Il Blog

Corso di formazione “Data Protection Officer & Information Security”…sono aperte le iscrizioni!

Corso di formazione “Data Protection Officer & Information Security”…sono aperte le iscrizioni!

E’ finalmente on-line il bando per il corso di formazione “Data Protection Officer e Information Security” che avrà inizio il 15 dicembre p.v. presso l’Università di Roma Tor Vergata. Il corso è organizzato dal Centro Ricerche Economiche e Giuridiche (C.R.E.G.) e ASS.PRI.COM.

Le lezioni saranno tenute da illustri docenti del mondo accademico ed esperti nelle materie specialistiche oggetto di insegnamento, con lo scopo di formare, operativamente,  la nuova figura professionale del Data Protection Officer (DPO), pronta per l’inserimento nel mondo delle imprese e della Pubblica Amministrazione a brevissimo!

Il Corso, di taglio prettamente pratico, si articola in lezioni tradizionali, laboratori, esercitazioni e stages guidati, per un totale di 220 ore. Le lezioni si terranno il venerdì – dalle 14 alle 19 – ed il sabato – dalle 9 alle 14.

Il bando e la domanda di ammissione al corso sono consultabili visitando questo indirizzo web.

Per maggiori informazioni potrete rivoglervi ad ASS.PRI.COM. scrivendo una mail all’indirizzo info@asspricom.it o chiamando lo 06.89346809.

I segreti aziendali e la tutela della normativa europea e nazionale

I segreti aziendali e la tutela della normativa europea e nazionale

L’ 8 giugno 2016 si è giunti alla definitiva approvazione della Direttiva UE 2016/943 con il preciso scopo di armonizzare la legislazione degli Stati Membri in materia di protezione dei segreti aziendali, beni immateriali dal valore competitivo fondamentale, spesso non adeguatamente valutati e protetti dalle aziende stesse.

L’attuale normativa nazionale, attraverso il Codice della Proprietà Industriale (CPI), tutela “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore”1, considerato quale bene immateriale “non titolato”. Sono dunque oggetto della tutela le informazioni aziendali sia relative ad un cosiddetto know-how tecnico- industriale sia quelle di natura commerciale quali liste di clienti e forniture, analisi commerciali e politiche e prezzi relativi ad offerte.

In base al sopracitato CPI, quali sono i requisiti essenziali di un segreto aziendale giuridicamente tutelabile?2

In primis, esso deve risultare effettivamente segreto tale da non risultare “generalmente noto o facilmente accessibili agli esperti ed agli operatori del settore”, sia sotto il profilo qualitativo che quantitativo. Il fattore della “segretezza” è di fondamentale importanza, data la sua natura relativa e non assoluta. Infatti, cosi come anche riportato dalla recente Direttiva sopramenzionata, l’acquisizione di un segreto commerciale è considerata lecita qualora lo stesso sia ottenuto con una di queste modalità:

a) scoperta o creazione indipendente;

b) osservazione, studio, smontaggio o prova di un prodotto o di un oggetto messo a disposizione del pubblico o lecitamente in possesso del soggetto che acquisisce le informazioni, il quale è libero da qualsiasi obbligo giuridicamente valido di imporre restrizioni all’acquisizione del segreto commerciale;

c) esercizio del diritto all’informazione e alla consultazione da parte di lavoratori o rappresentanti dei lavoratori, in conformità del diritto e delle prassi dell’Unione e nazionali;

d) qualsiasi altra pratica che, secondo le circostanze, è conforme a leali pratiche commerciali.3

Ulteriore requisito necessario alla tutela giuridica di un segreto aziendale è il valore economico dello stesso. In altri termini, la segretezza di un’informazione aziendale può essere legalmente tutelata nel momento in cui essa realizza un margine di competizione in favore del detentore.

Terzo ed ultimo fattore necessario alla tutela giuridica di un’informazione aziendale è l’esistenza di “misure da ritenersi ragionevolmente adeguate a mantenerle segrete”4. È dunque necessario che tali misure di sicurezza siano proporzionate alla tutela della riservatezza in base al rischio di un’acquisizione da parte di un concorrente.

In tale contesto, la nuova Direttiva comunitaria si inserisce quale mezzo necessario al compimento di un’armonizzazione legislativa in materia di tutela del segreto aziendale fra gli Stati Membri UE.

La Direttiva, in particolare, prevede eccezioni alla tutela del segreto industriale:

  • protezione delle indagini condotte dai media, sono previste specifiche misure di tutela delle fonti giornalistiche di inchiesta;

  • tutela dei lavoratori dipendenti nell’ambito della mobilità aziendale, riguarda i lavoratori che acquistano in modo onesto esperienze e competenze durante il periodo lavorativo, nonché la divulgazione dai lavoratori ai loro rappresentanti nell’ambito dell’esercizio delle loro funzioni, nel caso in cui la divulgazione sia necessaria;

  • rivelazione di un’attività illecita, attuata agendo in buona fede e con l’obiettivo di proteggere l’interesse pubblico;

  • tutela di un interesse legittimo riconosciuto dal diritto dell’Unione.

Gli Stati Membri UE dovranno obbligatoriamente definire misure, procedure e mezzi di ricorso in modo da permettere la disponibilità di mezzi di ricorso di diritto civile contro l’ottenimento, l’utilizzo e la diffusione illecita di segreti commerciali. I detentori di segreti aziendali, saranno quindi legittimati alla richiesta di danni derivanti dall’appropriazione illecita di documentazione e materiali contenenti il segreto.

La Direttiva dovrà necessariamente essere implementata dagli Stati Membri entro il 9 giugno 2018. Nonostante ciò, preme sottolineare il carattere self-executing della normativa: la giurisprudenza comunitaria consente che la direttiva self-executing possa produrre effetti diretti negli ordinamenti statali, per ciò che attiene gli obblighi precisi e incondizionati previsti a carico dello Stato, dando vita dunque a diritti soggettivi dei cittadini tutelabili davanti al giudice nazionale, qualora la direttiva non sia stata implementata dagli Stati Membri entro la scadenza fissata

In tal modo, si mira a tutelare in maniera fattiva i diritti dei cittadini dinanzi al tribunale nazionale. Lo Stato Membro potrà dunque risultare responsabile per il mancato recepimento della Direttiva e conseguentemente essere obbligato al risarcimento dei danni subiti dagli interessati a tale inadempimento.

In sostanza, il nuovo strumento normativo avrà l’effetto di garantire l’armonizzazione giuridica necessaria a garantire adeguate condizioni di parità competitiva ad ogni impresa europea, allo sviluppo di attività di ricerca ed innovazione, cosi come ad una tutela efficace e omogenea del diritto alla segretezza aziendale e commerciale quale bene immateriale ma di inestimabile valore.

1 Codice della Proprietà Industriale, Art. 98, comma 1 http://www.uibm.gov.it/attachments/codice_proprieta_industriale.pdf

2 Codice della Proprietà Industriale, Art. 98, comma 1 http://www.uibm.gov.it/attachments/codice_proprieta_industriale.pdf

3 Direttiva UE 2016/943 dell’8 giugno 2016, Art.3, comma 1 http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L0943&from=IT

4 Codice della Proprietà Industriale, Art. 98, comma 1 http://www.uibm.gov.it/attachments/codice_proprieta_industriale.pdf

Incontro “La sicurezza dei sistemi di controllo industriale nelle infrastrutture critiche: aspetti peculiari, rischi, innovazioni ed esperienze”

Incontro “La sicurezza dei sistemi di controllo industriale nelle infrastrutture critiche: aspetti peculiari, rischi, innovazioni ed esperienze”

Il 24 maggio a Roma, dalle ore 15 alle 18, si terrà il terzo dei nuovi “colloquia” dell’anno 2017 organizzato dalla AIIC – Associazione Italiana esperti in Infrastrutture Critiche– nella sala conferenze di via Vito Volterra, 62 presso il Dipartimento di Ingegneria dell’Università Roma Tre.

 

Il tema dell’incontro, interessantissimo anche in considerazione dei recenti avvenimenti di hackeraggio che hanno comportato il blocco delle attività di numerose aziende in gran parte del mondo, sarà:

 

“La sicurezza dei sistemi di controllo industriale nelle infrastrutture critiche: aspetti peculiari, rischi, innovazioni ed esperienze”.

 

Tra i relatori, esponenti del mondo aziendale e accademico, sarà presente anche il Presidente di ASS.PRI.COM. Claudio Pantaleo.

La prevenzione quale difesa efficace: il caso “WannaCry”.

La prevenzione quale difesa efficace: il caso “WannaCry”.

All’indomani di un attacco hacker1 su larghissima scala e dagli effetti economicamente devastanti, privati, aziende e pubbliche amministrazioni (di seguito P.A.) stanno cercando di correre ai ripari per tentare, quantomeno, di contenere i danni. Il CERT della Pubblica Amministrazione e Windows hanno diffuso, nelle scorse ore, indicazioni per cercare di ridurre i rischi di compromissione conseguenti all’attacco del ransomware2; la domanda che sorge spontanea è: ma quanto sono utili, nel concreto, queste azioni compiute a posteriori?

Non più di due mesi fa, l’Agenzia per l’Italia Digitale ha emanato la circolare n°1/2017 del 17 marzo 2017 recante l’elenco delle misure minime di sicurezza informatica per la Pubblica Amministrazione; esse si incentrano sulla sicurezza hardware e software e sui comportamenti umani. I fondamenti della sicurezza riguardano la difesa dei sistemi informatici da problemi interni (comportamenti dei dipendenti) e da attacchi esterni, nonché, la protezione del patrimonio informativo. Tali misure, individuate dall’Agenzia, sono di diversi livelli: minime, standard e di livello alto e sono calibrate con un approccio tecnico personalizzato sulle singole realtà dei vari uffici della P.A.

La stessa Microsoft ha rilasciato un update che risolve la falla nel suo sistema operativo rendendolo, una volta effettuato l’aggiornamento, non attaccabile dal ransomware, anche se è bene ricordare che quest’ultimo potrebbe cambiare il vettore tramite cui si propaga, dando seguito liberamente alla sua azione.

La sicurezza dei dati contenuti nei nostri dispositivi connessi alla rete diventa una questione “culturale”; tutti i nostri devices sono collegati l’un l’altro e la presenza di un ransomware in uno, a causa della mancata adozione di misure minime di sicurezza, è quasi certo che possa infettare i dispositivi che con quello si connettono. L’adozione delle misure di sicurezza, rappresenta, ad oggi, la più efficace, se non l’unica, arma di prevenzione a disposizione di privati, aziende e P.A., necessariamente assistita da una forte spinta culturale nel rispetto di norme (oggi il Codice della Privacy ed i Provvedimenti del Garante per la protezione dei dati personali, domani – al più tardi entro il 25 ,aggio 2018 – il nuovo Regolamento europeo privacy) e di atti amministrativi delle Autorità preposte.

Per consultare la documentazione utile citata nel testo, cliccate ai link sotto riportati:

1 La campagna ransomware WannaCry ha colpito 150 paesi da venerdì 12 maggio scorso, sfruttando una falla presente nel sistema operativo Windows, ha attaccato i devices collegati alla rete e cifrato tutti i dati in questi contenuti. Unico scampo per i mal capitati è pagare un riscatto in BIT COIN per avere indietro i dati contenuti nel proprio dispositivo. (fonte: www.ansa.it)

2 Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. (fonte: www.wikipedia.it)

Il Data Protection Officer: in quali casi è obbligatorio nominarlo

Il Data Protection Officer: in quali casi è obbligatorio nominarlo

Il nuovo Regolamento Europeo in materia di protezione dei dati personali, tra le numerose novità introdotte al fine di rafforzare i presidi posti a tutela della riservatezza degli individui, ha tracciato la nuova figura del Responsabile della Protezione dei dati (Data Protection Officer).

A partire dal 25 maggio 2018, un numero elevatissimo di enti pubblici (tutta la Pubblica Amministrazione), enti e società private nonché gli studi professionali, saranno obbligati a individuare e nominare il Data Protection Officer (di seguito D.P.O.), all’interno del proprio organico ovvero all’esterno tramite contratti di outsourcing.

Purtuttavia e nonostante il breve periodo di tempo che ci separa dal termine ultimo entro cui bisogna nominare tale figura, un ristrettissimo numero di istituzioni pubbliche e private si sta occupando o preoccupando di formare il Data Protection Officer, allo stato non paragonabile ad altra figura consulenziale o aziendale già esistente ed operativa. In altri termini, sul mercato italiano delle professioni, ad oggi, non si è in grado, a meno di “forzature” dannose e controproducenti, di riscontrare un profilo professionale dotato delle abilità e competenze richieste dal Regolamento Comunitario.

Secondo la nuova normativa europea, il Data Protection Officer è un professionista aziendale “poliedrico”, con competenze giuridiche, informatiche e aziendalistiche¸ tra le quali il profilo legale deve necessariamente prevalere sulle altre figure professionali (l’informatico e l’aziendale).

In buona sostanza, il Data Protection Officer si può definire come il professionista al servizio di vari soggetti istituzionali (azienda, ente, Pubblica Amministrazione, studi professionali ecc. ecc.), la cui mission è assicurare la protezione del patrimonio informativo aziendale e dei dati personali trattati dagli stessi. Il DPO avrà una necessaria vocazione giuridica, ma dovrà essere dotato di conoscenze adeguate di natura informatica e aziendale, che saranno supportate dalle figure che opereranno a suo sostegno (i Privacy Officer); egli costituirà il fulcro di tutti i processi aziendali e degli Uffici incardinati nelle Pubbliche Amministrazioni, in modo trasversale e con concretezza decisionale, a fianco del Top Management, consigliando e sorvegliando sulla corretta applicazione del Nuovo Regolamento Comunitario.

In pratica, la figura professionale del DPO come sopra delineata ad oggi non è ancora ben inquadrata nel nostro ordinamento giuridico e, allo stato attuale, appare di difficilissima reperibilità, eccezion fatta per rarissimi casi di professionisti che, vuoi per vocazione vuoi per esperienza personale, hanno operato in contesti aziendali connotati dalla trasversalità organizzativa.

Uno degli interrogativi principali che connotano attualmente la discussione in materia riguarda l’individuazione dei casi in cui sia obbligatorio designare il D.P.O., in quanto il Regolamento Comunitario introduce tale obbligo in presenza di attività dei titolari del trattamento che richiedono il monitoraggio regolare e sistematico di dati su larga scala. Considerata la genericità delle indicazioni fornite dal Regolamento stesso circa l’obbligatorietà o meno di tale designazione per le aziende, e stante invece l’obbligatorietà della designazione per tutte le pubbliche amministrazioni, il Working Party dei Garanti privacy europei ha emanato le linee guida per fornire i chiarimenti in merito.

Quando si configura un monitoraggio regolare e sistematico di dati su larga scala?

Per saperne di più scarica la guida.

Il primo convegno di ASSPRICOM: “La privacy e le professioni forensi”

Il primo convegno di ASSPRICOM: “La privacy e le professioni forensi”

Lunedì 9 gennaio dalle ore 9:30 presso l’Aula Avvocati della Corte di Cassazione,si terrà il primo convegno di ASS.PRI.COM. “La Privacy e le professioni forensi”, organizzato dall’ordine degli Avvocati di Roma. Agli avvocati partecipanti verranno riconosciuti 8 crediti formativi ordinari.

Convegno ASSPRICOM "La Privacy e le professioni forensi"
Convegno ASSPRICOM “La Privacy e le professioni forensi”

Save

RESPONSABILITA’ AMMINISTRATIVA DEGLI ENTI E REATI INFORMATICI: TUTELARE L’AZIENDA RISPETTANDO LA NORMATIVA PRIVACY

RESPONSABILITA’ AMMINISTRATIVA DEGLI ENTI E REATI INFORMATICI: TUTELARE L’AZIENDA RISPETTANDO LA NORMATIVA PRIVACY

A decorrere dalla ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, avvenuta con la promulgazione della Legge 18 marzo 2008, n. 48, l’impatto dei crimini informatici compiuti all’interno delle aziende, stigmatizzati nella disciplina che fa capo alla Legge 23 dicembre 1993 n. 547, non produce più solo effetti con riguardo ai profili di responsabilità penale personale dell’autore del “crimine”, ma determina un’altrettanta severa forma di responsabilità amministrativa in capo alle aziende, regolata da una norma introdotta nell’ordinamento giuridico dal 2001 e che va sotto il nome di “Decreto 231”.

Si tratta di un terzo genere di responsabilità, detta anche “para-penale”, la quale prevede che gli enti/società possano essere “imputati” in un processo penale; si tratta, in definitiva, di una responsabilità «diretta», la quale deriva da un fatto proprio dell’ente ed è autonoma rispetto a quella dell’autore materiale del delitto.

In breve, il D.lgs. 231/2001 prevede che l’ente risponda, in aggiunta alla persona fisica che ha commesso il reato, se:

  • è stato commesso uno dei reati presupposto, elencati agli articoli che vanno dal 24 al 26;

  • il reato è stato commesso nell’interesse o a vantaggio dell’ente1 da soggetti qualificati (posizione apicale o sottoposti all’altrui direzione2);

  • l’ente non ha predisposto un modello organizzativo effettivo, valido ed efficace per la prevenzione dei reati

Tra gli enti destinatari della normativa, oltre quelli dotati di personalità giuridica in forma societaria e pluripersonale, si aggiungono, secondo gli orientamenti giurisprudenziali più recenti, anche le imprese individuali3 nonché le associazioni anche prive di personalità giuridica.

L’autorità competente ad esercitare l’azione penale nei confronti dell’ente è il Pubblico Ministero, il quale, ai sensi dell’art. 59 comma 1 del D.lgs. 231/01, effettua la contestazione dell’illecito in uno degli atti indicati dall’art. 405 del Codice di Procedura Penale4.

Le sanzioni5 previste (pecuniarie, interdittive, la confisca e pubblicazione della sentenza) sono applicate dallo stesso giudice competente per il reato presupposto, il quale le irroga mediante decreto o sentenza di condanna.

Le ripercussioni per le società, qualora dovessero essere chiamate a rispondere ai sensi del citato decreto 231, sono evidentemente di grande rilevanza, rischiando di compromettere l’esistenza stessa dall’ente.

Ed è per questo che il Legislatore ha voluto, altresì, prevedere delle esimenti che si applicano qualora:

  1. La società abbia adottato, preventivamente rispetto alla commissione dell’illecito, modelli organizzativo-comportamentali e di gestione diretti ed astrattamente idonei a prevenire la commissione di detti reati;

  2. il reato sia stato commesso dall’autore materiale nel suo esclusivo interesse o di terzi (plausibile specie se ad agire sia stato un soggetto sottoposto alla direzione o alla vigilanza di soggetti in posizione apicale).

Proprio come riportato all’inizio della presente dissertazione, la Legge n. 48/2008 ha ampliato l’area dei reati presupposto in presenza dei quali scatta la responsabilità degli enti: all’art. 24-bis6, figurano alcuni dei comportamenti che rappresentano minacce alla sicurezza informatica e che, nel nostro ordinamento, sono qualificati come condotte penalmente rilevanti.

La sicurezza informatica si interfaccia con la tutela dei dati personali al punto che, lo stesso Codice Privacy (D.lgs. n.196/03), in tema di tutela dei dati personali, stabilisce obblighi specifici e generali che si sostanziano nella necessità, da parte del titolare del trattamento dei dati, di implementare una serie di misure minime di sicurezza identificate direttamente dalla normativa, oltreché misure idonee e preventive da identificare in base ad un’accurata analisi dei rischi.

Le misure minime di sicurezza, di cui all’Allegato B al Codice Privacy, stabiliscono il livello minimo di protezione dei dati e la loro adozione è conditio sine qua non per lo svolgimento delle attività di trattamento dei dati7.

All’interno dell’azienda, al giorno d’oggi, i rischi correlati al crimine informatico sono di grande rilevanza; si pensi che la maggior parte dei processi aziendali sono informatizzati e per di più esternalizzati; l’assistenza tecnica od i servizi di cloud computing ne sono un chiaro esempio.

Difatti, il d.lgs. 231 prevede che tra l’autore materiale del reato e l’ente non debba intercorrere necessariamente un rapporto di lavoro subordinato, rilevando la subordinazione alla direzione o vigilanza di uno dei soggetti in posizione apicale, la quale è rinvenibile anche nei rapporti con i collaboratori esterni/consulenti.

Questi ultimi devono essere nominati responsabili del trattamento, come nel caso dell’amministratore di sistema in outsourcing, del fornitore di servizi cloud o del manutentore del sito web aziendale e come tali devono attenersi, secondo quanto prescritto dallo stesso Codice Privacy all’art. 29, alle istruzioni loro fornite dal titolare. È rinvenibile in tali rapporti quel vincolo di subordinazione alla vigilanza e direzione dei soggetti apicali, richiesto dall’art. 5 del D.lgs. 231, per l’insorgere della responsabilità amministrativa dell’ente.

In particolare, le aziende devono valutare ex ante l’affidabilità di tali consulenti/fornitori nonché prevedere, nei contratti conclusi con gli stessi, un’apposita clausola che regoli le conseguenze della violazioni alle norme del D.lgs. 231/01.

La prevenzione dei reati informatici, al fine di evitare di incorrere nella citata responsabilità, passa attraverso la predisposizione di misure di sicurezza fisica, logica ed organizzativa. La sensibilizzazione della dirigenza e dei dipendenti, la loro formazione, le azioni di monitoraggio ed audit sono solo alcuni dei punti chiave per assicurare l’azienda dalle gravi ripercussioni previste dal D.lgs. 231/01.

Per difendersi l’azienda ha vari strumenti che riducono il rischio di commissione di reati ed illeciti, i più efficaci dei quali sono l’adozione di un valido ed efficace modello di organizzazione e gestione e di una privacy policy.

Il rispetto della normativa privacy, prevedendo l’applicazione di misure minime di sicurezza, consente appunto di prevenire la commissione dei reati presupposti previsti dal D.lgs. 231/01; le policy ed i modelli organizzativi sono efficaci ed assumono valore esimente, solamente se concretamente attuati e se portati a conoscenza di dipendenti e stakeholder.

Tutto quanto sopra esposto si può rinvenire esaminando una recentissima sentenza della Suprema Corte di Cassazione n. 22313 del 03 novembre 2016 che ha cassato, con rinvio, la sentenza della Corte d’Appello territoriale,

Il caso è stato il seguente: alcuni ispettori, durante una verifica in banca, per accertare il rispetto delle disposizioni interne in materia di uso e sicurezza del materiale informatico assegnato ai dipendenti, rilevavano files potenzialmente dannosi nel pc aziendale in uso ad un dipendente. Pertanto, i dirigenti della società provvedevano ad emettere un provvedimento disciplinare nel quale reclamavano come la condotta del dipendente avesse “esposto la banca ai rischi conseguenti l’acquisizione del proprio sistema informativo di file che potrebbero comportare un coinvolgimento e sanzioni ai sensi del Decreto Legislativo n. 231 del 2001″.

Il caso è di particolare interesse, oltre che per l’attualità e per la forte connessione con i profili di responsabilità amministrativa dell’ente rispetto alla condotta penalmente rilevante del dipendente, soprattutto perché, anche nell’adozione di provvedimenti disciplinari di contestazione di illeciti, l’organo di vertice ha dimostrato consapevolezza di un eventuale coinvolgimento dell’azienda, con conseguenti severe sanzioni a carico della stessa.

In altri termini, se finora si è assistito ad un’inspiegabile ritrosia degli organi di vertice delle aziende (e, con essi, dei dipendenti, dei collaboratori) nel dotarsi di modelli organizzativi identificati nel decreto 231, l’attuale scenario – anche grazie alla laboriosa opera di diffusione di tematiche legate alla prevenzione degli illeciti penali in comparti produttivi – fa ben sperare in un costante e consistente sviluppo della Compliance normativa nei particolari e sensibili ambiti che fanno capo, in particolar modo, ai reati informatici e alla tutela della salute dei lavoratori ritenendo, in tal guisa, “presidiate” le principali aree di responsabilità nei confronti di asset fondamentali di un’azienda.

1 L’evento “vantaggio” fa riferimento alla concreta acquisizione di un’utilità per l’Ente, l’”interesse”, invece, implica soltanto la finalizzazione della condotta illecita, integrante il reato presupposto, verso quella utilità, senza che sia necessario il suo effettivo conseguimento.

2 La nozione di soggetto apicale di un ente viene definita dall’esercizio formale di funzioni di rappresentanza, amministrazione o direzione. Quanto ai dipendenti, non v’è ragione per escludere la responsabilità dell’ente dipendente da reati compiuti da tali soggetti, quante volte essi agiscano appunto per conto dell’ente, e cioè nell’ambito dei compiti ad essi devoluti. In altre parole, con riguardo al rapporto di dipendenza, quel che sembra contare è che l’ente risulti impegnato dal compimento, da parte del sottoposto, di un’attività destinata a riversarsi nella sua sfera giuridica.

3 Sentenza Corte di Cassazione penale sez. III n°15657 /2011 secondo la quale “Poiché è indubbio che la disciplina del D.Lgs. n. 231/2001 si applica alle s.r.l. c.d. ”unipersonali” e che l’organizzazione interna di molte imprese individuali è assai articolata e complessa, una lettura costituzionalmente orientata dell’art. 1, comma 2, del predetto decreto legislativo porta a includere fra gli enti responsabili di reati commessi a loro vantaggio e nel loro interesse anche le imprese individuali onde evitare disparità di trattamento altrimenti ingiustificate.”

4 Applicazione della pena su richiesta delle parti, giudizio direttissimo, giudizio immediato, procedimento per decreto ovvero richiesta di rinvio a giudizio.

5 La sanzione pecuniaria è determinata dal giudice attraverso un sistema basato su quote: l’importo di una quota va da un minimo di 258 € ad un massimo di 1.549 €. La sanzione pecuniaria viene applicata in un numero non inferiore a 100 quote né superiore a 1000 quote.

Sono sanzioni interdittive: l’interdizione dall’esercizio dell’attività;- la sospensione o la revoca di autorizzazioni, licenze, concessioni funzionali alla commissione dell’illecito; il divieto di contrattare con la Pubblica Amministrazione; l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;il divieto di pubblicizzare beni o servizi

6Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.)

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)

Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)

Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.)

Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)

Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)

Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)

Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)

Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)

7 Se le misure adottate non sono idonee ad evitare il danno, il Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza sono tipizzate dal legislatore mentre quelle idonee no, in quanto devono essere scelte dal buon Titolare sulla base della natura dei dati, delle caratteristiche del trattamento e dallo stato dell’arte e della tecnica. Le misure idonee, nel caso non siano soddisfatte, non comportano sanzioni né di carattere penale né amministrativo, ma sottopongono l’azienda al rischio di azione per il risarcimento del danno in caso di danni a terzi a causa della loro mancata applicazione.

GPS AND EMPLOYMENT: CLARIFICATIONS OF THE “ISPETTORATO NAZIONALE DEL LAVORO”

GPS AND EMPLOYMENT: CLARIFICATIONS OF THE “ISPETTORATO NAZIONALE DEL LAVORO”

The reformulation of Article 4 of the Italian Charter of Workers on remote control of employees has created a specific distinction between monitoring procedures, on the one hand through video surveillance installations and other labour systems, and on the other hand through specific instruments used by every worker in order to perform the job and to register access and presence. The reformulated Art. 4 provides for the employer to refer to the first monitoring procedures only through a previous labour union deal or an authorisation by the “Direzioni Terrritoriali del Lavoro” (hereinafter D.T.L), whereas for the second monitoring procedures such authorisations are unnecessary. In both cases, providing workers with adequate information is compulsory in accordance with the Privacy Legislative Decree 196/03, in absence of which every evidence obtained cannot be used.

The issue has been left unsolved with regard to the use of a G.P.S. system1, if it is to be considered or not as a mean used by the employee to offer a working performance, and all that derives from it within the meaning of authorisation requests to the competent organs. Therefore, on 8th November 2016, the “Ispettorato Nazionale del Lavoro” published a notice containing operative instructions on the use of GPS systems in accordance with Article 4, paragraphs 1 and 2, law 300/1970.

The “Ispettorato” clarified how in general the GPS is to be considered an additional element of the working tools, since the localization instrument has further purposes with regard to the performance of duties (insurance, organisation, production or as a guarantee of employees’ safety). It is evident how in such cases, as the GPS does not constitute an essential instrument in order to perform duties, the provisions of paragraph 4 of the same Article apply according to which a deal with unions or a D.T.L. authorisation is necessary.

However, in certain specific occasions, the GPS can be considered as a necessary tool to perform working duties; in such case only a notification to the concerned employees is required. This happens when the localization system permits the concrete and effective feasibility of the working activity, which cannot be performed without the use of a GPS system, or in case such use is requested by specific regulations.

With regard to the latter point, the Court of Cassation, in judgment number 19922 of 5th October 2016, declared illegitimate the dismissal of an employee on the base of distant monitoring performed by the employer through a GPS system installed on the company car. In the specific case, the subject was a private surveillance agency which, through data detected on the GPS, had found that his employee had performed personal tasks instead of the assigned routine rounds.

In the referring case, the company had previously agreed with the labour unions to the use of a GPS system on company cars, excluding its use for employment purposes such as dismissal and disciplinary procedures.

The Supreme Court held that the control put forward by the surveillance company was set as a generalized mechanism ex ante, therefore not to be considered as a “defensive” mechanism. Please note that, if the working performance control is put forward after solid suspects of illegal employee’s behaviour, these are to be considered as “defensive controls” and can be used at court (please refer to my article published on www.dvlegal.it dating 23/08/2016).

Because of the abovementioned considerations, the reformulation of Article 4 of the Workers’ Statute, also in the light of the most recent case law, cannot be considered as a sort of liberalisation of distant control but as a clarification on the modalities of use of systems connected to employment purpose and on the limits on the use of collected data. Therefore, the employer is authorized to perform distant control and to use such data also for disciplinary purposes, but will always need to provide employees with all the safeguards set in the privacy Legislative Decree.

1 The Global Positioning System is a global navigation satellite system (GNSS) that provides geo-location and time information to a GPS receiver in all weather conditions, anywhere on or near the Earth where there is an unobstructed line of sight to four or more GPS satellites. Localization occurs through the transmission of a radio signal from each satellite and the processing of the signals received by the receiver.

GPS E RAPPORTO DI LAVORO: I CHIARIMENTI DELL’ISPETTORATO NAZIONALE DEL LAVORO

GPS E RAPPORTO DI LAVORO: I CHIARIMENTI DELL’ISPETTORATO NAZIONALE DEL LAVORO

La riformulazione dell’articolo 4 dello Statuto dei Lavoratori in materia di controlli a distanza dell’attività lavorativa ha realizzato un distinguo tra controlli effettuati, da un lato tramite impianti di videosorveglianza e altri strumenti di lavoro e dall’altro tramite strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze. Il nuovo art. 4 prevede che l’imprenditore per poter utilizzare i primi debba ricorrere all’accordo sindacale o all’autorizzazione delle Direzioni Territoriali del Lavoro – di seguito D.T.L.), mentre per i secondi tali provvedimenti autorizzativi non sono necessari. In entrambi i casi, è obbligatorio fornire ai lavoratori adeguata informativa ai sensi della legge sulla Privacy (D.lgs. 196/03), in assenza della quale le prove raccolte sono inutilizzabili.

La questione è rimasta aperta con riguardo all’utilizzo del sistema G.P.S.1, ovvero se si ritenga o meno uno strumento utilizzato dal lavoratore per fornire la propria prestazione lavorativa, con tutto ciò che ne consegue in termini di richieste di autorizzazioni agli organi competenti. A tal fine, l’8 novembre 2016, l’Ispettorato nazionale del lavoro2 ha pubblicato una nota contenente indicazioni operative sull’ utilizzazione di impianti GPS ai sensi dell’art. 4, commi 1 e 2, L. n. 300/1970.

L’Ispettorato ha chiarito come in via generale il GPS è considerato un elemento aggiunto agli strumenti di lavoro, in quanto il sistema di localizzazione ha finalità ulteriori rispetto alla prestazione lavorativa (ovvero assicurative, organizzative, produttive o per garantire la sicurezza del lavoro). E’ evidente come in questi casi, non costituendo il GPS un mezzo indispensabile per fornire la prestazione, si applicano le previsioni del comma 1 del citato articolo 4, ovvero è necessario l’accordo con le sigle sindacali o l’autorizzazione della D.T.L.

Tuttavia, in alcune circostanze particolari, il GPS può essere considerato quale strumento necessario a rendere la prestazione lavorativa; in tal caso è necessario solamente fornire l’informativa ai dipendenti. Tale circostanza si verifica qualora il sistema di geolocalizzazione consenta la concreta ed effettiva attuazione della prestazione lavorativa, la quale non possa essere resa senza l’utilizzo del GPS, oppure nel caso in cui tale utilizzo sia richiesto da specifiche normative.

La Corte di Cassazione si è espressa in questo senso con la sentenza n° 19922 del 5 ottobre 2016 dichiarando illegittimo il licenziamento di un lavoratore avvenuto a seguito di un controllo effettuato dal datore di lavoro tramite il GPS installato sull’auto aziendale. Nel caso di specie si trattava di una agenzia di sorveglianza privata la quale aveva riscontrato, tramite i dati rilevati dal GPS, che il proprio dipendente, nonostante dichiarasse di aver effettuato tutti i giri di controllo previsti, in realtà si trovava altrove.

Nel caso in esame l’azienda aveva stipulato anni prima con i sindacati un accordo per l’utilizzo dei GPS sulle vetture aziendali, il quale però ne escludeva l’uso per finalità collegate al rapporto di lavoro, quali appunto il licenziamento ed i provvedimenti disciplinari.

La Suprema Corte ha ritenuto che il controllo effettuato dalla società di sorveglianza fosse configurato come un meccanismo generalizzato ed effettuato ex ante, pertanto non inquadrabile nella categoria dei controlli “difensivi”. Si ricordi che qualora il controllo sull’attività lavorativa sia effettuato a seguito di fondati sospetti di comportamenti illeciti da parte del lavoratore, questi vengono classificati quali “controlli difensivi” e sono ritenuti utilizzabili ai fini probatori (cfr. mio articolo pubblicato sul sito web www.dvlegal.it in data 23/08/2016).

Ed è per le considerazioni sopra esposte che si può ben sintetizzare come la nuova formulazione dell’art. 4 dello Statuto dei Lavoratori, anche alla luce degli orientamenti giurisprudenziali, non rappresenta una sorta di liberalizzazione dei controlli a distanza bensì un chiarimento circa le modalità di uso degli strumenti impiegati ai fini del rapporto di lavoro, oltre a definire i limiti alla utilizzabilità dei dati così raccolti. Ne deriva che, il datore di lavoro è si autorizzato ad eseguire i controlli a distanza ed a utilizzare i dati anche con finalità disciplinari, ma dovrà sempre riconoscere al lavoratore tutte le tutele previste dalla normativa privacy.

1 Il Sistema di Posizionamento Globale è un sistema di posizionamento e navigazione satellitare civile che, attraverso una rete dedicata di satelliti artificiali in orbita, fornisce ad un terminale mobile o ricevitore GPS informazioni sulle sue coordinate geografiche ed orario, in ogni condizione meteorologica, ovunque sulla Terra o nelle sue immediate vicinanze ove vi sia un contatto privo di ostacoli con almeno quattro satelliti del sistema. La localizzazione avviene tramite la trasmissione di un segnale radio da parte di ciascun satellite e l’elaborazione dei segnali ricevuti da parte del ricevitore (fonte: www.wikipedia.com)

2 Per ulteriori informazioni sul nuovo Ispettorato nazionale del Lavoro Link http://www.lavoro.gov.it/stampa-e-media/Comunicati/Pagine/Al-via-attivita-Ispettorato-nazionale-del-lavoro.aspx

Privacy of enterprises: transfer abroad of personal data through a delegate in outsourcing resident in a third country.

Privacy of enterprises: transfer abroad of personal data through a delegate in outsourcing resident in a third country.

Being able to transfer personal data in third countries has become of fundamental importance for companies, given the transversal internationalization of most of the commercial enterprises.

If, on the one hand, Art. 43 of Legislative Decree 196/03 allows data transfer outside national borders with previous express consent by the subject concerned, on the other hand it is quite difficult to assume that a multinational enterprise with thousands of employees is able to acquire everyone’s consent.

Moreover, data is frequently not treated directly by the company itself but, especially with regard to human resources, processed in outsourcing. In such case, what are the controller’s fulfillments when a processor in outsourcing also entrusts such process to a delegate in a third country?

The company can go through the following steps:

  • Presence of an adequacy decision by the European Commission

  • Use of standard contractual clauses predisposed by a decision of the European Commission

  • Adoption of Binding Corporate Rules

  • Adoption of Binding Corporate Rules for the Processor

Currently, the European Commission’s adequacy decisions only involve 13 States: the protection assured with regards to data treatment in such countries is considered to be satisfactory and it is therefore possible to transfer personal data. Lastly, the issue of data transferred to the USA was solved last 12th July with the adoption of the Privacy Shield by the European Commission, already discussed in a previous article of the blog.

The standard contractual clauses are predisposed by the European Commission and, once inserted in the text of a commercial contract, consent data transfer to third countries. These provide for specific technical and organizational safety measures that need to be strictly applied by the delegate of the treatment based in a third country that does not guarantee an adequate level of protection.

The European Commission, with a decision dated 5 December 2010, has decided for the standard clauses’ application in case the controller, resident in Europe, delegates the treatment to a European company which, in turn, subcontracts to a business enterprise based in a third country.

The decision has confirmed that for the processor of data treatment residing in the European Union, it will be sufficient to follow the standard contractual clauses in order to provide adequate guarantees for the transfer to a third country delegate. The contract needs to be subject to the legislation of the member’s residence country in order to guarantee any eventual actions of the interested party on personal data protection.

It goes beyond doubt that the data protection authorities of each Member State need to continue executing their main guarantee role by supervising that personal data is adequately controlled after transfer outside the European Union borders.

The Italian data protection authority has transposed the European Commission’s decision (Gazzetta Ufficiale n.141 of 19th June 2010) and, afterwards, with the measure of 15th November 2012 has given further clarifications on the issue. In particular, it has provided the controller to confer upon the processor residing in the European Union a specific mandate, in accordance with art. 1704 of the Italian Civil Code, for the subscription of specific contractual clauses given by the European Commission; however, the Italian data protection authority has left a choice to the controllers who do not intend exercising the mandate to request the same data protection authority a specific authorization according to art.44, 1st comma of Legislative Decree 196/03.

In its last annual report, the Italian data protection authority has given particular attention to data transfer to third countries. This has underlined the increased use of Binding Corporate Rules (hereinafter BCR), that are being discovered as the most privileged way of transferring data to third countries among groups of enterprises.

Accordingly, the BCR for Processors represent a valid option: these permit transfer, within the same group company, of personal data on which a processor operates for the controllers residing in a European Member State. In such way, the controllers have a guarantee deriving from the presence of BCR for Processors, which prove transfer’s lawfulness carried out by the processor enterprises in outsourcing. For more information on BCR please consult our previous article.

In the light of such drastic increase of personal data transfer to third countries, the Italian data protection authority has focused its inspections on subjects that carry out data transfer abroad, “in order to verify the treatment typos, the security measures adopted, together with the legal conditions, the scope and the modality of personal data transfer in non-EU countries”1.

The new European Regulation on the protection of natural persons with regard to the processing of personal data has provided for a general prohibition, except in the presence of an adequacy decision of the European Commission2. Moreover, the Commission has an obligation to evaluate overall third countries’ legislation with regard to privacy of personal data.

In case of absence of an adequacy decision by the Commission, the controller must compensate such deficiency with adequate guarantees to the interested subject. Such guarantees can consist of the BCR’s application, of standard clauses adopted by the Commission, of clauses regarding data protection adopted by a national supervisory authority or of contractual clauses authorized by a supervisory authority.

Many are the safeguard measures adopted, deriving from national and European legislation as a guarantee of safe transfer to third countries. It is well said that an adequate knowledge and a punctual application of such measures will allow companies to operate, by transferring data in third countries, without many obstacles and without having any limits to their own actions.

2 Recital 103 and art.45 of the EU Regulation 679/2016