Type a keyword and hit enter to start searching. Press Esc to cancel.

Hai mai sentito parlare di whistleblowing? Sapevi che riguarda un tema importante all’interno dell’organizzazione aziendale e si rischia di incorrere in sanzioni amministrative se non si è in regola?

Whistleblowing è un termine di origine anglosassone che evoca il fischiare, un atto che figurativamente significa “attirare l’attenzione”, quindi “segnalare”. Infatti, con il termine whistleblowing oggi si fa riferimento a quella disciplina che tutela chi segnala violazioni del diritto dell’Unione europea e delle disposizioni normative nazionali, oltre a prevedere che talune imprese mettano in atto una procedura che permetta di poter effettuare tali segnalazioni in sicurezza. Questa definizione è però estremamente riduttiva: vediamo assieme cos’è effettivamente previsto dalla normativa di riferimento.

Novità normative: chi riguardano?

La disciplina è oggi regolamentata dal D.Lgs. 24/2023, che ha recepito la direttiva europea 2019/1937 e ha superato la vecchia Legge 179/2017, che aveva introdotto la disciplina del whistleblowing in Italia.

La prima cosa che ti chiederai sarà: ma io devo fare qualcosa o sono esentato?

Per rispondere a questa domanda dobbiamo prendere in considerazione l’art. 3 del D.Lgs. 24/2023, che disciplina l’ambito applicativo soggettivo: il Decreto Legislativo si applica sia a soggetti del settore pubblico sia a soggetti del settore privato, a fronte di determinati presupposti.

Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l’anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR).

La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.

Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all’indirizzo https://www.datatilsynet.dk/english/google-analytics.

Quali dati tratta e trasferisce Google?

Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell’indirizzo IP dell’utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l’utente non sarebbe più identificabile.

Le pronunce dei Garanti europei su GA3 avevano evidenziato come il troncamento dell’ultimo ottetto dell’indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l’utente. Questo è ancora più vero nel caso in cui l’utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l’identità del profilo dell’utente che sta navigando nel sito (o app) sottoposto ad analisi.

La soluzione prevista da GA4 di non procedere alla registrazione dell’indirizzo IP potrebbe sembrare efficace. L’indirizzo IP viene infatti elaborato solamente per poter localizzare l’utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato.

Tuttavia, tale soluzione non risulta sufficiente e adeguata.

Avv. Manuela Soccol e Dott. Davide Beatrice

Abstract

Alla luce della recente approvazione del testo del Data Governance Act, avvenuta il 6 aprile 2022, se ne tracciano dapprima brevemente i punti nodali, per poi soffermarsi sul tema dell’Altruismo dei dati. Questo concetto e le sue estrinsecazioni rappresentano uno snodo fondamentale di questo regolamento. La domanda principale che bisogna porsi però è: le sue previsioni sul tema impatteranno davvero la realtà o resteranno lettera morta?

Il Data Governance Act

Il Data Governance Act[1] è un regolamento che va ad innestarsi in un ambizioso progetto europeo di armonizzazione e regolamentazione dei dati personali e del loro utilizzo. La società odierna poggia ormai le sue basi sul concetto di dati che, come definiti dall’art. 2 del DGA, includono “ogni rappresentazione digitale di atti, fatti o informazioni e ogni raccolta di tali atti, fatti o informazioni, incluse le registrazioni sonore, visive o audiovisive”[2]. Risulta consequenzialmente opportuno procedere ad una pianificazione quanto più condivisa ed organica sul tema, seguendo l’approccio che l’Unione ha sempre avuto riguardo tale materia: regolamentare non per inibire, ma bensì per incentivare un uso consapevole dei dati.

Dopo un discreto periodo di gestazione, il suo testo è stato approvato dal Parlamento Europeo il 6 aprile 2022[3] e si fonda su tre pilastri fondamentali. Il primo di essi è il riutilizzo dei dati nel settore pubblico, strumento chiave al fine di consentire una digitalizzazione efficiente e proficua degli apparati statali che, sempre di più, si affidano a sistemi basati su algoritmi e intelligenze artificiali, i quali richiedono, ai fini del loro fisiologico processo di learning, una grande mole di dati da processare.

Il secondo pilastro si basa, invece, sulla diffusione dei dati attraverso intermediari. La scelta di questo tipo di sistema di condivisione poggia il suo sostrato sulla possibilità di poter garantire maggiori standard sia qualitativi, in riferimento alla bontà dei database stessi, sia di sicurezza ed accountability nel processo di raccolta, gestione e concessione di questi ultimi, nonché di trasparenza per quanto concerne il diritto di accesso e i costi ad esso connessi.

L’ultimo pilastro, fulcro di questo articolo, si pone un obiettivo di grande levatura sociale e morale ed è menzionato sotto il concetto di “Altruismo dei dati”. Esso viene definito dall’art. 2 co. 16 del DGA come “la volontaria diffusione di dati, sulla base del consenso dell’interessato nel trattare i dati personali che lo riguardano o l’autorizzazione del Titolare all’utilizzo dei suoi dati non personali senza ricercare o ricevere un compenso che vada oltre alla compensazione dei costi in cui incorre al fine di rendere tali dati disponibili per obiettivi di interesse generale come previsto dal diritto nazionale, ove applicabile, come ad esempio: sanità, contrasto al cambiamento climatico, miglioramento della mobilità, facilitazione dello sviluppo, produzione e diffusione di statistiche ufficiali, miglioramento della fornitura di servizi pubblici, dell’elaborazione di politiche pubbliche o della ricerca scientifica nell’interesse generale[4].

Numerosi sono gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”. Tra questi, rileva il fatto che il soggetto che intende vendere i propri beni e servizi on-line ha un dovere di informazione, che si concretizza nella necessità di fornire all’utente determinate informazioni, sia a carattere generale sia a carattere specifico a seconda del bene o servizio offerto.

Nel presente articolo vorremmo provare a definire l’esatto contenuto di alcuni degli obblighi informativi presenti, seguendo le indicazioni fornite dai giudici nazionali ed europei.

Contratti a distanza e pratiche commerciali scorrette

A tale riguardo, la disciplina del Codice del consumo (d. lgs. 6 settembre 2005, n. 206) e in particolare l’art. 49 integrano quanto previsto dal d.lgs. 70/2003 relativo al commercio elettronico. Il Codice del consumo prevede altresì che, nel caso di contratti conclusi attraverso un mezzo di comunicazione a distanza che consente uno spazio o un tempo limitato per visualizzare le informazioni, il professionista è tenuto a dare solo parte delle “informazioni obbligatorie”, ai sensi dell’art. 51, co. 4 Cod. cons.

Si rileva altresì che, nelle ipotesi di mancato corretto adempimento agli obblighi informativi posti a tutela dei consumatori, si possono talvolta configurare anche pratiche commerciali “scorrette” oppure configuranti atti di pubblicità ingannevole (ai sensi del d. lgs. 145/2007). Le pratiche commerciali scorrette, in particolare, sono disciplinate dagli artt. 18-27 quater Cod. cons. Tale disciplina amplia la tutela del consumatore perché egli risulta protetto da qualsiasi pratica commerciale che possa recargli danno, indipendentemente dal momento in cui questa è posta in essere. Le pratiche commerciali scorrette si distinguono in aggressive ed ingannevoli. Si ha una pratica ingannevole quando vengono riportate informazioni non rispondenti al vero o che, seppure di fatto corrette, per la loro presentazione complessiva, siano tali da indurre in errore il consumatore medio riguardo ad uno o più elementi e, in ogni caso, da indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso (art. 21, co. 1 Cod. cons.).

Indicazione del costo complessivo del prodotto o servizio

In primo luogo, con riferimento all’obbligo di indicare il costo del prodotto o del servizio comprensivo di tutte le voci (imposte, costi di spedizione, costi per la restituzione per recesso) (art. 49, co. 1, lett. e) Cod. cons.) nonché le modalità di calcolo del prezzo definitivo, si segnala che la giurisprudenza amministrativa (Consiglio di Stato, sez. VI, 2 settembre 2019, n. 6033) ha condannato la società titolare di un sito di vendita online per il settore turistico in cui era emersa una notevole divergenza tra l’offerta pubblicizzata sulla homepage ed il prezzo finale.

Il diritto di recesso, anche detto diritto al “ripensamento”, consiste nel diritto del consumatore di poter sciogliere, unilateralmente, il contratto stipulato con il professionista e di avere diritto alla restituzione del prezzo già corrisposto.

Tale diritto, il quale va esercitato entro un termine previsto per legge, nasce dall’esigenza di tutelare il consumatore, quale soggetto debole e vulnerabile rispetto al professionista venditore, durante gli acquisti di beni e servizi effettuati a distanza o fuori dai locali commerciali.

Il diritto di recesso ha acquisito una centralità nella società dell’informazione a seguito della trasformazione dell’utente in consumatore digitale.

Il “consumatore digitale”

Il legislatore europeo ha mostrato da sempre una spiccata sensibilità al tema della tutela del consumatore non soltanto quale parte “debole” del rapporto contrattuale, ma anche quale protagonista di un mercato in continua evoluzione e sempre più complesso.

Trasparenza e informazione (inclusa quella al diritto al recesso) hanno costituito, sin dalle prime delibere comunitarie, gli strumenti con cui è stata attuata a livello comunitario la tutela del consumatore, e oggi lo sono sempre di più dal momento che quest’ultimo si è trasformato in consumatore digitale.

Con l’intento di rafforzare la tutela del consumatore, agevolandone la consapevolezza dei propri diritti in fase di acquisto “on-line”, e con l’intento di armonizzazione dei sistemi nazionali il legislatore europeo, è intervenuto sulla normativa consumeristica con la direttiva 83/2011 EU.

macchine interconnesse

Il termine Industria 4.0 è entrato nel linguaggio comune, complici gli ingenti fondi stanziati dal Piano Nazionale Industria 4.0 e dal PNRR in ottica di Transizione 4.0. Ma cosa si intende per Industria 4.0? E soprattutto, a fronte dei gradi benefici in termini di produttività e competitività, quali sono le principali criticità legali da affrontare prima di innovare il proprio modello produttivo?

Il concetto di Industria 4.0

Per Industria 4.0 si è soliti fare riferimento ad un nuovo paradigma nella produzione e gestione aziendale che si caratterizza per la trasformazione digitale del processo produttivo in tutte le sue fasi. L’automazione dei processi e l’utilizzo di macchinari connessi ad Internet consentono di monitorare in tempo reale la produzione, di efficientarne la gestione e, in ultima istanza, di incidere sulla produttività e sulla competitività. La digitalizzazione in azienda si basa sull’introduzione di tecnologie innovative, come il ricorso a nuovi materiali, alla robotica, alla meccatronica, a tecnologie ICT, ai Big Data e alla Data Analytics, a dispositivi interconnessi (IoT) e sensori intelligenti.

Le risorse stanziate per la Transizione 4.0

Si assiste in questi anni ad una vera e propria corsa agli investimenti in tale settore, tanto in Italia, quanto nel contesto internazionale, con importanti ripercussioni sul piano della competitività delle imprese su scala globale. In questa logica si comprende la mole degli incentivi con i quali si intende garantire innovazione e competitività alle imprese italiane, specie nel settore manifatturiero. Basti ricordare come il PNRR, in linea con la politica intrapresa dal MISE con l’adozione del Piano Nazionale Industria 4.0, ha previsto lo stanziamento di ben 13 miliardi di euro con l’obbiettivo di promuovere la trasformazione digitale nei processi produttivi delle imprese italiane.

La pandemia e la globalizzazione tecnologica hanno contribuito ad una vera e propria esplosione del commercio elettronico. Si calcola che soltanto nei primi mesi del 2021 le vendite on line in Italia siano aumentate di oltre il 50%, con una previsione di crescita per l’intero anno di oltre il 70%.

Non c’è alcun dubbio che i vantaggi del commercio elettronico siano innumerevoli e che lo stesso, soprattutto negli ultimi due anni, ha rappresentato per molti, sia imprese offerenti sia consumatori, l’unico modo per vendere e acquistare beni e servizi.

I vantaggi dell’e-commerce

Per il venditore, i vantaggi dell’e-commerce si traducono in: i) riduzione dei costi della rete distributiva, ii) riduzione dei tempi di vendita, iii) bacino di clienti potenzialmente illimitato.

Per il destinatario del servizio invece, l’e-commerce si traduce in: i) possibilità di acquistare in qualsiasi momento e in qualsiasi luogo prodotti e servizi offerti da aziende di qualsiasi parte del mondo, ii) possibilità di risparmiare sui costi e tempi di acquisto, iii) acquisire facilmente informazioni su prodotti e fornitori, iv) comparare in maniera veloce le condizioni di vendita applicate dai diversi venditori.

Numerosi sono però gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”.

In particolare, il soggetto che intende vendere i propri beni e servizi on-line ha un vero e proprio dovere di informazione, dovendo fornire all’utente una serie di informazioni sia a carattere generale sia a carattere specifico per la tutela dell’utente stesso.

Obblighi informativi generali

Il dovere di informazione del venditore si esplicita nella previsione di diversi obblighi informativi, che derivano da diverse norme, ognuna mirante a tutelare determinati interessi e/o categorie di “acquirenti”.

Un primo gruppo di obblighi riguarda quelli a carattere generale.

Infatti, ai sensi dell’art. 7 del D. Lgs. 70/2003, deve essere possibile per l’utente e per le autorità competenti conoscere in maniera semplice alcuni dati che permettono di identificare l’attività svolta e il soggetto che la offre. Si tratta quindi di indicare nome, denominazione o ragione sociale della società venditrice, numero di iscrizione al REA e partita Iva, i contatti di cui l’utente può servirsi in caso di necessità, prezzi e tariffe dei prodotti o dei servizi resi, e simili.

Nel caso di svolgimento di particolari attività, inoltre il D. Lgs. 70/2003 impone al prestatore ulteriori obblighi informativi. Ad esempio, nel caso dell’esercizio di professioni regolamentate, dovrà essere indicato l’ordine professionale di appartenenza, il titolo professionale e lo Stato membro in cui è stato rilasciato, oltre ad un riferimento alle norme professionali applicabili e agli eventuali codici di condotta vigenti; nel caso di attività soggette a concessione, licenza o autorizzazione, invece, sarà necessario indicarne gli estremi e la competente autorità di vigilanza.

Obblighi informativi specifici

Per quanto riguarda gli obblighi informativi specifici, invece, lo stesso decreto richiede che all’utente vengano fornite informazioni, ad esempio, in ordine al modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso, ai mezzi e alle modalità di correzione di eventuali errori di inserimento dei dati prima di inoltrare l’ordine, alle lingue a disposizione per concludere il contratto, alla risoluzione delle controversie che possono scaturire dall’acquisto on-line, ai metodi di pagamento di cui può servirsi l’utente in fase di acquisto.

Tutte le informazioni sopra elencate devono essere costantemente aggiornate dal gestore del sito e-commerce e devono essere di facile accesso per l’utente.

analisi valutazione rischio crisi impresa

L’analisi e valutazione del rischio è un tema che riguarda l’imprenditore in qualsiasi area della propria attività e non soltanto in relazione ai rischi per la salute e la sicurezza dei lavoratori, che devono essere parametrati sulla base del settore di appartenenza dell’impresa e della tipologia di mansioni svolte.

Infatti, il legislatore ha reso l’analisi e valutazione del rischio uno strumento essenziale per guidare l’imprenditore nella scelta di molti tipi di strategie idonee a minimizzare il rischio previsto in un determinato settore, da ultimo anche con la normativa sulla crisi di impresa.

Dal settore assicurativo al Codice della Crisi d’Impresa

L’analisi e valutazione del rischio è un modus operandi tipico del settore assicurativo, dove prima di decidere se assumersi un rischio di un terzo, vengono valutati in modo puntuale l’attività e il settore da assicurare.

In ambito legale, sono molti i settori che hanno fatto propria la metodologia dell’analisi e valutazione del rischio. Si pensi al d.lgs. 231/2001 in materia di responsabilità amministrativa degli enti, al Reg. UE 2016/679 (GDPR) in tema di trattamento dei dati personali, al Codice della Crisi d’Impresa (d.lgs. 14/2019) di cui si continua a rimandare la complessiva entrata in vigore.

Il rischio da mitigare per il d.lgs. 231/2001 è quello relativo alla possibile commissione dei reati presupposto, il quale viene minimizzato mediante la predisposizione e adozione di protocolli organizzativi aziendali (raccolti nel “Modello 231”, di cui vi abbiamo parlato in un precedente articolo), ove sono indicate le modalità operative da porre in essere per evitare la commissione del reato.

Per quanto riguarda il trattamento dei dati personali, il rischio da gestire è quello relativo ai parametri della c.d. CIA, ovvero alla perdita di Confidentiality (da intendersi come perdita di riservatezza del dato), Integrity (da intendersi come perdita di integrità del dato ovvero come perdita di completezza) e Availability (da intendersi come perdita di disponibilità del dato). Al fine di limitare tali rischi, si procede alla definizione di modalità operative aziendali spesso trascritte in policy sul trattamento dei dati personali, in procedure interne o in regolamenti.

analisi valutazione rischio crisi impresa

Per quanto concerne il rischio di crisi d’impresa, l’art. 2086 c.c. prevede l’obbligo per l’imprenditore di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, che deve essere anche idoneo alla rilevazione tempestiva della crisi ed alla sua gestione, nell’ottica di assicurare la continuità aziendale. Tale assetto organizzativo si sostanzia in modalità operative interne, spesso codificate, volte ad una corretta amministrazione aziendale.

L’incremento dell’utilizzo degli strumenti tecnologici per lo svolgimento delle prestazioni lavorative già da tempo ha dato luogo ad un acceso dibattito tra le parti in gioco nella ricerca del punto di equilibrio tra i diversi interessi coinvolti.

Da un lato, infatti, troviamo l’esigenza del datore di lavoro di controllare l’attività lavorativa prestata dal proprio dipendente, a cui si aggiunge la necessità di tutelare i dati e le informazioni aziendali; dall’altro, bisogna tenere in considerazione il diritto del lavoratore di difendere la propria privacy e garantire la libertà e dignità dello stesso in conformità con quanto previsto dallo Statuto dei Lavoratori (Legge 20.05.1970, n. 300).

 La ricerca di tale punto di equilibrio si è fatta ancora più spasmodica nell’emergenza sanitaria avuta inizio poco più di un anno fa.

Il controllo del lavoro “a distanza”

Come fare dunque a controllare la prestazione lavorativa del lavoratore a distanza e a tutelare, sempre a distanza, i dati aziendali e preservarne la sicurezza? È possibile utilizzare dispositivi idonei a controllare a distanza la prestazione del lavoratore?

Ci si riferisce in particolare a quei software in grado di verificare la presenza o meno del lavoratore al pc attraverso un “semaforo” verde, giallo o rosso. Oppure a quei software in grado di trasmettere al datore di lavoro un report periodico su ciò che fa il dipendente, attraverso la registrazione, ad esempio, degli accessi alle pagine web, del tempo trascorso sui social network, dei movimenti del mouse e della digitazione sulla tastiera. Esistono poi dispostivi indossabili o installabili su smartphone attraverso anche delle app di geolocalizzazione del dipendente. Ed infine, programmi capaci di verificare attraverso addirittura la webcam la presenza o meno del lavoratore al pc.

Va detto subito che tali software, per citare i più famosi Time Doctor, Teramind, Productivity Score, dilagano oltreoceano, nella maggior parte dei casi, in spregio a qualsiasi forma di tutela della privacy del lavoratore.  E in Italia?

Il Consiglio di Stato ha affermato molto chiaramente che per le piattaforme on line e, in generale, per i fornitori di servizi digitali non è sufficiente conformarsi alle norme sulla privacy, ma devono essere altresì garantiti tutta una serie di diritti previsti a tutela dei consumatori.

Le norme sulla tutela dei consumatori non riguardano infatti solo le forniture di beni “fisici” o i servizi dati a pagamento, bensì anche i servizi digitali offerti a titolo gratuito, qualora “in cambio” vengano richiesti dati personali degli utenti.

È stato inoltre chiarito che, in caso di violazioni, le sanzioni pecuniarie previste dalle norme sulla protezione dei dati e da quelle per la tutela dei consumatori sono cumulabili, non alternative.

A cosa devono stare quindi attenti gli imprenditori che offrono servizi digitali, per evitare di essere sanzionati, come è successo a Facebook?

Il caso Facebook

Il Consiglio di Stato ha confermato la sanzione che ha colpito Facebook per la pratica commerciale ingannevole consistente nell’omessa informazione al consumatore sulla raccolta e l’utilizzo dei dati per scopi commerciali (sentt. nn. 2630 e 2631 del 29 marzo 2021).

Questa sanzione non veniva dal Garante privacy, come ci si potrebbe aspettare, bensì dall’Autorità Garante della Concorrenza e del Mercato (AGCM), che è competente a decidere sulle pratiche commerciali scorrette delle imprese nei confronti dei consumatori. La stessa sanzione era stata confermata dal TAR del Lazio, insieme a quella relativa alla pratica aggressiva consistente nel trasferimento di dati a soggetti terzi, senza un effettivo e libero consenso dell’utente. Su questo punto il Consiglio di Stato ha sostenuto che la pratica commerciale non fosse scorretta, perché in realtà all’utente era consentita la scelta se trasferire o meno i propri dati ad altre piattaforme e service provider.

Invece, il punto fondamentale che è stato riaffermato dal Consiglio di Stato, confermando la sanzione per la pratica ingannevole, è che tutti gli utenti dei social network devono essere tutelati, oltre che ai sensi del GDPR e del Codice Privacy, anche in base alla normativa sui diritti dei consumatori.

Il rispetto delle norme sul trattamento dei dati personali non basta!

Facebook ha provato a sostenere che, siccome i dati personali sono beni extra commercium, è possibile affermare che il servizio digitale in questione è offerto gratuitamente, senza corrispettivo, e che per questo non si dovrebbe applicare la disciplina consumeristica. Facebook ha sostenuto altresì che le norme a tutela dei consumatori sarebbero comunque “assorbite” da quelle relative alla privacy.

La prima questione è una di quelle che ha riempito negli ultimi anni i discorsi di centinaia di studiosi e politici: esiste la proprietà sui dati personali? L’interessato può farne “uso e abuso”, fino al punto di venderli dietro compenso o di utilizzarli come merce di scambio?

A prescindere dalla qualificazione da dare ai dati personali, tuttavia, è evidente che ormai, di fatto, spopolano modelli di business che si basano proprio sull’utilizzo e lo sfruttamento economico dei dati, inclusi quelli personali.

Ecco che allora si arriva alla seconda questione, alla quale il Consiglio di Stato ha risposto confermando che la tutela che deriva dal GDPR per i dati personali non esclude quella prevista dalle norme sui diritti dei consumatori.

In un recente articolo vi abbiamo parlato di un caso in cui è stata riconosciuta la contraffazione degli scarponi Moon Boot, che sono tutelati come opera del disegno industriale.

Moon Boot - Wikipedia

Nell’ambito della moda rilevano tuttavia anche altri diritti di proprietà intellettuale, come i marchi ed i disegni e modelli registrati.

I marchi nel fashion

I marchi sono di frequente rappresentati dal nome o dal logo del produttore o del rivenditore. I marchi ricevono una qualche tutela anche se usati solo “di fatto”, tuttavia è evidente che tutti i marchi più prestigiosi risultano registrati in uno o più registri, a livello nazionale, europeo o internazionale. La registrazione legittima di per sé il titolare di un marchio ad agire contro eventuali contraffattori, senza dover ulteriormente provare la validità del titolo. In fase di giudizio, tuttavia, colui che venga accusato di contraffazione potrà pur sempre cercare di difendersi contestando la validità della registrazione del marchio altrui (come è successo per alcuni marchi di Hermés su cui torneremo in seguito).

Nel settore della moda però è fondamentale anzitutto riuscire a riconoscere i segni che sono marchi tutelati. Infatti, oltre ai “classici” marchi rappresentati dal nome o logo del produttore, sono molto diffusi anche i cosiddetti marchi “di colore”.

Ad esempio, è un marchio di colore registrato, e di cui di recente ne è stata riaffermata la validità (Commissione di Ricorso dell’EUIPO, decisione del 16 giugno 2011, R 2272/2010-2), la precisa tonalità di rosso che si trova sulla suola delle scarpe create dal noto stilista francese Christian Louboutin.

Di recente, anche Chiara Ferragni, o meglio, alcune società che producono per il suo brand, sono incorsi in un errore di valutazione per quanto riguarda la produzione di una linea di calzature e sono stati condannati ad interrompere la produzione e a risarcire i danni per la violazione del diritto d’autore di Tecnica Group sui celebri doposcì Moon Boot (sentenza del Tribunale di Milano, n. 493 del 25 gennaio 2021).

Moon Boot Kids : Clothes & Accessories | Melijoe

Gli imprenditori nell’ambito della moda sono spesso guidati e trascinati dal proprio pensiero creativo, che può essere più o meno libero o influenzato dall’ambiente esterno. Ma dopo lo spunto creativo, a cosa bisogna stare attenti nella realizzazione di un nuovo capo, calzatura o collezione? L’ “ispirazione” da idee altrui non può infatti trasformarsi in una “copia”, che sarà dichiarata illecita, sussistendo determinate condizioni, a prescindere dal fatto che fosse, o meno, consapevole.

Può ad esempio accadere che taluni prodotti del settore moda, come è stato riconosciuto dal Tribunale di Milano nel caso dei Moon Boot e come avvenuto in precedenza anche per altri capi di abbigliamento o calzature, siano tutelati dal diritto d’autore, se ritenuti qualificabili come “opere del disegno (o “design”) industriale” con carattere creativo e valore artistico. Di conseguenza, eventuali capi simili dovrebbero presentare un’“autonomia creativa” per essere a propria volta tutelati e non considerati in contraffazione con la creazione precedente.

Qual è il rischio effettivo in cui incorre un imprenditore che non consideri questi aspetti?

Innanzitutto, occorre considerare che una violazione del diritto d’autore danneggia sia il “creatore morale” dell’opera, sia colui che è titolare dei relativi diritti di sfruttamento economico. L’idea innovativa può venire a chiunque, ma quando entrano in gioco forti interessi economici, è evidente come ci si esponga ad un elevato rischio sia di contestazioni “stragiudiziali” sia di eventuali procedimenti giudiziali.

Di solito la società titolare dei diritti (che nel “caso Ferragni” era Tecnica Group) invia inizialmente una diffida al presunto contraffattore. Con la diffida si viene intimati di cessare la produzione e la commercializzazione dei prodotti in questione ed è possibile che venga anche chiesto un risarcimento per i danni fino a quel momento subiti. In questi casi, la cifra richiesta potrebbe essere rilevante, ma talvolta viene comunque accettata e pagata per evitare il rischio di un procedimento giudiziale dall’esito e dalla durata incerti. In tema di riconoscimento del diritto d’autore, infatti, le valutazioni dei giudici risultano spesso oscillanti e non prevedibili.

Se si accetta di cessare la produzione e la vendita dei prodotti, ed eventualmente di pagare il risarcimento richiesto, i soggetti coinvolti stipulano quindi una transazione, che tra l’altro potrebbe prevedere anche clausole penali per eventuali futuri inadempimenti, esponendo l’attività dell’imprenditore contestato ad ancora maggiori rischi.

Bentrovati. Come promesso, torniamo a parlare della possibilità per il datore di lavoro di imporre la vaccinazione ai propri dipendenti, e dell’eventuale legittimità del licenziamento in caso di rifiuto.

Come ricorderete, la questione è molto dibattuta e sul punto si registrano due tesi:

  • la prima, secondo cui il datore di lavoro può imporre il vaccino ai propri lavoratori e in caso di rifiuto licenziarli per giusta causa. Di questa vi abbiamo parlato qui;
  • la seconda, per cui il datore di lavoro non può imporre il vaccino ai propri dipendenti e conseguentemente il licenziamento è illegittimo.

Ed è proprio di questa seconda tesi che vi vogliamo parlare oggi.

Quadro normativo di riferimento.

Image result for quadro normativo

Prima di addentrarci nella questione, rivediamo assieme il quadro normativo di riferimento.

Art. 32 Costituzione, comma 2: nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge. La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana”;

– Art. 2087 c.c.:L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”;

Art. 279 Testo Unico in materia di sicurezza (D.Lgs. 81/08), comma 2:il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari per quei lavoratori per i quali, anche per motivi sanitari individuali, si richiedono misure speciali di protezione, fra le quali: a) la messa a disposizione di vaccini efficaci per quei lavoratori che non sono già immuni all’agente biologico presente nella lavorazione, da somministrare a cura del medico competente”.

La seconda tesi: no imposizione del vaccino, no licenziamento

Image result for vaccino e licenziamento

Questa tesi presenta diversi argomenti a favore. In particolare:

L’articolo 2087 c.c.

Tale norma non può essere considerata la disposizione di legge di cui all’art. 32 Cost. che obbliga un soggetto a sottoporsi alla vaccinazione, dovendo tale norma consistere in una normazione ad hoc, specificamente diretta ad imporre la vaccinazione anti Covid-19.

L’art. 2087 c.c. impone al datore di conformarsi al criterio della “massima sicurezza possibile”, ma il rispetto di tale criterio è pur sempre ancorato a dati scientifici dedotti dall’”esperienza e la tecnica”. Al momento si conosce poco sul vaccino ed i suoi effetti e gli scienziati si dividono anche sui mezzi di propagazione del virus. Dunque, mancherebbero quei dati di acquisita “esperienza e tecnica”, che potrebbero imporre al datore l’adozione di tale misura. Così come il lavoratore potrebbe addurre, se non il rispetto della riservatezza, particolari condizioni personali che possono sconsigliare di sottoporsi alla vaccinazione.

L’art. 279 TU

L’art. 279 TU impone la vaccinazione a protezione dello stesso lavoratore esposto ad un rischio che comunque promana dall’ambiente lavorativo. Tale norma costituisce la migliore conferma del fatto che solo con una esplicita previsione legislativa si può superare il divieto previsto dall’art. 32 Cost. con il corollario che, trattandosi di norma di stretta interpretazione, non se ne possono allargare le maglie estendendola a situazioni diverse e non previste.

Conclusioni della seconda tesi.

La questione, oltre ad essere più attuale che mai, risulta anche molto dibattuta. Per tali ragioni, vogliamo con questo nostro contributo non solo analizzare tutte le tesi avanzate sul tema, ma anche fornirvi il nostro parere, indicandovi alcune indicazioni pratiche.

Sul punto, infatti, vi segnaliamo la presenza di due diverse tesi:

  • la prima, secondo cui il datore di lavoro può imporre il vaccino ai propri lavoratori e in caso di rifiuto licenziarli per giusta causa;
  • la seconda, per cui il datore di lavoro non può imporre il vaccino ai propri dipendenti e conseguentemente il licenziamento è illegittimo.

Posto che la tematica è tutt’altro che semplice, vi proponiamo di seguirci in un percorso di tre appuntamenti così strutturato:

1. oggi parleremo della prima tesi, ossia quella favorevole all’imposizione del vaccino e della conseguente legittimità del licenziamento;

2. giovedì tratteremo invece la seconda tesi, ossia quella contraria all’imposizione del vaccino e al licenziamento da parte del datore di lavoro;

3. Infine, vi forniremo le nostre considerazioni pratiche, mediate un video, pubblicato nei nostri canali social (Facebook, Linkedin, Youtube).

Pronti? Partiamo!

Quadro normativo di riferimento

Image result for quadro normativo

Prima di addentrarci su quali sono gli elementi a favore dell’una o dell’altra tesi, è necessario individuare il quadro normativo di riferimento. Nello specifico, le norme che vengono in rilevo sono:

Art. 32 Costituzione, comma 2: “nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge. La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana”;

Art. 2087 c.c.: “L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”;

Art. 279 Testo Unico in materia di sicurezza (D.Lgs. 81/08), comma 2: “il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari per quei lavoratori per i quali, anche per motivi sanitari individuali, si richiedono misure speciali di protezione, fra le quali: a) la messa a disposizione di vaccini efficaci per quei lavoratori che non sono già immuni all’agente biologico presente nella lavorazione, da somministrare a cura del medico competente”.

Analizziamo, quindi, il primo filone di pensiero.

La prima tesi: sì al vaccino e sì al licenziamento

Image result for vaccino e licenziamento

Nello specifico, coloro che ritengono che il datore di lavoro possa imporre la vaccinazione e conseguentemente licenziare il lavoratore in caso di rifiuto, fondano la propria tesi sui seguenti argomenti:

  1. Il contratto di lavoro. Pur in assenza di una legge che rende obbligatoria la vaccinazione anti Covid-19, il datore di lavoro potrebbe comunque imporlo per effetto del contratto di lavoro. Infatti, sebbene l’art. 32 Cost. preveda una riserva di legge, secondo il Prof. Ichino Pietro[1], l’autonomia negoziale privata può comunque disporre dei diritti assoluti della persona. In tal senso il contratto di lavoro costituirebbe un esempio evidente della disponibilità di diritti personalissimi: con esso, infatti, il lavoratore accetta la limitazione alla propria libertà di movimento, la possibilità di indagini dell’imprenditore sulle proprie attitudini e i propri precedenti professionali, la possibilità di essere sottoposto a visita medica domiciliare dal servizio ispettivo competente, e così via. Pertanto, allo stesso modo, il lavoratore dovrebbe accettare la possibilità che, pur in assenza di una norma legislativa da cui derivi l’obbligo di una determinata vaccinazione, gli si chieda di vaccinarsi. Sotto tale aspetto ciò che accadrebbe in relazione al contratto di lavoro non sarebbe molto diverso da ciò che potrebbe accadere per esempio nel contratto di trasporto, nel quale il vettore – obbligato a garantire la massima sicurezza di tutti i viaggiatori – condizioni l’accesso all’aereo o alla carrozza ferroviaria all’esibizione di un certificato di vaccinazione.
  • L’art. 2087. Le indicazioni della scienza medica ritengono che in un luogo in cui tutti sono vaccinati si realizzano condizioni di sicurezza apprezzabilmente maggiori rispetto alla fabbrica o ufficio nel quale una parte dei dipendenti non è vaccinata. Pertanto, l’imprenditore ben potrebbe, in ottemperanza all’articolo 2087 c.c., a seguito di attenta valutazione del rischio specifico nella propria azienda, richiedere a tutti i propri dipendenti la vaccinazione, dove questa sia per essi concretamente possibile. La richiesta di effettuare la vaccinazione potrebbe essere esclusa soltanto laddove si ponesse in contrasto con norme di ordine pubblico, o fosse comunque funzionale a interessi non meritevoli di tutela nell’ordinamento. Secondo i sostenitori di tali tesi l’art. 2087 c.c. costituirebbe una “norma aperta”, dunque, l’obbligo di sicurezza si arricchirebbe di contenuti concreti, via via che la scienza e la tecnica mettono a disposizione nuove misure efficaci.
Image result for azienda tessile
  • L’art. 279 TU. Possibile opposizione di impedimenti di natura medico-sanitaria. Viene, inoltre, sottolineato dal Prof. Ichino Pietro, che l’ammissibilità della richiesta da parte del datore di lavoro della vaccinazione non comporta che la persona interessata non possa ragionevolmente opporre un impedimento di natura medico-sanitaria. Potrebbe essere addotta, per esempio, una condizione personale di immunodeficienza (per i tipi di vaccino tradizionali), o altra patologia che sconsigli la vaccinazione, oppure lo stato di gravidanza (in relazione al quale permane una controindicazione prudenziale da parte delle autorità competenti). In questo caso il datore di lavoro dovrebbe adottare, in accordo con il medico competente e con gli altri organi preposti alla sicurezza sul lavoro, misure appropriate per consentire comunque lo svolgimento della prestazione nella condizione della massima possibile sicurezza: per esempio collocando la persona interessata in una postazione isolata e non a contatto con utenti o fornitori, e ciò anche eventualmente riducendo il contenuto professionale delle mansioni. Oppure, dove la natura della prestazione lo consenta, autorizzando la persona interessata a svolgerla dal luogo di abitazione fino alla fine della pandemia. Dove nessuna di queste soluzioni sia ragionevolmente praticabile, può rendersi necessaria la sospensione della prestazione a norma dell’art. 2110 c.c., oppure se possibile, con attivazione dell’integrazione salariale, fino alla fine della pandemia.
  • Sebbene l’art. 279 TU sia riferito al rischio di infezione derivante da un “agente biologicpresente nella lavorazione”, è ragionevole ritenere che lo stesso obbligo gravi sull’imprenditore per la prevenzione di un rischio di infezione derivante da un virus altamente contagioso, del quale può essere portatrice una qualsiasi delle diverse persone contemporaneamente presenti nello spazio aziendale chiuso nel quale l’attività lavorativa è destinata a svolgersi. A questa applicazione estensiva dell’art. 279 del Testo Unico si obietta che le norme protettive in materia di sicurezza e igiene del lavoro “sono pensate per prevenire i rischi derivanti dal luogo di lavoro” e non i rischi provenienti dall’esterno. Ma, secondo la tesi qui analizzata, per superare questa obiezione è sufficiente considerare che l’imprenditore, nell’esercizio del suo potere organizzativo, è tenuto a valutare e prevenire anche rischi provenienti da agenti esterni all’azienda, come per esempio gli agenti atmosferici cui i dipendenti possono essere esposti nello svolgimento della prestazione. Inoltre, il rischio dell’infezione da Covid-19, a differenza degli altri rischi di contrarre malattie infettive, è stato qualificato dalla legge come rischio di infortunio sul lavoro, proprio in considerazione dell’elevatissima contagiosità e diffusione del virus. Dunque, la vaccinazione dovrebbe essere imposta.

Conclusioni della prima tesi: retinenza = licenziamento nei casi più gravi

Mano, Uomo, Figura, Flick, Flick Fuori

Alla luce di tutte le argomentazioni sopra esposte, chi ritiene che il datore di lavoro possa imporre la vaccinazione sostiene che la renitenza ingiustificata del dipendente è in astratto suscettibile di essere trattata allo stesso modo del rifiuto di una qualsiasi altra misura di sicurezza, che nei casi più gravi può portare al licenziamento disciplinare.

Tuttavia, lo stesso Prof. Ichino Pietro, principale sostenitore della tesi qui analizzata, ritiene che sia sconsigliabile applicare la sanzione del licenziamento disciplinare, in quanto potrebbe essere contestata la sussistenza dell’elemento psicologico, così come sconsiglia l’applicazione del licenziamento per giustificato motivo oggettivo, poiché ad oggi la questione, anche a livello politico, è molto dibattuta e, in ogni caso, sino a fine marzo 2021 non è possibile il licenziamento. 

Egli, in un’ottica moderata, suggerisce che se la natura della prestazione non consente lo svolgimento da remoto, e non è disponibile una posizione di lavoro – anche di contenuto professionale inferiore – che consenta l’isolamento rispetto agli altri dipendenti, fornitori e utenti, al lavoratore potrà prospettarsi la sospensione dal lavoro fino a che la pandemia non sia cessata: sospensione che in questo caso, a differenza del caso di rifiuto giustificato da impedimento di natura medica, non comporta il diritto al trattamento economico.

Qual è il vostro pensiero in proposito? Scrivetelo nei commenti qui sotto o nei nostri social.

In attesa di leggere la vostra opinione, vi invitiamo all’appuntamento di Giovedì prossimo, con la presentazione della tesi contraria all’imposizione della vaccinazione da parte del datore di lavoro.


[1] Professore di Diritto del Lavoro presso l’Università Statale di Milano, giurista e sindacalista dedica da decenni il suo impegno di studioso e di uomo politico alle problematiche legate al mondo del lavoro e ai diritti dei lavoratori.

Whatsapp nelle ultime settimane è finita al centro di un’incredibile bagarre mediatica, a causa dell’aggiornamento delle proprie condizioni di utilizzo e della propria privacy policy.

WhatsApp

Della questione si è interessato anche il Garante Privacy Italiano, che il 14 gennaio scorso ha informato ufficialmente l’EDPB, ossia il Comitato Europeo per la Protezione dei Dati Personali, della vicenda, e si è riservato di intervenire per la tutela dei dati personali degli utenti italiani.

What’s up?

Se ne è parlato e scritto molto, ma essenzialmente il problema denunciato dal Garante è la scarsa chiarezza della nuova privacy policy di Whatsapp.

Come denunciato dall’Avv. Andrea Lisi, presidente di ANORC, per l’utente è già particolarmente laborioso rinvenire, nel sito dell’applicazione, quali sono i termini di utilizzo e la privacy policy che si applicano nel suo caso, posto che ve ne sono diversi a seconda della regione del mondo in cui si risiede.

Il Garante ha infatti ritenuto che dalla lettura dei termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere con precisione e completezza quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica.

E d’altronde se la privacy policy e le condizioni di utilizzo fossero state chiare, probabilmente non avremmo assistito alle diatribe di questi giorni.

Ad ogni modo, come ormai saprai, Whatsapp, a fronte delle critiche di associazioni, governi ed esperti, pare essere giunto a miti consigli, prendendo tempo per vagliare l’opportunità di redigere in modo più chiaro la propria informativa. Infatti, il termine per l’accettazione delle nuove condizioni d’uso e dell’informativa è stato postergato dall’8 febbraio al 15 maggio.

Ma quindi è sicuro per la mia privacy utilizzare Whatsapp o meglio cambiare applicazione?

WhatsApp growth slumps as rivals Signal, Telegram rise

Ad essere sinceri, ci sono sicuramente app di messaggistica maggiormente privacy-friendly, quali Signal, Element, e la più conosciuta Telegram.

Ad ogni buon conto, Whatsapp è tenuta a rispettare, almeno per gli utenti europei, il GDPR, che fa da scudo contro eventuali abusi da parte del colosso internazionale.

In ogni caso, Whatsapp ha recentemente puntualizzato tramite il proprio profilo Twitter ed un comunicato ufficiale che:

  • i messaggi scambiati tramite l’app continueranno ad essere protetti dalla crittografia end-to-end;
  • l’app non tiene traccia delle persone chiamate o con cui ci si è scambiati messaggi;
  • l’app non ha accesso alle posizioni che condividi;
  • i gruppi sono assolutamente privati;
  • è garantito la possibilità per l’utente di scaricare tutti i dati personali trattati dall’applicazione.

Whatsapp ha, altresì sottolineato, come l’aggiornamento dell’informativa non riguardi in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma includa unicamente modifiche inerenti al servizio Whatsapp Business.

Cos’è Whatsapp Business?

La funzione Catalogo su WhatsApp Business nel chatvertising

In pratica, si tratta un’applicazione gratuita per Android e iPhone, pensata per semplificare l’interazione tra società e clienti.

Le società hanno, infatti, la possibilità di creare un profilo aziendale che aiuta i clienti ad ottenere informazioni aggiuntive, come l’indirizzo e-mail, il sito web, l’indirizzo dell’attività, etc. Inoltre, la versione business mette a disposizione una sezione dedicata alle statistiche sulla messaggistica e una funzione che fornisce delle metriche sul numero dei messaggi inviati, consegnati e letti. Questi dati possono essere utilizzati dalle società per comprendere se una determinata strategia di marketing sta funzionando oppure no.

Inoltre, le aziende possono decidere di collegare il profilo Whastapp a quelli di Facebook ed Instagram, e così implementare campagne apposite per raccogliere nuovi contatti da utilizzare per attività di remarketing.

E cosa cambia nelle condizioni di utilizzo e nella privacy policy per Whatsapp Business?

I principali aggiornamenti delle condizioni di utilizzo chiariscono le modalità con cui le società che utilizzano Whatsapp Business possono utilizzare i servizi disponibili su Facebook per gestire le chat. Nulla di nuovo, insomma.

Ma Whatsapp condivide o no i miei dati personali con Facebook?

In che modo WhatsApp ha venduto la nostra privacy a Facebook - Data Manager  Online

Forse non lo sapevi, ma da quando Facebook, nel lontano 2014, ha acquistato Whatsapp, può avere accesso al numero di telefono con cui gli utenti si registrano all’app di messaggistica e alle informazioni sul dispositivo da cui viene utilizzata l’applicazione.

Tuttavia, come chiarito nell’ultimo comunicato emanato da Whastapp, Facebook, nonostante i rumors, continuerà a non poter utilizzare queste informazioni per l’invio di pubblicità o contenuti targhetizzati. Almeno in Europa, grazie al GDPR.

Nel resto del mondo e negli Stati Uniti, diventa invece obbligatorio per tutti gli utenti accettare che dati come il numero di cellulare o la rubrica di Whatsapp possano essere usati da Facebook per mostrare pubblicità personalizzate. In Europa, invece, Facebook potrà unicamente costruire profili statistici anonimi degli utenti di Whatsapp, usando i dati che ad oggi ha a disposizione.

Ad ogni buon conto Whatsapp, ha precisato che:

  1. Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
  2. Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
  3. WhatsApp non condivide i tuoi contatti con Facebook.

Conclusioni

Al di là di tutte le dichiarazioni e i comunicati del colosso della messaggistica, qualsivoglia valutazione sulla sicurezza e la regolarità dei servizi offerti da Whatsapp, almeno per quanto concerne gli utenti dell’Unione Europea, è rimandata, in attesa della pronuncia dell’EDPB e delle eventuali modifiche alle policy dell’applicazione, promesse dalla Società per garantire una maggiore chiarezza in ordine ai trattamenti implicati.

Stay tuned per tutti gli aggiornamenti.

L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.

I consigli dell’EDPB

Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.

1^ Step: mappare i flussi di dati.

Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.

2^ Step: individuare lo strumento normativo su cui si basa il trasferimento

Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.

3^ Step: assessment sulla normativa del paese importatore

Questo step risulta necessario unicamente in assenza di decisioni di adeguatezza della Commissione Europea. In altri termini, il Titolare del Trattamento dovrà verificare la presenza dei presupposti di cui all’art. 46 del GDPR, ossia delle “garanzie adeguate” e, per gli interessati, di“diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali circostanze, l’EDPB consiglia di far riferimento alle raccomandazioni dallo stesso fornite nelle “European Essential Guarantees recommendations. Si badi che l’intero processo di valutazione deve essere documentato e condotto sulla base del principio di accountability.

4^ Step: eventuale applicazione di misure ulteriori

Si tratta del passo sicuramente più importante. Posto che sentenza Schrems II ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, qualora il trasferimento di dati si basasse su tali clausole è essenziale verificare la sussistenza di misure tecniche aggiuntive… ma, quali? Ce lo dice l’EDPB, mediante l’elencazione di diversi accorgimenti, all’interno dell’Annex 2 delle Raccomandazioni.

In tal senso, a titolo esemplificativo, relativamente ai data storage e ai backup, il documento afferma che il trasferimento può ritenersi sicuro, se per esempio:

1.         i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;

2.         l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario;

3.         le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);

4.         le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito, che risiedono nel SEE o in un paese terzo con normativa adeguata.

Consigli dello Studio

I nostri consigli si possono riassumere in poche parole: accountabilty, DPIA e bilanciamento degli interessi. Al di là di quanto espresso dalle citate raccomandazioni, che peraltro non vanno esenti da critiche di vario genere, è essenziale che il Titolare del Trattamento analizzi l’opportunità di trasferire i dati personali all’estero effettuando una preventiva valutazione di impatto e bilanciando gli interessi in gioco, tra sicuramente anche le misure eventualmente adottate dal fornitore estero in ordine all’annoso problema dei cybercrime. Tale genere di valutazione è tutt’altro che agevole. Pertanto, è senza dubbio essenziale che il Titolare del Trattamento si rivolga ad un legale esperto nel settore, che possa condurlo alla decisione più sicura ed adatta al suo business.

Con la Circolare 4 settembre 2020 n. 13, i Ministeri del Lavoro e della Salute hanno fornito una serie d’indicazioni e di chiarimenti sulla sorveglianza sanitaria dei lavoratori fragili e sulle visite mediche obbligatorie.

Nello specifico, la circolare ha cercato di chiarire il concetto di fragilità evidenziando che la “fragilità” va individuata nelle condizioni di salute del lavoratore rispetto alle patologie preesistenti che potrebbero determinare, in caso di infezione, un esito più grave o infausto. Pertanto, il solo parametro dell’età non è elemento sufficiente per definire uno stato di fragilità.

La circolare in oggetto, inoltre, fornisce alcune indicazioni operative, prevedendo che ai lavoratori debba essere assicurata la possibilità di richiedere al proprio datore di lavoro l’attivazione di adeguate misure di sorveglianza, in ragione dell’esposizione al rischio Covid-19, in presenza di patologie con scarso compenso clinico (a titolo esemplificativo si citano malattie cardiovascolari, respiratorie, metaboliche). In particolare, le richieste di visita dovranno essere corredate da documentazione medica relativa alla patologia diagnosticata, con modalità che garantiscano la riservatezza, a supporto della valutazione del medico competente.

Inoltre, la sorveglianza sanitaria dovrà essere garantita anche laddove il datore di lavoro non è tenuto alla nomina del medico competente. In tale ipotesi, ferma la possibilità di nomina del medico competente, ai fini della massima tutela dei lavoratori fragili, su richiesta dei lavoratori o delle lavoratrici, il datore di lavoro può inviare gli stessi ad effettuare la visita all’INAIL, alle ASL o ai dipartimenti di medicina legale e di medicina del lavoro delle Università. Ai fini della valutazione della condizione di fragilità, il datore di lavoro dovrà fornire al medico incaricato di emettere il giudizio una dettagliata descrizione della mansione svolta dal lavoratore o dalla lavoratrice e della postazione/ambiente di lavoro dove presta l’attività, nonché le informazioni relative all’integrazione del documento di valutazione del rischio, in particolare con riferimento alle misure di prevenzione e protezione adottate per mitigare il rischio da Covid-19, in attuazione del Protocollo condiviso del 24 aprile 2020.

Sulla base di tali elementi il lavoratore sarà giudicato, quindi, come idoneo o meno. In modo poco chiaro e del tutto generico viene ulteriormente affermato che «resta ferma la necessità di ripetere periodicamente la visita anche alla luce dell’andamento epidemiologico e dell’evoluzione delle conoscenze scientifiche in termini di prevenzione, diagnosi e cura».  Pertanto, si consiglia al medico competente di scadenzare, in base al quadro clinico del lavoratore o della lavoratrice, la periodicità con cui la visita dovrà essere ripetuta.

Altresì la circolare precisa che la sorveglianza sanitaria eccezionale introdotta dall’art. 83 del D.L. n. 34/2020, riguardante la sorveglianza sanitaria eccezionale dei lavoratori fragili, per effetto dell’art. 1, co. 4 del D.L. n. 83/2020 è da ritenersi come non più in vigore dal 1° agosto 2020. Tuttavia, in termini operativi, il quadro muta di poco in quanto nella stessa circolare viene precisato che allo stato, in ragione dei mutamenti del quadro normativo, le visite mediche richieste dai lavoratori e dalle lavoratrici entro il 31 luglio 2020, ai sensi del menzionato articolo 83 saranno regolarmente svolte sulla base delle indicazioni operative illustrate nella presente circolare e secondo la disciplina speciale di cui al citato disposto normativo.

Infine, con riferimento alle visite obbligatorie, nella circolare viene precisato che «nell’attuale fase, si ritiene opportuno tendere al completo – seppur graduale – ripristino delle visite mediche previste dal decreto legislativo n. 81 del 2008, sempre a condizione che sia consentito operare nel rispetto delle misure igieniche raccomandate dal Ministero della salute e secondo quanto previsto dall’organizzazione Mondiale della Sanità, nonché tenendo conto dell’andamento epidemiologico nel territorio di riferimento».

Secondo i Ministeri, in linea generale, possono essere ancora differibili, previa valutazione del medico competente, anche in relazione all’andamento epidemiologico territoriale:

  • la visita medica periodica (art. 41, co. 2, lett. b) del D. Lgs. n. 81/2008);
  • la visita medica alla cessazione del rapporto di lavoro, nei casi previsti dalla normativa vigente (art. 41, co. 1, lett. e) del D. Lgs. n. 81/2008).

Tuttavia, si ritiene opportuno non prorogarle salvo gravi motivi legati all’andamento dell’epidemia che non rendano possibile l’effettuazione di tali attività.

In caso di dubbi o per necessità di consigli per la tua attività, non esitare a contattare lo Studio legale Soccol .

Sei un imprenditore o un aspirante tale? Stai progettando ed implementando qualcosa di estremamente innovativo e sei parecchio preoccupato che qualcuno rubi, copi, riproduca la tua idea? Più che comprensibile.

Sappi che, fortunatamente, hai a disposizione diversi strumenti per tutelare te e il tuo know-how.

NDA

Se a preoccuparti è la condivisione della tua idea con possibili futuri collaboratori, puoi sottoporre alle persone interessate un NDA (letteralmente Non-Disclosure Agreement), ovverosia un accordo di riservatezza. Si tratta di un atto con cui una parte garantisce all’altra di non diffondere, rivelare o riprodurre in qualsivoglia modo determinate informazioni confidenziali, di cui sia venuta a conoscenza sulla base della predetta collaborazione. Tale accordo risulta particolarmente utile qualora nel medesimo sia prevista anche una clausola penale per il caso di inadempimento. Tale clausola, infatti, obbliga il soggetto “rivelante” a corrispondere all’altra parte una somma di denaro qualora violi gli obblighi di riservatezza dell’NDA.

Marchi e brevetti

La proprietà industriale può essere protetta, inter alia, anche attraverso appositi diritti o titoli, definiti tecnicamente “diritti di proprietà industriale”. Si tratta, in altri termini, di privative a vantaggio del loro titolare e a scapito di terzi concorrenti. Per esempio, le medesime possono conferire al titolare dei diritti negativi, come ad esempio il diritto di privare altri dell’uso e della commercializzazione di un’invenzione o di un disegno.

Tali diritti si possono acquistare mediante:

  1. brevettazione
  2. registrazione

Sono oggetto di brevettazione: le invenzioni, i modelli di utilità e le nuove varietà vegetali; mentre sono oggetto di registrazione: i marchi, i disegni, i modelli e le tipografie dei prodotti a semiconduttori.

Posto che abbiamo già trattato questo tema qui e qui, se sei curioso di capire come funzionano le descritte privative, ti invitiamo a leggere gli articoli linkati.

Ma se io volessi tutelare le fasi del processo creativo … come posso fare? WIPO-Proof è la soluzione

Ti stai chiedendo quale strumento utilizzare per tutelare le varie fasi del processo creativo che ti sta conducendo all’implementazione della tua idea? In tuo soccorso c’è WIPO-Proof. Si tratta di un nuovo servizio online, messo a disposizione dalla World Intellectual Property Organization, che ha lo scopo di costituire una prova non falsificabile dell’esistenza di un file digitale in un determinato momento, tutelandolo indipendentemente dal fatto che il risultato divenga poi oggetto di un diritto di proprietà industriale.

Interessante, ma per cosa lo posso utilizzare?

WIPO PROOF è pensato per quelle opere che non possono godere della tutela accordata ai titoli di proprietà industriale sopra descritti, ma che sono protetti dalla legge sul diritto d’autore.

Tale sistema è particolarmente utile ogni qualvolta si voglia dare una data certa e riconoscere la paternità ad un’opera o ad un lavoro. Sono infatti caricabili sul sistema:

•           segreti commerciali

•           lavori creativi (audio, video, lavori letterari)

•           lavori artistici (pattern, lavori di architettura)

•           schemi tecnici, piani, progetti

•           Codice di programma

•           Ricerche (rapporti, note di laboratorio)

•           Algoritmi, sequenze genetiche

•           Documenti firmati digitalmente (contratti, lettere, certificati)

Ma quanto costa?

Non ti preoccupare del costo. Con poco meno di venti euro, poi tutelare in modo adeguato il tuo progetto. Tuttavia, WIPO offre anche altri servizi, per i cui costi ti invitiamo a visitare la seguente pagina.

Il consiglio dell’esperto

Come puoi vedere, hai a disposizione un ampio range di possibilità per proteggere la tua idea, il tuo progetto o la tua invenzione. Scegliere quella più adatta alle tue esigenze non è però facile. Per questo, ti consigliamo di rivolgerti sempre ad un esperto legale che saprà come indirizzarti al meglio.

Lo Studio Legale Soccol è sempre a disposizione per risolvere eventuali tuoi dubbi e per aiutarti a tutelare il tuo progetto.

Hai mai sentito parlare di dropshipping? Si tratta di un particolare modello di business che ti consente, con alcuni piccoli accorgimenti, di fare buoni profitti, con pochissime spese.

Come funziona?

Il dropshipping è un metodo di vendita applicabile all’e-commerce, grazie al quale è possibile vendere un prodotto online senza averlo materialmente in magazzino. Anzi, senza avere il magazzino!

Nessun magazzino… com’è possibile?

Ebbene sì, il venditore non acquista la merce dal fornitore, ma si limita a proporla al pubblico per il tramite del proprio e-commerce. Non appena il venditore riceve l’ordine del cliente, lo trasmette al fornitore, il quale si occupa dell’imballaggio e della spedizione del prodotto direttamente all’acquirente. Semplice, no? Naturalmente, tutto questo è reso possibile da apposito accordo commerciale, regolante i rapporti tra venditore e fornire in un’ottica di mutuo vantaggio.

Caratteristiche dell’accordo commerciale

Se prima di questo articolo non avevi mai sentito nominare il dropshipping, è perché si tratta di un modello di vendita di recente invenzione. Per tale ragione, il contratto di dropshipping non presenta alcuna normativa codicistica di riferimento, salvo le regole generali sui contratti, di cui al nostro codice civile. Va però messo in luce come si tratti pur sempre di una modalità di commercio elettronico, la quale non può che essere regolamentata dal D.Lgs. 70/2003, rubricato “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico“. Tale normativa impone al venditore una serie composita di obblighi, già descritti in questo nostro precedente articolo. Ad ogni buon conto, come in tutti i rapporti commerciali, è essenziale definire precipuamente quali sono i diritti e i doveri delle parti del contratto, ossia, nel caso di specie, del merchant e del fornitore.

Obblighi del fornitore

L’accordo commerciale deve necessariamente prevedere che il fornitore si impegni a:

  1. Garantire la disponibilità in magazzino dei beni pubblicizzati nell’e-commerce dal merchant, avvisandolo prontamente qualora un prodotto risulti esaurito;
  2. Curare la logistica del magazzino, ovverosia il flusso delle merci in entrata e in uscita;
  3. Curare l’imballaggio dei beni ordinati ed acquistati dal cliente finale, tramite il sito del merchant. Le caratteristiche del packaging devono essere descritte nel contratto o in un suo allegato tecnico;
  4. Garantire che la merce in magazzino soddisfi pienamente i requisiti di sicurezza previsti dalle normative vigenti e siano conformi alle stesse;
  5. Spedire la merce ordinata, nei termini e con le modalità indicate nel contratto, direttamente all’acquirente finale.

Obblighi del venditore

Parimenti, l’accordo commerciale deve stabilire che il merchant si impegni a:

  1. Promuovere nel proprio e-commerce i prodotti del fornitore;
  2. Curare la gestione degli ordini. Si specifica, tuttavia, che dovrebbe essere il fornitore ad inviare ai clienti una notifica via e-mail non appena l’ordine va in consegna;
  3. Curare il flusso dei pagamenti, ed in particolare, corrispondere al fornitore le somme pattuite nel contratto.

Quindi, chi paga chi?

All’interno dell’accordo commerciale è necessario che sia descritto il flusso dei pagamenti, con chiara indicazione delle modalità con cui il merchant corrisponde al fornitore le somme stabilite. Si specifica infatti che il cliente paga il prezzo del prodotto acquistato direttamente al venditore, tramite l’e-commerce. Quest’ultimo trattiene sulla somma incassata una percentuale per i servizi dal medesimo svolti, e trasmette l’importo rimanente al fornitore, a titolo di corrispettivo per le attività effettuate.

È opportuno che nel contratto sia previsto che il merchant corrisponda mensilmente le somme dovute al fornitore. In questo modo, qualora il cliente finale eserciti il diritto di recesso e sia necessario restituire le somme dallo stesso versate, il venditore, non avendo ancora pagato il fornitore, non si troverà a dover sborsare di tasca propria le somme in questione.

Chi è responsabile nei confronti del cliente finale?

La responsabilità per eventuali vizi, non conformità, o danni causati dai prodotti acquistati dal cliente è una tematica davvero spinosa. È essenziale che nel contratto sia inserita apposita clausola di manleva, con cui il fornitore si impegna a tenere indenne il venditore da qualsivoglia danno cagionato a persone e/o cose derivante dai prodotti dallo stesso forniti.

Consigli pratici

Se sei arrivato fino a qui, dovrebbe esserti chiaro che il dropshipping è davvero un business innovativo e ricco di potenzialità economicamente allettanti. Tuttavia, avrai anche capito che, per tutelare la tua posizione, è essenziale che i rapporti con il fornitore da te scelto siano disciplinati da apposito contratto scritto. Per la redazione dello stesso, ti consigliamo di rivolgerti sempre ad un esperto del settore: saprà come proteggere al meglio i tuoi interessi, scongiurando il rischio di fraintendimenti con il fornitore, che nel peggiore dei casi si traducono in annose controversie giudiziali.

In caso di dubbi o perplessità, non avere remore a contattare lo Studio Legale Soccol.

A distanza di poco più di un mese dalla sentenza della Corte di Giustizia Europa sul c.d. caso Schrems II, la quale ha abolito il Privacy Shield, nonostante molto sia stato dagli “addetti ai lavori” detto e scritto, poche paiono ancora le certezze.

Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, questo ente ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.

Le premesse delle Linee Guida

In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.

I suggerimenti delle Linee Guida

L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:

  1. Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
  2. Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
  3. Presenza delle eccezioni di cui all’articolo 49 del GDPR, a cui si rimanda.

Check-list consigliata dal Garante

Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:

  1. Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
  2. Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
  3. Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
  4. Analizzare l’ordinamento giuridico del succitato paese terzo;
  5. Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
  6. Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.

Modifiche alle SCC

L’Autorità, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:

  1. l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
  2. l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
  3. l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
  4. una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.

Consigli finali

Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.

Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.

Per sciogliere eventuali dubbi e/o perplessità, non esitate a contattare lo Studio Legale Soccol.

In questi giorni si è sentito molto parlare della sentenza della Corte di giustizia dell’Unione Europea (CGUE) nella causa C-311/18 (c.d. caso Schrems II), la quale ha sollevato alcune criticità sia per chi, come noi, si occupa di privacy, sia per tutte le aziende che si avvalgono di fornitori di software o di altri servizi che sono localizzati negli Stati Uniti.

Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.

Il caso

Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.

La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.

I motivi della sentenza.

Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.

Le Clausola Contrattuali Standard

Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.

Impatto sulle attività imprenditoriali

Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarà necessario trovare altre basi giuridiche che legittimino il trasferimento.

A tale proposito, il GDPR ne indica diverse:

• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;

• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);

le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;

• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;

• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.

In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:

basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure

motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure

un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).

Le soluzioni

Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.

In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.

Adempimenti necessari

Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.

Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.

Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.

Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.

Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.

Il family tracking

Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.

Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.

Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.

Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?

Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.

Localizzazione dei server e trasferimento dei dati

Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.

Diritti degli utenti interessati

Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.

App per minori

Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).

È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.

Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.

Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli.  O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.

I dati raccolti tramite queste app possono essere venduti a soggetti terzi?

Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.

Profilazione e marketing

Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.

Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.

La pandemia ci ha sicuramente ricordato l’importanza del ruolo ricoperto dalla tecnologia in vari ambiti della nostra quotidianità. Non da ultimo: il business. Invero, sono sempre di più gli imprenditori che si stanno rendendo conto che per sopravvivere in questa nuova era, la tecnologia non è una risorsa, ma la risorsa. Il fine? Vendere. Come? Aprendo un e-commerce.

Aprire un e-commerce, tuttavia, non è un gioco da ragazzi. È essenziale valutare attentamente alcuni aspetti.

Aspetti organizzativi.

Il primo passo per aprire un e-commerce è: fare delle scelte. Scegli il tuo target, cosa vendergli, e come farlo. Per esempio, puoi decidere di dotarti di un magazzino (acquistandone la proprietà o prendendolo in affitto), oppure puoi basare il tuo business sul c.d. dropshipping: niente magazzino, giri gli ordini del tuo utente al grossista, che spedisce la merce ordinata al secondo.

Aspetti tecnologici.

La tecnologia è il tuo mezzo, ma attenzione: non fa tutto da sola . Lo sai che è possibile aprire un e-commerce gratuitamente, attraverso servizi online quasi del tutto preconfigurati? Un esempio è Shopify, che può essere utilizzato gratuitamente per un periodo di prova limitato, (senza inserire dati di pagamento e senza obbligo di rinnovo). Se invece preferisci qualcosa di più professionale puoi acquistare un hosting, un dominio e installare un CMS, ovverosia un software che ti permette di configurare l’e-commerce in ogni suo aspetto, come WordPress, Magento o Prestashop. In alternativa, puoi realizzare il tuo e-commerce da zero, attraverso il linguaggio di programmazione. Ma in questo caso, ti consigliamo di affidarti ad un professionista del settore.

Aspetti fiscali e doganali.

Starai pensando: perché limitarsi all’Italia quando si può conquistare il mondo? Qualora questo fosse il tuo proposito, bada bene di considerare eventuali dazi per la circolazione delle merci, nonché le diverse normative fiscali e legali degli stati che vuoi “conquistare”.

Non dimenticare il marketing!

Ricorda che per avere successo, non basta vendere un prodotto di qualità, serve anche il marketing. A tal proposito, è particolarmente indicato che il nome a dominio e i testi presenti nel sito siano improntanti al rispetto delle regole SEO.

Ovviamente, non possono mancare le immagini. Attenzione però alla legge sul diritto d’autore. Qualora tu decida di affidare ad un fotografo la realizzazione delle immagini per il tuo sito, ti consigliamo di disciplinare contrattualmente gli aspetti inerenti al diritto di riproduzione, utilizzo e diffusione delle fotografie.

Aspetti giuridici.

Salvo che tu non voglia fornire servizi sottoforma di prestazioni occasionali, dovrai aprire la partita IVA, che rappresenta però uno degli obblighi che dovrai sostenere se vuoi davvero aprire il tuo e-commerce. Occorre infatti anche:

  1. inviare una comunicazione all’Agenzia delle Entrate e all’INPS;
  2. l’iscrizione alla Camera di Commercio e allo Sportello Unico Attività Produttive (SUAP) del comune;
  3. eventualmente l’iscrizione al VIES (Vat Information Exchange System), se intendi vendere all’estero nella Comunità Europea.

Non è però finita qui. Invero, il commercio elettronico, ovverosia lo svolgimento di attività commerciali e di transazioni per via elettronica soggiace alla disciplina del D.lgs. 70/2003, attuativo della direttiva n. 2000/31/CE. È pertanto chiaro che il tuo il tuo e-commerce deve necessariamente essere costruito nel rispetto di quanto stabilito dalla succitata normativa.

Obblighi informativi

Lo sai per esempio che il tuo sito e-commerce deve obbligatoriamente contenere alcune specifiche informazioni? Invero, gli artt. 7 e ss. del D.lgs. 70/2003 impongono l’indicazione di:

  1. Identità del titolare della ditta, dei soci della società o del professionista;
  2. Dati fiscali (codice fiscale o partita iva);
  3. Indirizzo geografico e contatti dell’impresa (numero di telefono, indirizzo mail, posta elettronica certificata);
  4. Caratteristiche essenziali dei beni e/o dei servizi offerti;
  5. Prezzo totale dei beni e/o servizi offerti con indicazione dell’imposta sul valore aggiunto;
  6. Modalità di pagamento (contrassegno, carta di credito, ecc.);
  7. Modalità di consegna del bene o esecuzione del servizio;
  8. Modalità di presentazione dei reclami;
  9. Esplicazione delle modalità di esercizio del diritto di recesso;
  10. Eventuali altre informazioni sui costi da sostenere in caso di esercizio del diritto di recesso;
  11. Esistenza di garanzie legali di conformità dei beni o di adeguatezza dei servizi offerti;
  12. Durata del contratto.

Puoi inserire le informazioni di cui a punti 1, 2 e 3 nel footer del tuo sito, in modo che siano sempre a disposizione dell’utente; mentre per le altre, dovrai armati di condizioni generali di contratto.

Condizioni generali di contratto

Sei già allarmato, vero? In realtà, le condizioni generali di contratto oltre a fornire le informazioni di cui sopra, possono tutelarti in più di un’occasione. Nelle medesime, per esempio, vengono disciplinate le limitazioni alla tua responsabilità, le procedure da seguire in caso di merce viziata, quelle per gli avvenimenti di forza maggiore, come la pandemia che ben conosciamo, ed infine possono essere inserite apposite regole per la tutela della tua proprietà intellettuale e/o industriale.

Consumatore o professionista?

Ora che ti sei convinto dell’utilità – oltre che della necessarietà – delle condizioni generali di contratto, fermati! Vuoi vendere a consumatori o a imprenditori come te? Invero, qualora tu decidessi di rivolgerti alla prima categoria, le regole da tenere in considerazione per la redazione delle condizioni generali si arricchiscono di un ulteriore tassello: la normativa del Codice del Consumo (D.lgs. 206/2005). A titolo d’esempio, tale normativa assicura a tutti i consumatori la facoltà di recedere dal contratto entro 14 giorni dalla sua conclusione. Fra l’altro, nelle condizioni generali, è essenziale che tale indicazione sia messa nero su bianco, giacché, in assenza, il termine per l’esercizio del succitato diritto diventa di dodici mesi.

E la privacy?

Avrai di certo sentito molto parlare di privacy e trattamento dei dati personali. Invero, per la costruzione del tuo e-commerce, devi tenere in considerazione anche quanto stabilito a tal proposito dal Regolamento Europeo n. 679/2016, meglio conosciuto con il nome di GDPR. Bada bene, non è sufficiente che tu provveda a caricare all’interno del tuo sito e-commerce l’informativa sul trattamento dei dati personali, con tutte le informazioni di cui all’art. 13 del GDPR e la relativa cookie policy.

Infatti, l’art. 25 del GDPR ti impone, in quanto Titolare del trattamento, di mettere in atto, già nella fase di ideazione e creazione del tuo e-commerce, misure tecniche e organizzative adeguate, quali la pseudonimizzazione e la minimizzazione, per proteggere i dati e i diritti degli utenti (c.d. principio della privacy by default e by design).

Le nostre istruzioni per l’uso

Se sei arrivato in fondo a questo articolo, ti sarai certamente reso conto che la rete normativa sottesa al commercio elettrico è parecchio intricata.

Ecco perché è sempre preferibile rivolgersi ad un consulente specializzato in materia, fin dall’inizio dell’implementazione dell’e-commerce. Lo stesso, infatti, può guidare te e gli sviluppatori nella creazione di un portale a norma di legge, facendoti risparmiare non solo il denaro che saresti costretto ad investire in eventuali, alquanto probabili modifiche e/o correzioni, ma anche quello che potresti essere costretto a sborsare in sanzioni, qualora prediligessi il famoso “fai da te”.

Non esitare a contattarci, se vuoi approfondire la questione ovvero se hai bisogno di supporto per la creazione del tuo e-commerce.

L’emergenza epidemiologica da Covid-19 ha coinvolto le imprese anche dal punto di vista del loro assetto organizzativo. In particolare, le imprese che hanno deciso di dotarsi di Modelli Organizzativi, ai sensi del d.lgs. 231/2001, hanno dovuto valutare la tenuta dei loro Modelli e il ruolo dell’Organismo di Vigilanza.

Sul tema, Confindustria ha emanato, nel presente mese, delle linee operative che aiutano le imprese dotate di un Modello 231, ad affrontare l’emergenza.

Il profilo di rischio indiretto

La situazione che le imprese hanno vissuto e stanno vivendo può comportare un aumento del rischio di commissione di alcuni dei reati presupposto. Invero, basti pensare alla famiglia dei reati corruttivi (reati contro la PA, corruzione tra privati), reati che possono più facilmente essere commessi in un periodo di crisi finanziaria (ad esempio, per la partecipazione a procedure di gara semplificate, piuttosto che per accedere ad ammortizzatori sociali o per continuare l’attività produttiva nel periodo del lock down).

Non solo di corruzione si occupa il d.lgs. 231/2001.

Difatti, l’impresa potrebbe incorrere nella commissione di ulteriori reati (es. ricettazione, riciclaggio, impiego di cittadini di Paesi terzi con permesso irregolare) anche attraverso i propri dipendenti in smart working. Non dimentichiamo invero che nell’alveo del catalogo 231, sono annoverati anche i reati informatici e le violazioni del diritto d’autore. Basti pensare all’utilizzo promiscuo dei dispositivi personali anche per finalità lavorative e al rischio che possano essere, ad esempio, utilizzati software non originali.

Risulta pertanto necessario procedere alla modifica del Modello 231?

Come correttamente indicato da Confindustria, i rischi sopra richiamati sono rischi indiretti e trasversali alle varie tipologie aziendali. Tali rischi invero avrebbero dovuto già essere valutati e mappati all’interno del Modello 231 e l’impresa avrebbe dovuto dotarsi di procedure idonee a ridurre al minimo, se non ad eliminare, il rischio di commissione di reato. Qualora l’azienda non abbia adempiuto in tal senso, si presenta in ogni caso l’occasione per procedere ad una nuova analisi e valutazione del rischio a cui seguirà poi l’adozione di procedure specifiche.

Per le imprese invero che hanno già adottato siffatte procedure, probabilmente si renderà necessario procedere ad un loro rafforzamento.

Rischi diretti

I rischi invece che direttamente impattano sull’impresa sono quelli connessi al rischio di contagio da Covid-19, in materia di salute e sicurezza nei luoghi di lavoro. Ad ogni modo, il rischio di commissione dei reati di omicidio colposo e lesioni personali gravi e gravissime, commessi in violazione delle norme antinfortunistiche, erano già parte del catalogo 231, prima dell’emergenza epidemiologica. Ne deriva che, il rischio di contagio da Covid-19, diventa un ulteriore rischio specifico che non impatta però sui presidi di carattere generale. In altri termini il Covid-19 non impone l’adozione di un sistema gestionale ad hoc per tale rischio.

Diversamente, nell’ipotesi in cui l’impresa abbia deciso di integrare le procedure sicurezza all’interno del Modello 231, si dovrà invece valutare se procedere alla loro revisione oppure alla creazione di un addendum specifico.

In ogni caso, onere del datore di lavoro è quello di predisporre le misure idonee a tutelare i lavoratori da tale rischio.

Data l’assoluta novità di tale virus, il datore di lavoro dovrà attenersi alle misure di contenimento che sono state individuate, e che verranno via via individuate in futuro, dalle Autorità Pubbliche (sul tema si veda il nostro contributo video).

Organismo di Vigilanza

L’Organismo di Vigilanza, in tale contesto, deve procedere a rafforzare il proprio controllo sulla corretta ed efficace implementazione del Modello 231 esistente, nonché sulle misure adottate dal datore di lavoro nel rispetto di quanto indicato dalle Autorità Pubbliche. L’OdV dovrà mantenere un costante confronto con i vertici aziendali e con il comitato per l’applicazione e la verifica dei presidi indicati dalle Autorità Pubbliche per evitare il contagio da Covid-19.

Il monitoraggio della situazione aziendale viene garantito dai flussi informativi tra i responsabili di funzione e l’OdV, che si ritiene debbano essere potenziati in tale periodo. Invero, l’OdV dovrà essere tenuto in costante aggiornamento circa le misure adottate in azienda, circa gli strumenti, anche di natura finanziaria, messi in campo per arginare l’eventuale crisi economica (es. ammortizzatori sociali, finanziamenti a fondo perduto etc).

L’OdV conserva in ogni caso il proprio ruolo propulsivo nell’ipotesi di inerzia dell’impresa, ovvero nel caso in cui, ad esempio, l’impresa non proceda ad adottare le misure poste a presidio del contagio.

Nell’emergenza epidemiologica il Modello 231 e tutta la compliance aziendale rappresenta un valido presidio per la gestione del rischio di commissione dei reati del d.lgs. 231/2001.

Vi invitiamo a contattare lo Studio per ogni ulteriore approfondimento.

Con l’entrata in vigore del Reg. UE 2016/679 ci si è chiesti quale qualificazione dovesse rivestire l’Organismo di Vigilanza ai fini della normativa sul trattamento dei dati personali. Invero, ci si interrogava se l’OdV dovesse essere inteso come Titolare del trattamento, ovvero come il soggetto che determina le finalità e i mezzi del trattamento dei dati personali che decide di trattare, oppure come Responsabile esterno, cioè come colui che svolge un’attività in nome e per conto del Titolare e soggiace pertanto alle istruzioni impartite da quest’ultimo.

Invero, l’OdV nello svolgimento della propria attività, può raccogliere e trattare dati personali anche particolari, come, ad esempio, i dati giudiziari. Tali dati possono essere raccolti a seguito di attività ispettive, oppure a seguito della ricezione di flussi informativi e/o di segnalazioni, anche anonime.

Prima tesi: OdV come Titolare autonomo

I sostenitori della tesi della titolarità autonoma dell’OdV fondavano la loro convinzione sul fatto che l’OdV, essendo dotato di autonomi poteri di iniziativa e di controllo, fosse pertanto dotato anche del potere di determinare le finalità e i mezzi del trattamento dei dati personali. In realtà tale tesi confonde l’autonomia di iniziativa con l’eventuale determinazione delle finalità. Difatti, le finalità del trattamento sono determinate dal d.lgs. 231/2001 (ovvero la vigilanza sull’osservanza del Modello 231), e i mezzi sono generalmente messi a disposizione dall’azienda stessa.

Seconda tesi: OdV come Responsabile esterno

La tesi che considerava l’OdV quale Responsabile del trattamento non può più trovare accoglimento dall’entrata in vigore del GDPR. Invero, il Responsabile, ai sensi di tale Regolamento, può essere soltanto esterno. È, infatti, venuta meno quella peculiarità tutta italiana, in virtù della quale il Responsabile poteva essere, alla luce del Codice Privacy, anche interno. Appare, invero, pacifico che l’OdV sia configurabile quale organo interno della società e, in particolare, organo di staff dell’Organo Dirigente.

Terza tesi: né titolare autonomo né responsabile esterno

Vi è, tuttavia, una terza tesi, sostenuta da AODV, la più importante associazione dei componenti degli Organismi di Vigilanza, secondo cui l’OdV, essendo “parte dell’impresa” non sia qualificabile né come Titolare né come Responsabile. Peraltro, i singoli membri non sarebbero qualificabili come “designati al trattamento”, in quanto l’OdV va considerato nella sua collegialità e non come singoli componenti. Nondimeno, il designato al trattamento soggiace all’autorità del Titolare: questo aspetto confligge chiaramente con l’autonomia di iniziativa e di controllo in capo all’OdV.

Cosa ne pensa il Garante Privacy?

Sul punto si è recentemente espresso il Garante per la protezione dei dati personali, il quale ha sostenuto che l’OdV non possa configurarsi quale Titolare, in quanto: innanzitutto, le finalità proprie del trattamento dei dati sono definite dalla legge; in aggiunta,l’OdV non ha nessun obbligo di denuncia all’autorità giudiziaria, né esercita alcun potere disciplinare nei confronti nei confronti degli autori dell’illecito. L’OdV non può essere configurato nemmeno quale Responsabile del trattamento, essendo parte dell’Ente stesso e non un soggetto esterno.

Il Garante conclude ritenendo che l’OdV, nella sua collegialità, sia parte dell’ente e che, come tale, svolga il proprio ruolo nell’ambito dell’organizzazione dell’ente stesso. Ciononostante, ai fini della normativa sul trattamento dei dati personali, i singoli componenti dell’OdV andranno nominati quali “Autorizzati al trattamento”. I medesimi dovranno rispettare le istruzioni impartite dal Titolare del trattamento, al fine di osservare le misure tecniche e organizzative che il medesimo ha implementato in azienda, in virtù dei principi sanciti dal GDPR (art. 5).

In ogni caso, per consentire all’OdV di svolgere la propria attività di vigilanza e controllo,  dovranno essere assicurate al medesimo l’autonomia e indipendenza rispetto agli organi societari.

In pratica

Risulta pertanto necessario che l’Ente proceda ad affidare a legali esperti in materia l’esatta determinazione dei poteri dell’OdV nella sua collegialità e come singoli membri, al fine di osservare la normativa sul trattamento dei dati personali e nel rispetto della riservatezza dei dati aziendali.

Le nuove tecnologie possano certamente aiutare nella lotta al diffondersi della pandemia da Covid-19. Non a caso, prima in oriente e poi in occidente, si è iniziato a parlare delle app di tracciamento, di cui abbiamo già discusso qui. In Italia, la bagarre sulla questione infuria ormai da mesi. Tutti abbiamo letto e sentito parlare della fantomatica Immuni: l’app che dovrebbe rivoluzionare la Fase due del nostro paese (anche se con un certo ritardo). Ormai è questione di giorni e tutti potremmo scaricare sui nostri cellulari l’applicazione. Più di qualcuno, infatti, avrà ricevuto sul proprio smartphone questo messaggio di Google, che pare voler dettare le regole del gioco mentre il governo italiano ancora latita.

Ma come dovrebbe funzionare Immuni?

Per chi ancora non sapesse con certezza di che cosa si tratta, Immuni è un’applicazione per smartphone in grado di registrare i contatti interpersonali, attraverso lo sfruttamento dei Bluetooth.

Sul suo funzionamento tanti rumors, ma poche certezze. In ogni caso, non appena disponibile, l’app potrà essere scaricata, su base volontaria e gratuitamente, dal play store Android e dall’Apple store. Immuni dovrebbe essere composta di due parti: una dedicata al contact tracing vero e proprio (via Bluetooth) e l’altra destinata ad ospitare una sorta di “diario clinico”, in cui l’utente potrà annotare i dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il virus.

Il tracciamento avverrà in questo modo: i cellulari dotati dell’app conserveranno nella loro memoria i dati di altri cellulari con cui siano entrati in contatto (in forma di codici crittografati). Qualora uno dei soggetti che ha scaricato l’app risulti positivo al virus, gli operatori sanitari gli forniranno un codice di autorizzazione, con il quale questi potrà scaricare su un server ministeriale il proprio codice crittografato. I cellulari, automaticamente, scaricheranno dal server i codici dei contagiati. Qualora l’app dovesse riconoscere, tra i codici in memoria, il codice di un contagiato, invierà un segnale di allerta all’utente, proprietario del cellulare.

Ma…perché se parla tanto? Innanzitutto, perché vi sono tantissimi dubbi sul funzionamento di Immuni.

Notifica del possibile contagio. Per esempio, immaginiamoci che Immuni avverta con una notifica l’utente che è stato, nelle scorse due settimane, a contatto con un soggetto positivo al Covid; l’utente cosa deve fare? Si chiude dentro casa? Se per ipotesi lavora e il suo datore di lavoro non gli riconosce lo smart working, deve comunque notificargli che è entrato in contatto con un Covid positivo? A chi telefona, alla Asl o al medico di famiglia? Non si sa.

Numero di tamponi. Tutte le volte che un utente scopre di essere positivo al virus, affinché l’applicazione sia utile al contenimento dell’epidemia, è necessario sottoporre tutti i suoi contatti al tampone. Quanti sono? In media 200. Calcolando, ottimisticamente, 2.000 nuovi casi al giorno, moltiplicandoli, poi, per 200 contatti, ne risultano 400 mila tamponi al giorno. Il nostro sistema sanitario è pronto? Ai posteri l’ardua sentenza, ma per darvi un’idea, finora sono stati effettuati circa 1 milione di tamponi al mese.

Bluetooth. La tecnologia dei Bluetooth è molto più imprecisa dei GPS, che tuttavia non possono essere utilizzati per questioni connesse alla privacy. Ne consegue che il rischio di falsi positivi è davvero molto alto. L’app, pertanto, potrebbe riportare il Paese nella situazione di panico iniziale, che si vuole in tutti i modi scongiurare.

Anziani. Quanti voi conosco ultrasessantenni che normalmente utilizzano uno smartphone? È chiaro che la fascia di popolazione più a rischio non utilizzerà mai Immuni, posto che spesso non dispone di uno smartphone, o comunque è pratica nell’utilizzare tale genere di dispositivo.

Sostenibilità. L’app è gratuita, ma per utilizzarla è necessario possedere un cellulare di ultima generazione. Chi non può permetterselo è pertanto escluso dalle cautele anti-Covid?!

Utilità. Tanto si è detto a proposito dell’effettiva utilità di Immuni. Evitando qualsivoglia genere di polemica, si riporta un dato oggettivo. L’app potrà effettivamente contribuire alla lotta contro il Coronavirus, unicamente se sarà utilizzata almeno dal 60% della popolazione, ovverosia da più di 30 milioni di italiani. Un’applicazione di così tanto successo non si è mai vista. Basti, tra l’altro, pensare che solo il 70% degli italiani dispone di uno smartphone.

Se decido di utilizzarla corro dei rischi per quanto concerne la privacy?

Come tutte le nuove tecnologie che trattano dati personali, anche Immuni non va esente da rischi di sorta; anzi, trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Vero è che il Governo italiano pare (non v’è certezza, purtroppo) aver deciso di strutturare l’applicazione con un sistema decentralizzato, che potrebbe nel concreto assicurare un maggior grado di protezione contro eventuali data breach. Tuttavia, non si può fare a meno di sottolineare come tale rischio persista, posto che Immuni è comunque connessa ad un server centrale, che potrebbe essere hackerato. Senza contare che i dati di tracciamento vengono salvati in locale nei cellulari, i quali possono, forse anche più facilmente, finire nelle mani di malintenzionati, che non si esclude siano capaci di “bucare” le misure protettive di Immuni.

E se non la utilizzo?

Il Governo, a fronte delle raccomandazioni del Garante Privacy e delle Linee Guida n. 4/2020 del Comitato Europeo per la protezione dei dati, ha rassicurato i cittadini, sottolineando come l’uso dell’app sarà strettamente volontario e non condizionerà in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. D’altronde sarebbe evidentemente anticostituzionale imporre delle restrizioni a tutti coloro che non scaricano o usano Immuni. In altri termini, sarebbe contrario al principio fondamentale di uguaglianza (art. 3 Costituzione) e al dovere di solidarietà (art.2 Costituzione) limitare l’accesso ai test diagnostici o addirittura alle cure, attuando soluzioni del tipo “se non usi la App passi in coda rispetto a quelli che la usano”, oppure imporre restrizioni alla mobilità dei cittadini, costringendo a non uscire di casa coloro che non utilizzano Immuni, ovvero limitare il loro diritto al lavoro.

Nessuna conseguenza negativa, insomma, se si decide di non utilizzare Immuni.

Fattore fiducia.

È evidente che il successo di questa impresa tecnologica dipende strettamente dal grado di fiducia che i cittadini rivestono nelle Istituzioni che hanno sviluppato il progetto di Immuni.

Quest’ultime paiono impegnarsi, ma non abbastanza, a fronte una così sentita necessità. Un esempio? Lo scorso 11 maggio, il Ministro dell’Innovazione (Paola Pisano) rispondeva alle domande inoltratele dall’associazione ANORC, in ordine all’app Immuni. Tuttavia, la Pisano sorvolava sulla maggior parte dei nodi critici messi in evidenza dalle domande di ANORC.

In assenza di trasparenza da parte delle istituzioni governative, è davvero difficile immaginare che Immuni possa davvero avere successo nel contesto italiano.

Le nuove tecnologie possono svolgere un ruolo importante nel contrasto del diffondersi della pandemia da Covid-19. Non si tratta di ipotesi, ma di realtà che sono già state implementate in altri Paesi, che – al pari del nostro – hanno affrontato e stanno affrontando la situazione emergenziale che ben conosciamo. Tra le prime ad attivarsi in questo senso vi è senza dubbio la Cina, che, in tempi record, verso la metà di marzo, ha implementato un sistema di data tracing, denominato “codice salute”, integrato, fra l’altro, all’interno delle app più usate dalla popolazione cinese, ovverosia Alipay e Wechat.
L’esempio cinese non poteva non affascinare l’occidente. Ed in breve, anche in Francia, Germania ed Italia si è cominciato a parlare di app di data tracing

Ma che cos’è questa nuova tecnologia?

In estrema sintesi, si tratta di un’app in grado di registrare tutti i nostri contatti interpersonali, attraverso lo sfruttamento dei Bluetooth. Qualora uno dei soggetti con cui siamo è entrati in contatto risulti positivo al Covid-19, l’app genera una notifica, avvertendo noi, e tutti gli altri contatti a rischio, dell’accaduto.

Ci sono rischi per la privacy?

Come tutte le nuove tecnologie che trattano dati personali, anche le app di tracciamento dei contatti non vanno esenti da rischi di sorta; anzi, trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Per questo, il 21 aprile scorso, il Comitato Europeo per la protezione dei dati (EPDB) ha emanato le linee guida n. 4/2020, al fine di scongiurare qualsivoglia forma di abuso. Tali Linee Guida riprendono i principi cardine del GDPR che abbiamo già imparato a conoscere: liceità, limitazione delle finalità e del tempo di conservazione, minimizzazione, esattezza, integrità e riservatezza. In particolare, il Comitato mette in luce come il monitoraggio su larga scala dei contatti sia una grave intrusione della privacy, che può essere legittimata solo a fronte dello svolgimento di un compito di interesse pubblico e della volontarietà dell’utilizzo della tecnologia implementata. Per questo, in ossequio al principio di minimizzazione, i dati trattati devono essere quelli strettamente indispensabili per le finalità stabilite. Il Comitato precisa, inoltre, che tali finalità dovrebbero essere, preferibilmente, regolamentate per il tramite di apposito intervento legislativo, atto a fornire idonea base giuridica per il monitoraggio. In ogni caso, il fatto che la base giuridica sia costituita dalla legge non vuol dire che la tecnologia in questione possa essere imposta ai cittadini. Il Comitato precisa, infatti, che l’uso della medesima deve essere strettamente volontario, e non deve condizionare in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. Infine, viene sottolineato come sia essenziale la redazione di apposita DPIA, cioè una valutazione di impatto del trattamento, che analizzi nel dettaglio i possibili rischi e le conseguenze connesse al medesimo.

Cosa sta accadendo in Europa?

Innanzitutto, va premesso, che in Europa lo sviluppo e l’implementazione delle app di data tracing è stato accompagnato, fin dal principio, da una farraginosa bagarre, per la definizione delle misure tecniche più adeguate non solo per l’efficientamento delle app, ma anche per la protezione dei dati personali. In particolare, i tecnici si sono divisi tra sostenitori di un sistema di salvataggio dei dati personali centralizzato e i sostenitori di un sistema invece decentralizzato.

Le differenze fra i due? Posto che le app di tracciamento funzionano creando un elenco completo di utenti con cui si è interagito per più di qualche minuto, il cui identificativo non è il nome e/o il cognome, ma un codice criptato, la differenza essenziale risiede nelle modalità con cui tale codice viene realizzato. Nel sistema decentralizzato, il medesimo viene generato direttamente sui dispositivi mobili dell’utente, nel sistema centralizzato, è invece un server, per l’appunto centrale, ad eseguire tale operazione. Il sistema più sicuro? Difficile a dirsi, entrambi possono di fatto prestare il fianco ad abusi e attacchi hacker.

Le nostre eterne rivali (Francia e Germania) cosa stanno facendo?

Francia. L’app di tracciamento dei contatti francese, denominata StopCOVID, è ai blocchi di partenza. Il Ministro Cédric O, responsabile per il digitale, ha infatti reso noto come il lancio dovrebbe avvenire il prossimo 2 giugno. Il dibattito tra sostenitori del sistema centralizzato e sostenitori del decentralizzato – che, il 26 aprile scorso, avevano addirittura presentato formale petizione contro il primo sistema – ha visto prevalere i sostenitori del centralizzato. Tuttavia, non sono del tutto sopite le critiche, posto che l’applicazione – al pari di Immuni – sarà efficace unicamente qualora almeno la metà della popolazione (il 60%) la scarichi e la installi, contribuendo così a rendere capillare il suo raggio d’azione in tutto il territorio.

Germania. La Germania, come la Francia, inizialmente, pareva aver abbracciato la soluzione centralizzata, promuovendo lo sviluppo del c.d. Protocollo Robert (ROBust and privacy-presERving proximity Tracing protocol) e l’implementazione della dell’app, denominata Datenspenden. Tuttavia, il 25 aprile scorso, il governo federale ha dovuto cedere alla pressione degli attivisti, preoccupati per la gestione dei dati personali, e prediligere la soluzione della decentralizzazione, al fine di scongiurare il timore di abusi da parte delle autorità. Va, tuttavia, sottolineato che, a fronte della diffidenza della popolazione tedesca e della ancora scarsa digitalizzazione del paese, l’app tedesca difficilmente verrà mai alla luce. In attesa, i cittadini tedeschi possono comunque utilizzare la Datenspenden, che, previo loro consenso, è in grado di raccogliere tutti i dati custoditi da app di fitness, come Fitbit, Garmin e Polar, compresi gli smartwatch, utilizzandoli, in forma anonima, per analizzare statisticamente la diffusione del virus.

Cosa sta accadendo in Italia?

I rumors su Immuni sono molti ed i dubbi ancora di più. Di questo però vi parleremo nella prossima puntata. Nel frattempo, per qualsivoglia dubbio o perplessità, potete visitare il sito e farci pervenire le vostre domande.


Benvenuto in Consulenza Legale Moda!

Se sei alla ricerca di consigli e informazioni utili su come gestire i tanti aspetti legali che interessano le aziende del settore Fashion, sei nel posto giusto!

Come può un’azienda lavorare al giorno d’oggi se è sempre più “imbrigliata” tra i moltissimi adempimenti normativi e le tante restrizioni poste dall’Italia e dall’Unione Europea?” Questa è la domanda che ci pongono sempre più spesso gli imprenditori.

Per tale ragione abbiamo deciso di offrire una consulenza legale specialistica per il settore moda. Vogliamo consentire agli imprenditori del Fashion di pensare soltanto a realizzare il loro prodotto al meglio, occupandoci noi di qualsiasi questione tecnica e giuridica.

In un settore sempre più a vocazione internazionale, estremamente competitivo e acciaccato dagli effetti della crisi, ha successo solo chi riesce a lavorare in modo eccellente.

Se anche tu punti all’eccellenza, ti consigliamo di leggere questo sito, di iscriverti alla nostra newsletter per rimanere sempre aggiornato sulle principali novità normative (ma non solo) e di scaricare gratuitamente le risorse consigliate. Per conoscere inoltre quali servizi mettiamo a tua disposizione clicca qui.