. Ebbene, il provvedimento offre una ricostruzione della normativa vigente e fornisce indicazioni in ordine alla possibilità di trattare le informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, senza necessità di attivare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro). In primo luogo, è necessario che i lavoratori siano adeguatamente informati sul complessivo trattamento effettuato da parte del datore di lavoro, ivi compreso il trattamento relativo alle comunicazioni elettroniche le li riguardano. Inoltre, sarà necessario coinvolgere i fornitori di servizi informatici di gestione della posta elettronica dei dipendenti al fine di comprendere i tempi di conservazione dei metadati di posta elettronica ed eventualmente modificare le impostazioni predefinite, limitando i tempi di conservazione a pochi giorni, in ogni caso non superiori a 21 giorni. Tale periodo, infatti, è stato ritenuto dal Garante congruo per assicurare il funzionamento delle infrastrutture del sistema della posta elettronica. Nel caso in cui tali termini di conservazione siano superiori spetta al Titolare del trattamento giustificare le prassi adottate sulla base di specifiche esigenze tecniche e organizzative e valutare se i trattamenti che intende realizzare presentino un elevato rischio per i diritti e le libertà degli interessati che rendano necessario lo svolgimento di una valutazione di impatto. In merito, preme precisare che le indicazioni fornite a livello europeo sul punto ritengono che in caso di raccolta e memorizzazione di log di posta elettronica tale necessità ricorra, considerata la particolare “vulnerabilità” dei soggetti interessati nel contesto lavorativo, oltre che il rischio di “monitoraggio sistematico” dei lavoratori da parte dei datori di lavoro. Tale documento di indirizzo, dunque, non solo pone le basi per una maggiore consapevolezza dei datori di lavoro, ma anche per una maggiore responsabilizzazione dei fornitori di servizi informativi di gestione della posta elettronica, che probabilmente d’ora in avanti dovranno consentire la personalizzazione dei tempi di conservazione dei metadati da parte dei propri clienti.
Approfondimenti

Whistleblowing: gli adempimenti per le aziende

Il 27 ottobre 2023 Confindustria ha pubblicato le linee guida intitolate “Nuova disciplina Whistleblowing – Guida Operativa degli enti privati” al fine di offrire ai soggetti privati destinatari della normativa un utile strumento per adeguarsi alle disposizioni di cui al D. Lgs. 24/2023. Il Decreto menzionato abroga e modifica la disciplina nazionale previgente, racchiudendo in un unico testo normativo il regime di protezione dei soggetti che segnalano condotte illecite poste in essere in violazione non solo di disposizioni europee, ma anche nazionali. Il quadro normativo di riferimento è stato, poi, ulteriormente arricchito dalle Linee Guida ANAC, emanate nel luglio 2023, recanti procedure per la presentazione e gestione delle segnalazioni esterne, e dalle recenti linee guida di Confindustria, che invece cercano di dare indicazioni concrete ai soggetti privati che sono obbligati ad adeguarsi alla normativa. In particolare, con riguardo agli enti privati, la disciplina di nuova introduzione si applica: A partire dal 15 luglio 2023 a coloro che hanno impiegato la media di 250 lavoratori a tempo determinato e/o indeterminato;A partire dal 17 dicembre 2023 a coloro che hanno impiegato una media di lavoratori subordinati tra le 50 e le 249 unità. Inoltre, la normativa di recente introduzione trova applicazione per coloro che, a prescindere dalla media d lavoratori occupati, si sono dotati di un modello di organizzazione, gestione e controllo ai sensi del D. Lgs. 231/2001. Nella moltitudine di norme e linee guida presenti non sempre è chiaro, però, cosa concretamente l’ente privato debba fare per rendersi compliant alla normativa e soprattutto di quale documentazione debba dotarsi per dimostrare il rispetto delle disposizioni vigenti ed evitare così le sanzioni legislativamente previste. In primo luogo, l’ente dovrà dotarsi di un canale interno (scritto e orale) in grado di recepire eventuali segnalazioni “whistleblowing” nel rispetto di requisiti di riservatezza, riservatezza che potrà essere garantita anche mediante strumenti di crittografia. In secondo luogo, al fine di rendere compliant il proprio sistema 231 le aziende dovranno: Predisporre un’apposita procedura recante indicazioni sulle modalità di presentazione e di gestione delle segnalazioni, oltre che sul sistema sanzionatorio adottato dalla società;Modificare il proprio Modello di Organizzazione, Gestione e Controllo;Predisporre e prevedere nuovi flussi verso l’ODV. Infine, sarà necessario porre in essere i seguenti adempimenti lato privacy:  Predisporre di un’apposita informativa privacy;Autorizzare al trattamento i soggetti che gestiscono le segnalazioni;Nominare responsabile esterno del trattamento il soggetto che fornisce lo strumento utilizzato per la gestione delle segnalazioni;Aggiornare l’organigramma privacy con l’aggiornamento dei ruoli coinvolti;Svolgere una valutazione d’impatto (DPIA) sulla piattaforma utilizzata dall’ente per la gestione delle segnalazioni;Aggiornare la policy data retention e il registro dei trattamenti. Infine, l’azienda dovrà dimostrare di aver formato i soggetti potenziali segnalatori, oltre che i soggetti che verranno incaricati di gestire le segnalazioni ricevute. In conclusione, gli enti privati destinatari della normativa devono dimostrare di aver eseguito tutta una serie di adempimenti al fine di evitare l’applicazione di eventuali sanzioni da parte di ANAC e di consentire ai propri modelli di organizzazione, gestione e controllo di continuare a svolgere la propria funzione. I professionisti di Firenze Legale saranno in grado di supportarvi nella redazione della documentazione necessaria e nella scelta di best practices da adottare.
Approfondimenti News

Strumenti operativi per prevenire la commissione di reati presupposto in materia di Salute e Sicurezza sui luoghi di lavoro

Sono state pubblicate da parte di INAIL le “Linee di Indirizzo per il Monitoraggio e la Commissione dei Reati Relativi a Salute e Sicurezza sul Lavoro di cui al 25 septies del d.lgs. 231/01”, linee di indirizzo che rappresentano un utile strumento per le aziende per la conoscenza di buone pratiche organizzative che rivestano efficacia esimente delle responsabilità amministrativa degli Enti ai sensi dell’art. 25 septies del d.lgs. 231/01. A tal proposito, preme ricordare che i reati di omicidio e lesioni colpose conseguenti alla violazione della normativa antinfortunistica possono costituire reati per i quali può essere riconosciuta la responsabilità dell’ente ai sensi del d.lgs. 231/2001, nel caso in cui tali reati si realizzino nell’interesse o vantaggio dell’ente. Il vantaggio dell’impresa può essere inteso, in tale frangente, in termini di condotta omissiva e quindi di risparmio derivante dal mancato investimento in dotazioni di sicurezza o nel mancato approntamento di strumenti di controllo sullo stato delle attrezzature, macchinari o impianti etc. Non è sempre semplice per un’impresa individuare le modalità più opportune per una corretta organizzazione della sicurezza. La molteplicità dei rischi potenzialmente presenti e delle disposizioni normative applicabili possono, infatti, rendere difficile una corretta programmazione e gestione di tali aspetti. Ancor più complesso è capire se il modello 231 sia aderente alle caratteristiche dell’organizzazione aziendale e, dunque, risulti uno strumento funzionale alla riduzione del fenomeno infortunistico e al miglioramento della gestione complessiva dell’attività di impresa, oltre che alla esclusione della responsabilità dell’azienda nel caso in cui si verifichi l’evento lesivo. Capitalimprese e Inail hanno sviluppato una metodologia, adatta per tutti i tipi aziendali, per individuare soluzioni efficaci per l’applicazione di un modello organizzativo che costituisca una valida esimente ai sensi del D.lgs. 231/2001. Il punto di partenza per l’applicazione del sistema gestionale e del modulo della prevenzione consiste nella mappatura delle aree di processo dell’Ente e delle attività sensibili che fanno parte di ciascuna area di processo. I reati che rilevano in questa sede sono, come già detto sopra, reati colposi quindi risulta particolarmente importante individuare quali possano essere le condizioni che favoriscono gli elementi costitutivi dei delitti colposi e quali sono quelle che possono al contrario allontanarne il rischio. Lo spirito stesso della norma contenuta nel d.lgs. 231/01, confermato dall’art. 30 del d.lgs. 81/2008, oltre che della giurisprudenza in materia, pone l’accento proprio sugli aspetti organizzativi della gestione delle attività sensibili. La chiave di volta del miglioramento continuo – secondo le linee di indirizzo in esame – è, quindi, costituita dall’integrazione fra analisi del rischio e gestione dello stesso attraverso la definizione di azioni correttive strutturate sulla base delle eventuali non conformità rilevate nel processo di auditing. Si tratta in sostanza di mantenere sotto controllo costante i seguenti aspetti dei sistemi di gestione e del modello organizzativo 231: – attività sensibili e aree di processo; – sistemi di certificazione; – procedure operative; – documenti e comunicazioni; – personale e figure operative coinvolte e relative responsabilità; – scadenze; – misurazioni e statistiche della rischiosità. In tal modo il Modello Organizzativo 231 diventa una realtà dinamica e costantemente aggiornata, e si prepara ad esercitare la propria efficacia esimente della responsabilità penale della persona giuridica.
Approfondimenti

Fake news, quando si integra un reato?

Alzi la mano chi non si è mai imbattuto in una fake news.

Nell’epoca di internet, dei giornali on line, dei blog, dei social è praticamente impossibile non aver mai trovato – e magari creduto – ad una fake news. Poco importa se si tratta di notizie divertenti, magari riguardanti qualche strana specie animale o tradizione popolare, ma in alcuni casi le notizie false, esagerate, sbagliate o distorte possono avere una rilevanza tale da costituire un vero e proprio reato.

In base all’interpretazione giurisprudenziale, è falsa “la notizia completamente difforme dal vero, priva di fondamento”; è esagerata “la notizia che, pur basandosi su un fondamento di verità risulta amplificata, ingrandita e iperbolica”; è tendenziosa “la notizia che, pur riferendo cose vere, viene presentata in modo da ingenerare in chi la apprende una rappresentazione deformata della realtà”.

In presenza di simili caratteristiche, la notizia potrebbe avere una rilevanza penale e il suo autore (o colui che semplicemente ha contribuito alla sua diffusione) potrebbe incorrere in una sanzione addirittura penale.

I reati che possono essere integrati diffondendo una fake news sono molteplici:

In tempo di guerra, la diffusione di notizie false è punita dall’art. 265 c.p., che disciplina il Disfattismo politico, che punisce chiunque diffonda o comunichi voci o notizie false, esagerate o tendenziose, che possano destare pubblico allarme o deprimere lo spirito pubblico o altrimenti menomare la resistenza della nazione di fronte al nemico.

Anche in tempo di pace le notizie false possono costituire reato, ove vadano a ledere l’ordine pubblico e la tranquillità sociale. Basti pensare al delitto di aggiotaggio che punisce chiunque diffonde notizie false concretamente idonee ad alterare il mercato; al reato di pubblicazione di notizie false, esagerate o tendenziose atte a turbare l’ordine pubblico, che sanziona chi pubblica o diffonde una notizia falsa, esagerata o tendenziosa idonea a turbare l’ordine pubblico; al reato di procurato allarme presso l’Autorità, per tutti coloro i quali annunciando disastri, infortuni o pericoli inesistenti, suscitando allarme presso l’Autorità o esercenti di pubblico servizio; o ancora al reato di abuso della credulità popolare, che punisce chiunque pubblicamente cerca di abusare della credulità popolare, ove dal predetto fatto possa derivare un turbamento dell’ordine pubblico.

Infine, evidente è il legame con la diffamazione, ove la notizia falsa su una o più determinate persone sia potenzialmente idonea a offenderne la reputazione determinando il discredito e la lesione dell’onore di essa o di esse all’interno della cerchia sociale, dell’ambiente lavorativo, familiare. Quando poi la notizia viene diffusa mediante internet la diffamazione si manifesta nella sua forma aggravata.

A tal proposito, peraltro, come ha chiarito da sempre la giurisprudenza, “…non è necessario che la persona cui l’offesa è diretta sia nominativamente designata, essendo sufficiente che essa sia indicata in modo tale da poter essere individuata in maniera inequivoca…”. Questo principio appare particolarmente rilevante in materia di fake news diffuse a mezzo social. Ciò in quanto, molto spesso, coloro che diffondono tali notizie, insultano o diffamano chi si oppone alle loro teorie, ma sono convinti di non incorrere nel delitto in esame non nominando espressamente le persone, ma sostituendo i nomi con nomignoli o appellativi di vario genere che in realtà non schermano l’identità del destinatario delle offese che rimane sempre facilmente individuabile da coloro che leggono la notizia.

Altrettanto evidente è il rapporto problematico con la libera manifestazione del pensiero, diritto tutelato costituzionalmente dall’art. 21 della Costituzione. Ciò che, però, tutti non sanno è che la stessa Costituzione pone dei limiti al suddetto diritto in alcune e specifiche circostanze. Una di queste è senz’altro la lotta alle c.d. fake news, ossia la pubblicazione di notizie false o esagerate con foto e titoli sensazionalistici per attirare “clic” sulle proprie pagine o blog e – sempre più spesso – guadagnare in base al numero delle visualizzazioni.

Ed allora, colui che pubblica una notizia deve verificare la corrispondenza rigorosa dei fatti accaduti con quelli narrati (principio della verità), l’esistenza di un interesse dell’opinione pubblica alla conoscenza dei fatti narrati (principio della pertinenza) e deve esprimere il proprio pensiero in modo corretto e composto, evitando aggressioni gratuite all’altrui reputazione (principio della continenza).

In presenza di queste caratteristiche, il reato di diffamazione non viene integrato in quanto scriminato dall’esercizio del diritto di cronaca, di critica e di satira.

Tra i tre principi enucleati dalla giurisprudenza il principio della verità della notizia è quello che maggiormente si presenta di immediato interesse per la tematica delle fake news, in quanto appare del tutto evidente che le notizie false, violando tale principio, non potranno mai essere scriminate sulla base del diritto di cronaca. Tuttavia, il problema non è di così facile soluzione perché che vi sono vari livelli e modi di falsificazione e/o manipolazione della realtà e, in materia di fake news, soprattutto quando esse si innestano in una più ampia narrazione complottistica, si cerca di affermare che “è proprio la fake news ad essere la verità”.

Occorre pertanto prestare molta attenzione al contenuto delle notizie che vengono pubblicate, facendo ricorso non soltanto a verifiche sulla fonte e/o sul contenuto stesso della notizia, ma anche a consulenti che possano accompagnare verso una pubblicazione consapevole.

Approfondimenti

L’evoluzione del diritto penale e il Revenge Porn

Sempre più spesso, negli ultimi anni, si sente utilizzare l’espressione revenge porn, espressione della lingua inglese che indica la condivisione pubblica – per fini di vendetta – di immagini o video intimi tramite internet, senza il consenso del protagonista del video o dell’immagine stessa.

Andando un po’ più nel dettaglio, il revenge porn in senso stretto consiste nella creazione consensuale di immagini intime o sessuali all’interno di un contesto di coppia e la non consensuale pubblicazione delle stesse da parte di uno dei membri con l’intento di vendicarsi della fine della relazione. Tale espressione è utilizzata, tuttavia, nel linguaggio comune, in senso più ampio anche per indicare ogni forma di diffusione non consensuale di immagini pornografiche o comunque aventi un contenuto sessuale, a prescindere quindi dalla pregressa esistenza di una relazione sentimentale o dalla finalità ritorsiva di colui che pubblica le immagini.

Purtroppo, il revenge porn è un fenomeno oggi molto diffuso, soprattutto tra i giovani. L’attuale pandemia, inoltre, ha ulteriormente peggiorato la situazione, portando ad un incremento di tutti i reati online come cyberbullismo e revenge porn appunto, tipologie di reati impensabili venti anni fa, astrattamente ipotizzabili dieci anni fa, ma che negli ultimi anni hanno assunto una portata rilevante e preoccupante. Una ricerca dell’ottobre 2020 del Dipartimento di Pubblica Sicurezza avente per oggetto lo studio della diffusione dei reati di revenge porn nell’anno 2019- 2020 ha rivelato, ad esempio, che la Lombardia ha registrato ben 141 reati perfezionati, seguita dalla Sicilia con 82.

L’emersione di nuovi comportamenti e di nuove esigenze di tutela ha portato il Legislatore ad introdurre, con la Legge n. 69/2019, il reato di “Diffusione illecita di immagini o video sessualmente espliciti” all’art. 612 ter c.p.

L’intervento legislativo è giunto subito dopo il caso di Tiziana Cantone, fortemente sentito anche dall’opinione pubblica. La donna, dopo la diffusione in internet contro la sua volontà di alcuni filmati hard di cui era protagonista, era stata oggetto di pesanti e continue offese e aggressioni al suo onore e alla sua reputazione che l’avevano spinta a togliersi la vita il 13 settembre 2016. Il caso ha messo in luce – forse per la prima volta in Italia – la straordinaria pericolosità del fenomeno, reso incontrollabile dagli strumenti telematici che, non solo rendono pressoché impossibile controllare e fermare la diffusione delle immagini e dei relativi commenti, ma consentono anche agli aggressori di colpire in anonimato. Pochi giorni dopo la morte di Tiziana Cantone è stato presentato il primo progetto di legge per l’introduzione di un reato specifico. Un’altra vicenda, che ha coinvolto la deputata Giulia Sarti, ha ulteriormente accelerato l’iter di approvazione, che si è concluso con la promulgazione della Legge 69/2019.

Il delitto di nuova introduzione punisce, da un lato, chiunque invii, consegni, ceda, pubblichi o diffonda – senza il consenso della persona rappresentata – immagini o video a contenuto sessualmente esplicito che erano destinati a restare privati e, dall’altro lato, coloro che una volta ricevuto o acquisito il materiale lo inviino, consegnino, cedano, pubblichino o diffondano senza il consenso della persona rappresentata, con il fine di recare alla vittima un nocumento.

La fattispecie prevede un aumento di pena se i fatti sono commessi:

dal coniuge, anche separato o divorziato;
da persona che è o è stata legata da relazione affettiva alla persona offesa;
con strumenti informatici o telematici. In quest’ultimo caso, infatti, il ricorso a tali strumenti amplifica la diffusione immediata ad un numero sempre più crescente di destinatari, incrementando l’offesa subita dalla vittima;
a danno di una persona che sia in condizione di inferiorità fisica o psichica o verso una donna in stato di gravidanza: in questi casi è chiaro che emerga una particolare vulnerabilità delle vittime in questione.

Il reato in esame è procedibile a querela della persona offesa, ciò con l’evidente intento di evitare la c.d. vittimizzazione secondaria, cagionata dal rapporto con le istituzioni ed implicante, ad esempio, la necessità di ripetere più volte la narrazione di quanto subìto e di essere soggetti a valutazioni sulla propria credibilità ed attendibilità.

In ogni caso, il consiglio per la redazione dell’atto di denuncia querela, è quello di rivolgersi sempre a professionisti in grado di mettere in luce il reale disvalore della fattispecie in tutte le sue sfaccettature e in grado di individuare consulenti informatici forensi che possano fornire il necessario supporto alla narrazione dei fatti.

Approfondimenti

Obbligo di verifica del c.d. green pass: modalità e limiti.

Sempre più spesso sentiamo parlare di Green Pass.
Ad oggi, il c.d. certificato verde non serve più solo per partecipare a feste di nozze o per le visite nelle case di riposo per anziani, ma anche per l’accesso a eventi sportivi, fiere, congressi, musei, parchi tematici e di divertimento, teatri, cinema, concerti, concorsi pubblici, istituti scolastici. E l’ingresso in bar, ristoranti, piscine, palestre e centri benessere, limitatamente alle attività al chiuso.
Le multe per i trasgressori sono salate. Vanno da 400 a 1000 euro sia a carico dell’esercente sia del cliente. E in caso di violazione reiterata per tre volte in tre giorni diversi, «l’esercizio potrebbe essere chiuso da 1 a 10 giorni».
Considerato quindi il crescente utilizzo che verosimilmente verrà fatto di questo strumento è necessario fare un po’ di chiarezza sul punto al fine di comprendere chi siano i soggetti tenuti alla verifica e quali modalità devono essere seguite per operare correttamente.
L’Autorità Garante per la Protezione dei dati personali ha ricevuto negli ultimi tempi diversi quesiti, da parte di soggetti a vario titolo destinatari dei nuovi obblighi, introdotti dal D.L. n. 105 del 2021, in relazione all’uso delle certificazioni verdi in “zona bianca”. Tali istanze mirano, in particolare, a ottenere una pronuncia del Garante su questi obblighi, sui limiti e sui presupposti del potere di accertamento dell’identità del titolare delle certificazioni verdi, sui contesti nei quali sia richiesto il possesso di tali attestazioni e sulle implicazioni della loro eventuale inosservanza da parte dei rispettivi destinatari. Ciò in quanto un utilizzo non corretto delle certificazioni verdi e/o delle modalità di verifica delle medesime potrebbero comportare un trattamento illecito di dati personali, con tutte le conseguenze e sanzioni che ne derivano.
Innanzitutto, si può rilevare come la disciplina delle certificazioni verdi sia legittima, sotto il profilo della protezione dei dati, nella misura in cui si inscriva nel perimetro delineato dalla normativa vigente e si limiti al trattamento dei soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione).
Ai sensi dell’art. 13 del DPCM 17 giugno 2021, la verifica delle certificazioni verdi COVID-19 è effettuate mediante lettura del QR Code tramite l’unica app consentita, ovvero quella sviluppata dal Ministero della Salute “VerificaC 19”, che consente solamente di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’intestatario (nome, cognome e data di nascita), senza rendere visibili le informazioni che ne hanno determinato l’emissione.
Non sussiste in capo ai soggetti verificatori alcun obbligo di verifica del documento di identità dell’interessato. Tale possibilità potrà essere fatta valere dal soggetto preposto alla verifica solo ove vi sia una palese incongruenza tra ciò che risulta dalla verifica tramite app “VerificaC 19” e ciò che appare (ad es. nel caso in cui sia palese che la data di nascita riportata sul Green Pass non possa essere quella del soggetto che lo presenta).
Non è invece prevista alcuna possibilità di raccolta e/o archiviazione in qualunque forma delle certificazioni da parte dei soggetti verificatori.
Il trattamento dei dati personali funzionale a tali adempimenti, se condotto conformemente alla disciplina sopra richiamata e nel rispetto delle norme in materia di protezione dei dati personali (e in primo luogo del principio di minimizzazione) non può, pertanto, comportare l’integrazione degli estremi di alcun illecito, né tantomeno l’irrogazione delle sanzioni paventate nelle note ricevute dal Garante.
Pertanto, le richieste da parte di palestre e centri sportivi ai loro abbonati e associati di trasmissione e consegna, assieme al certificato di sana e robusta costituzione, di copia del Green Pass con evidenziata la relativa data di scadenza rappresentano una violazione della vigente disciplina in materia di protezione dei dati personali giacché il titolare del trattamento – palestra, centro sportivo o qualsiasi altro analogo soggetto – non ha titolo per acquisire la data di scadenza del Green Pass e conservare gli altri dati personali contenuti nel medesimo documento. È evidente e comprensibile che la prassi che si sta andando diffondendo renderebbe più facile la vita ai gestori di palestre e centri sportivi e, forse, anche ad abbonati e associati ma, al tempo stesso, frustra gli obiettivi di bilanciamento tra privacy, tutela della salute e riapertura del Paese, interessi che si è voluto perseguire con l’introduzione del Green Pass e la disciplina relativa alle modalità di verifica.
In conclusione, la disciplina sul Green Pass prevede che lo stesso debba – nei soli luoghi nei quali è necessario ai sensi di quanto previsto dalla legge – essere semplicemente esibito all’ingresso e debba essere letto dagli incaricati esclusivamente attraverso l’apposita app “VerificaC 19” messa a punto dal Governo, app che consente al verificatore di accedere solo a un’informazione binaria: il titolare del documento ha o non ha un Green Pass valido senza alcun riferimento né alla condizione – vaccino, guarigione dal Covid19 o tampone – che ha portato al rilascio del Green Pass, né alla data di scadenza del documento medesimo.

Approfondimenti Non categorizzato

Reati tributari e responsabilita’ degli enti ex d.lgs. 231/2001: una nuova inclusione

Da dicembre 2019 gli illeciti tributari sono entrati ufficialmente a far parte dei reati presupposto della responsabilità degli enti ex D.Lgs. 231/2001.

Con il primo intervento, ad opera del D.L. 26 ottobre 2019, convertito con modifiche in L. 19 dicembre 2019, n. 157, è stato introdotto nel decreto 231 il nuovo art. 25-quinquiesdecies che estende il catalogo dei reati presupposto della responsabilità degli enti alle seguenti fattispecie:

– dichiarazione fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti (art. 2, co.1 e co. 2-bis, d.lgs. n. 74/2000);

– dichiarazione fraudolenta mediante altri artifici (art. 3, d.lgs. 74/2000);

– emissione di fatture o altri documenti per operazioni inesistenti (art. 8, commi 1 e 2-bis, d.lgs. 74/2000);

– occultamento o distruzione di documenti contabili (art. 10, d.lgs. 74/2000);

– sottrazione fraudolenta al pagamento di imposte (art. 11, d.lgs. 74/2000).

Successivamente, nel mese di luglio 2020, sono state ulteriormente ampliate le fattispecie tributarie rilevanti ai fini 231 mediante il recepimento della c.d. Direttiva PIF (Direttiva UE 2017/1371) che, da un lato, ha esteso ulteriormente il novero dei reati tributari presupposto della responsabilità degli enti – introducendo i reati di dichiarazione infedele (art. 4, d.lgs. 74/2000), omessa dichiarazione (art. 5, d.lgs. 74/2000) e indebita compensazione (art. 10-quater, d.lgs. n. 74/2000) – e, dall’altro lato, ha limitato la responsabilità dell’ente per queste tipologie di reati, prevedendo che l’ente possa rispondere  solo se le condotte criminose sono commesse nell’ambito di sistemi fraudolenti transfrontalieri, al fine di evadere l’IVA e per un importo superiore a 10 milioni di euro.

Da un punto di vista pratico, questa estensione impone una ulteriore presa di coscienza e analisi delle società che potenzialmente potrebbero incorrere nella realizzazione delle ipotesi criminose di nuova introduzione. Per fare ciò, inevitabilmente, si dovrà partire da un’analisi del rischio di verificazione delle condotte criminose e delle procedure aziendali e dei protocolli interni al fine di valutare l’adeguatezza o la necessità di revisione dei medesimi ovvero l’introduzione di nuove procedure aziendali volte a prevenire e/o mitigare il rischio di realizzazione delle fattispecie criminose in parola.

Per quanto sopra, occorrerà prestare attenzione a specifiche attività che riguardano, a titolo esemplificativo, la corretta registrazione contabile di fatture o altri documenti, la tenuta della contabilità, il complesso delle attività dichiarative volte alla determinazione dei tributi con la redazione dei bilanci. Più in generale, si dovrà avere riguardo alle procedure aziendali riguardanti i rapporti con i fornitori, compresa la selezione ed identificazione della controparte, con la corretta contabilizzazione delle operazioni di acquisto e vendita e di ogni altra spesa. Di particolare importanza sarà l’attività di controllo svolta dal Collegio Sindacale e dalla società di Revisione, ove presenti, oltre che i controlli effettuati dall’Organismo di Vigilanza.

Infine, particolare attenzione dovrà essere dedicata alla predisposizione e/o aggiornamento dei Modelli Organizzativi di Gestione (MOG) e alla formazione dei responsabili incaricati di presidiare le procedure aziendali interessate.

Più nel dettaglio, a titolo meramente esemplificativo, di seguito si elencano alcune cautele che potranno essere seguite dagli enti al fine di mitigare il rischio di commissione dei reati di questa specie:

prevedere all’interno del Codice etico e del Modello organizzativo ex d.lgs. 231/01 specifici principi, obblighi e divieti relativi alla disciplina in materia tributaria idonei a prevenire la commissione dei reati tributari rilevanti in tema 231;
garantire la più rigorosa trasparenza contabile in qualsiasi momento ed a fronte di qualsiasi circostanza;
prevedere regole interne relative all’emissione e/o al ricevimento di documentazione afferente la contabilità aziendale, alla predisposizione e/o presentazione di dichiarazioni e comunicazioni relative alla materia tributaria, oltre che al pagamento di imposte;
adottare specifiche procedure per la gestione degli acquisti di beni e servizi, anche distinguendo le diverse tipologie (beni, servizi, investimenti, piccolo acquisti ricorrenti di modesto importo, ecc.), con identificazione dei ruoli coinvolti e delle responsabilità e con segregazione delle funzioni coinvolte nel processo, in particolare tra la gestione dell’ordine, la gestione dei pagamenti e la registrazione delle spese;
vincolare contrattualmente eventuali terzi a cui siano affidate le attività di predisposizione delle dichiarazioni e comunicazioni in materia di imposte sui redditi o sul valore aggiunto, prevedendo apposite dichiarazioni del terzo consulente o della società: a) di essere a conoscenza della normativa di cui al D.lgs. 231/2001 e delle sue implicazioni per la Società; b) di impegnarsi a rispettare la normativa, garantendone il rispetto anche da parte dei propri dipendenti e collaboratori; c) di non essere mai stati condannati (o avere richiesto il patteggiamento) e di non essere al momento imputati o indagati in procedimenti penali relativi ai Reati Presupposto; nel caso di esistenza di condanna o di procedimento in corso, e sempre che l’accordo sia ritenuto indispensabile e da preferirsi a un contratto con altri soggetti, dovranno essere adottate particolari cautele; d) di impegno a rispettare il Modello Organizzativo di Gestione e il Codice Etico della Società, ovvero, nel caso di enti, di avere adottato un proprio analogo Modello e un Codice Etico che regolamentano la prevenzione dei reati contemplati nel Modello e nel Codice Etico della Società;
controllare che le fatture e i documenti contabili si riferiscano a prestazioni effettivamente svolte da parte dell’emittente delle fatture/documenti ed effettivamente ricevute dall’ente;
verificare la regolare applicazione dell’imposta sul valore aggiunto e delle altre imposte sui redditi;
effettuare una costante attività formativa, a tutti i destinatari, su quanto previsto dal Codice etico e dal Modello organizzativo 231 aziendale, assicurando diffusione/formazione sulle diverse procedure/protocolli.

Tali previsioni dovranno essere inserite all’interno dei nuovi modelli di organizzazione, gestione e controllo, unico strumento che offre all’imprenditore, ai soci e alla governance aziendale un vero e proprio sistema integrato di controlli che consente di monitorare l’attività dell’impresa e, pertanto, di gestire in modo efficiente e puntuale qualsiasi forma di rischio (compreso quello fiscale e penale). 

Approfondimenti

Il mobbing e lo stalking occupazionale: un labile confine.

Si è recentemente conclusa una vicenda giudiziaria che vedeva protagonisti un lavoratore e il suo datore di lavoro.

Più nel dettaglio, il lavoratore lamentava l’esistenza di tutta una serie di condotte mobbizzanti poste in essere dal datore di lavoro, condotte che, a parere della Procura della Repubblica che ha rinviato a giudizio l’imprenditore e dei Giudici che successivamente lo hanno condannato, sono punibili penalmente ai sensi dell’art. 612 bis c.p. come stalking.

Non è il primo caso in cui la Corte di Cassazione ha riconosciuto l’esistenza di uno stalking c.d. occupazionale, punendo penalmente il datore di lavoro.

Innanzi tutto è necessario chiarire che il reato di atti persecutori si configura quando un soggetto pone in essere condotte reiterate volte a provocare nella vittima, alternativamente, uno dei tre eventi legislativamente previsti dalla norma:

un perdurante e grave stato di ansia o di paura;
un fondato timore per l’incolumità propria o di un prossimo congiunto o di persona legata da relazione affettiva;
un cambiamento delle abitudini di vita.

A parere della Cassazione, è irrilevante il luogo ove tali eventi si verificano e, dunque, nel caso in cui il datore di lavoro realizzi più condotte finalizzate ad isolare e a vessare il lavoratore e quest’ultimo dimostri la realizzazione di uno degli eventi contemplati dall’art. 612 bis del c.p., la fattispecie assume non più e non solo rilevanza giuslavoristica, ma addirittura penalistica.

Solo a titolo esemplificativo, si potrà parlare di stalking occupazionale nel caso in cui vi sia una reiterata violenza psicologica nei confronti del lavoratore mediante un utilizzo eccessivo e pretestuoso di lettere di ammonimento, disciplinari, inviate anche nelle ore in cui il lavoratore non è in servizio attraverso posta elettronica, pec, whatsapp, di domenica o in altri giorni festivi, in orari serali o notturni, finalizzati a creare timore, ansia ed infastidire la tranquillità personale e familiare della vittima.

Ancora, le condotte potrebbero assumere una rilevanza penale nel caso in cui vi siano atteggiamenti minatori volti a paventare denunce o procedimenti disciplinari in danno del lavoratore, diffondere notizie false e denigratorie all’interno del luogo di lavoro, controllare continuamente l’operato del dipendente, rifiutare di concedere ferie o permessi e, chiaramente, demansionare gradatamente il lavoratore delle proprie mansioni fino ad arrivare, in taluni casi, a privarlo del tutto delle stesse.

Tali condotte potrebbero essere seguite dalla necessità del dipendente di allontanarsi o assentarsi dal luogo di lavoro per sfuggire proprio alla situazione fortemente ansiosa.

Sul piano del diritto civile, tali condotte reiterate vengono considerate molestie sessuali o mobbing.

A livello penalistico, la giurisprudenza e la dottrina, considerano lo stalking occupazionale diretta espressione dell’art. 2087 del c.c. che tutela l’integrità fisica e morale del prestatore d’opera, obbligo incombente sul datore di lavoro.

Da ciò consegue che il datore di lavoro che mette in pericolo tale integrità possa rispondere del reato previsto dall’art. 612 bis c.p..

Non solo.  La giurisprudenza si è spinta in alcuni casi ad affermare che se il datore di lavoro era a conoscenza delle condotte persecutorie denunciate dalla vittima e poste in essere dai superiori gerarchici e non si è attivato ed adoperato per far cessare le stesse, deve essere considerato responsabile in solido con il persecutore o stalker di tutti i danni ingiustamente cagionati alla vittima che potranno essere biologico, morale, esistenziale e patrimoniale.

 

 

Approfondimenti

La responsabilità penale del datore di lavoro in caso di contagio da covid-19 dei propri dipendenti.

Come noto, il D. Lgs. 81/2008 impone a ciascun datore di lavoro di adottare ogni misura necessaria per garantire la sicurezza dei propri dipendenti all’interno del luogo di lavoro o, in ogni caso, durante lo svolgimento delle mansioni lavorative.

All’interno del citato decreto legislativo, particolare importanza, anche ai fini che ci occupano, riveste l’art. 18 il quale obbliga il datore di lavoro, fra le altre cose, a:

garantire un’adeguata sorveglianza sanitaria dei propri dipendenti;
fornire ai lavoratori i necessari e idonei dispositivi di protezione individuale;
richiedere l’osservanza da parte dei lavoratori delle norme vigenti, nonché delle disposizioni aziendali in materia di sicurezza e di igiene nei luoghi di lavoro;
adottare misure per il controllo delle situazioni di rischio in caso di emergenza;
informare e formare i lavoratori dei rischi e delle disposizioni assunte in materia di protezione;

 

Cerchiamo quindi di capire come si concilia la responsabilità pervista dal T.U. in materia di sicurezza sul lavoro con il rischio che uno o più soggetti contraggano il virus Covid-19 all’interno del luogo di lavoro.

Ebbene, in caso di contagio da COVID-19 di un dipendente sussiste la possibilità per il datore di lavoro di essere considerato penalmente responsabile per i reati di lesioni personali gravi/gravissime (art. 590 c.p.) o di omicidio colposo (589 c.p.) – aggravati dalla violazione delle norme antinfortunistiche – nel caso in cui il lavoratore abbia contratto il COVID-19 nel luogo di lavoro ed in conseguenza della mancata adozione da parte del datore di lavoro di adeguate misure di prevenzione e protezione.

A tal proposito, si segnala che la prova che il contagio sia avvenuto all’interno del luogo di lavoro (prova che deve essere fornita dal lavoratore) sarà particolarmente complessa nel caso in cui il contagio sia unico, mentre sarà pressoché presuntiva in caso di contagio di due o più lavoratori.

Non solo. I reati appena descritti sono anche considerati dal D. Lgs. 231/2001 reati presupposto della responsabilità della società che, quindi, potrà essere colpita da sanzioni pecuniarie e interdittive nel caso in cui l’evento lesivo o la morte del lavoratore si siano verificati nell’interesse o a vantaggio dell’ente (che potrebbe aver tratto un evidente vantaggio economico dall’omettere di adottare misure di protezione dei lavoratori).

Ma cosa può fare il datore di lavoro per evitare di incorrere in responsabilità penali?

La parola d’ordine sembra essere prevenzione.

E’ dunque fondamentale che il datore di lavoro provveda a:

adottare e seguire il “Protocollo condiviso di regolamentazione delle misure
per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” sottoscritto dalle parti sociali in data 14/03/2020 integrato in data 26/04/2020. Per le aziende che prevedono flussi di lavoratori (ad es. autotrasporto) si raccomanda anche l’adozione del Protocollo del 20/03/2020, mentre per i cantieri si raccomanda l’adozione anche del Protocollo sottoscritto lo scorso 24/04/2020;
adeguare, in collaborazione con l’RSPP e il Medico Competente, ove presenti, il DVR aziendale ed il Modello di Organizzazione e Gestione ex D. Lgs. 231/2001, assumendo protocolli di sicurezza anti-contagio;
consegnare a tutti i dipendenti adeguati dispositivi di protezione individuale (mascherine, guanti);
favorire il più possibile lo smart working e, ove ciò non sia conciliabile con lo svolgimento dell’attività aziendale, garantire la distanza minima fra i lavoratori. Ove anche questa misura non sia concretamente attuabile l’azienda dovrà dotarsi di strumenti volti a limitare il più possibile il contatto tra i lavoratori (ad esempio, ricorrendo a pareti in plexiglass tra una postazione di lavoro e l’altra);
procedere ad una sanificazione periodica degli ambienti di lavoro;
mettere a disposizione dei lavoratori soluzioni disinfettanti da poter utilizzare durante l’orario lavorativo;
contingentare l’accesso a spazi comuni (spogliatoi, mense, ecc.);

Si rileva inoltre che ciascuna Regione potrà adottare specifici Protocolli di prevenzione.

Pertanto, anche in considerazione delle peculiarità di ogni specifica realtà aziendale, si raccomanda di ricorrere a professionisti in grado di consigliare e guidare il datore di lavoro in questo delicato momento.

 

 

 

 

 

 

 

Approfondimenti

La tutela dell’azienda nell’ambito delle c.d. “truffe on line”

Accade sempre più spesso che si senta parlare di “truffe on line”.

Il fenomeno è sempre più diffuso e interessa una serie di comportamenti diversificati, dal classico “phishing” dei dati alla più aggressiva “digital extortion”, ai casi in cui, convinti di acquistare un prodotto di un marchio noto, in realtà, ci si trova ad acquistare un prodotto assai diverso.

Tale ultima fattispecie è quella che verrà affrontata, seppur brevemente e senza pretesa di esaustività considerata la complessità dell’argomento, nel presente contributo.

 

Ebbene, non di rado accade, durante i nostri acquisti on line, di imbatterci in siti internet che – apparentemente – commercializzano prodotti del nostro marchio preferito a prezzi estremamente concorrenziali.

Altrettanto non di rado accade che il consumatore poco attento, attratto dal prezzo vantaggioso, acquisti uno o più prodotti, convinto di aver fatto un ottimo affare. Affare che si rivelerà assolutamente inesistente nel momento in cui l’acquirente riceverà al proprio domicilio un prodotto diverso da quello che pensava di aver acquistato o, peggio ancora, non riceverà nulla.

 

Tale comportamento truffaldino si definisce plurioffensivo in quanto, da un lato, cagiona direttamente un danno al patrimonio del consumatore privato e, dall’altro, lede la regolare circolazione di beni e servizi e la fiducia che i soggetti privati pongono in un marchio e, dunque, nell’azienda che lo detiene, oltre che l’interesse patrimoniale dei titolari dei diritti di sfruttamento dei marchi e segni distintivi.

 

Da ciò consegue che, a livello penale, si possa parlare di una doppia tutela: da un lato, infatti, il consumatore sarà vittima del reato di truffa aggravata, dall’altro, la società che legittimamente detiene il marchio potrà essere vittima di uno dei reati di cui agli artt. 473 – 474 – 517 ter c.p..

 

Vediamo più da vicino di che cosa si tratta.

 

L’art. 473 c.p. punisce chiunque, potendo conoscere dell’esistenza del titolo di proprietà industriale, contraffà o altera marchi, segni distintivi, brevetti, disegni o modelli industriali o chiunque, senza essere concorso nella contraffazione o alterazione, fa uso di tali marchi, segni distintivi, brevetti, disegno o modelli industriali.

 

In altri termini, la norma in commento sanziona la riproduzione abusiva di un marchio e degli altri oggetti materiali sopra individuati, idonea a confondere i consumatori circa la provenienza del prodotto.

 

L’art. 474 c.p., dal canto suo, punisce chiunque introduce nel territorio dello Stato, detiene per la vendita, pone in vendita o mette altrimenti in circolazione, al fine di trarne profitto, prodotti industriali con marchi o altri segni distintivi contraffatti o alterati.

 

Infine, l’art. 517 ter c.p. prevede un’ipotesi residuale che sanziona chiunque, al di fuori delle ipotesi delittuose di cui agli articoli precedenti, potendo conoscere dell’esistenza del titolo di proprietà industriale, fabbrica, adopera industrialmente, introduce nel territorio dello Stato, detiene per la vendita o pone in vendita oggetti o altri beni realizzati usurpando un titolo di proprietà industriale o in violazione dello stesso.

 

A ben vedere, dunque, le fattispecie, seppur apparentemente molto simili, sanzionano comportamenti diversificati che si pongono in contrasto con il legittimo diritto della società a non veder usurpato e/o contraffatto il proprio marchio o i segni distintivi che la contraddistinguono.

Peraltro, in questi casi, la società il cui interesse è stato leso dalle citate condotte delittuose potrà costituirsi parte civile nel processo penale e veder ristorato il danno patrimoniale e non patrimoniale subito.

 

In tali casi l’azienda può attivarsi con un’azione di monitoraggio costante sul web per rilevare eventuali irregolarità sugli annunci presenti su siti web e su social network che generalmente presentano documentazione fotografica e contenuti descrittivi estratti illegittimamente dal sito ufficiale del brand.

 

Una volta che la truffa viene individuata è opportuno accertare i profili del relativo dominio e procedere tempestivamente con una segnalazione on line alla polizia postale e con il deposito di una denuncia querela presso la competente Procura della Repubblica contenente il dettaglio dei siti web illegittimi e un’accurata descrizione della violazione.

 

Si consiglia infine di inviare una comunicazione ai social network per informare dell’avvenuto deposito della denuncia querela e chiedere il blocco e la rimozione degli annunci in questione.