|

Aggiungi un segnalibro per cominciare

Ulteriori informazioni
Abstract_Lights_P_0152
30 ottobre 202419 minuti di lettura

Innovation Law Insights

30 ottobre 2024
Data Protection & Cybersecurity  

Il Garante ha pubblicato una sanzione per l'accesso alla posta elettronica dei dipendenti dopo la cessazione del rapporto di lavoro

Il Garante per la protezione dei dati personali ha recentemente sanzionato una società per l'accesso alla posta elettronica aziendale dei propri dipendenti dopo la fine del rapporto di lavoro in violazione dei principi di liceità, minimizzazione e limitazione della conservazione dei dati, nonché della normativa giuslavoristica in materia di controlli a distanza.  

Nel caso di specie, il Garante ha comminato una sanzione di € 80.000, insieme al divieto di continuare a trattare i dati estratti tramite il software di backup delle e-mail per la società ex datrice di lavoro dei dipendenti coinvolti. La vicenda trae, infatti, origine dal reclamo di un ex collaboratore della società sanzionata che ha denunciato al Garante l’accesso alla propria casella di posta elettronica da parte della società al fine di raccogliere delle prove per un contenzioso relativo ad una presunta sottrazione di segreti aziendali.

Ma quali sono le violazioni contestate dal Garante?

Secondo il Garante, la società ha posto in essere un trattamento delle caselle di posta elettronica dei propri (ex) dipendenti in violazione della normativa a protezione dei dati personali per la mancanza di trasparenza dell'informativa privacy rispetto alle verifiche che potevano essere effettuate sulla posta elettronica dei dipendenti e la violazione dei principi di liceità, minimizzazione e limitazione della conservazione, oltre che delle norme sui controlli a distanza.

In particolare, rispetto alla violazione del principio di:

1) trasparenza, il Garante ha ritenuto che l’informativa fornita dalla società era inadeguata e non rispettava i requisiti minimi previsti dal Regolamento UE 679/2016 (GDPR). Nello specifico, l'informativa non informava chiaramente i collaboratori rispetto a:

  • l'esistenza del backup sistematico delle e-mail aziendali e la loro conservazione per tre anni dalla fine della collaborazione con il collaboratore;
  • il motivo per cui i dati venivano conservati per questi tre anni dopo la cessazione del rapporto lavoro, facendo invece riferimento alla generica necessità di “continuità lavorativa”; e
  • la possibilità per la società di eseguire delle verifiche sul contenuto delle e-mail e le modalità per effettuarle.

2) liceità, minimizzazione e limitazione della conservazione,il Garante ha giudicato il periodo di conservazione di tre anni per le e-mail e di sei mesi per i log di accesso come eccessivo rispetto alle finalità di sicurezza e business continuity dichiarate dalla società. Infatti, secondo l'autorità:

  • il software di backup delle e-mail utilizzato dalla società ha consentito un monitoraggio dettagliato delle attività dei dipendenti effettuate sul sistema di posta elettronica, in violazione del divieto di controllo a distanza previsto dall’art. 4 dello Statuto dei Lavoratori, il quale richiede, per controlli così invasivi, l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro competente; e
  • l’accesso alle e-mail degli ex collaboratori, seppur motivato dalla necessità di proteggere i diritti della società, doveva essere limitato a concrete situazioni di contenzioso e non a ipotesi astratte o potenziali.

Come poter, quindi, legittimamente utilizzare le e-mail dei dipendenti come elementi probatori di condotte illecite perpetrate dagli ex dipendenti stessi a danno della società?

Questa decisione rappresenta un riferimento importante per comprendere la posizione del Garante sul tema dell'accesso alle caselle di posta elettronica dei dipendenti per finalità di difesa in giudizio e le potenziali conseguenze di pratiche simili adottate in molte aziende.

Tuttavia, gioca un ruolo fondamentale nelle valutazioni del Garante e nella quantificazione della sanzione:

  • l'aver adottato idonee misure di minimizzazione del trattamento al fine di limitare le indagini svolte su campioni specifici di comunicazioni che sono effettivamente rilevanti per l'esercizio concreto dei diritti (ad esempio, attraverso idonei filtri);
  • il non utilizzo di soluzioni automatizzate per il monitoraggio indiscriminato, in conformità con la normativa giuslavoristica in materia di controllo a distanza;
  • l'esistenza di un fondato sospetto di appropriazione indebita di segreti aziendali, che può motivare, se effettivamente giustificato mirato alla difesa in giudizio, l’accesso alle sole e-mail necessarie a provare la condotta illecita.

In conclusione, questa decisone sottolinea l’importanza per le aziende di predisporre informative sul trattamento dei dati complete e specifiche, soprattutto con riferimento agli eventuali controlli difensivi che possono essere effettuati sulle caselle di posta elettronica, anche successivamente alla cessazione del rapporto di lavoro. Ciò, tuttavia, deve sempre avvenire nel rispetto del divieto di operare un controllo a distanza dei lavoratori secondo quanto previsto dall'art. 4 dello Statuto dei Lavoratori (ovvero adottando idonee misure di minimizzazione del trattamento), al fine di tutelare la dignità dei lavoratori e non pregiudicare i loro diritti e libertà fondamentali.

Su un argomento simile può essere di interesse l'articolo "Il Garante ha aggiornato le linee guida in relazione alla conservazione dei metadati delle e-mail dei dipendenti"

Autrice: Deborah Paracchini

 

L'Italia recepisce il Data Governance Act: le novità del D. lgs. N. 144/2024

Il 25 ottobre 2024 è entrato in vigore il decreto legislativo n. 144/2024, che recepisce il regolamento (UE) 2022/868 ("Data Governance Act") in Italia.

Già pubblicato in Gazzetta Ufficiale il 10 ottobre 2024 e preceduto dai pareri del Garante per la protezione dei dati personali, dell’Agenzia per la cybersicurezza nazionale e dell’Agenzia per l’Italia digitale, il decreto ha l’obiettivo di armonizzare la normativa nazionale con il Data Governance Act, volto a promuovere la condivisione e il riutilizzo dei dati pubblici e privati in modo sicuro e trasparente.

Le novità introdotte dal Data Governance Act

Il Data Governance Act, applicabile dal 24 settembre 2023, è un regolamento europeo che mira a creare un quadro normativo per facilitare il riutilizzo dei dati (personali e non) detenuti da enti pubblici e privati, promuovendo la fiducia e la trasparenza nella condivisione dei dati per finalità di interesse generale.

Tra le principali innovazioni, il Data Governance Act introduce la possibilità (ma non l'obbligo) per la pubblica amministrazione, di condividere dati non coperti dalla precedente disciplina sui c.d. "open data" (Direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico), prevedendo una serie di misure tecniche per garantirne la sicurezza e la riservatezza. In particolare, i dati in possesso della PA dovranno essere sottoposti a misure di pseudonimizzazione e anonimizzazione dei dati, uso di server sicuri e stipula di accordi contrattuali di riservatezza tra l’ente pubblico e il riutilizzatore dei dati. Per favorire la ricerca e lo sviluppo di PMI e start-up, l'accesso e il riutilizzo dei dati è consentito sulla base di tariffe calmierate.

Il Data Governance Act introduce inoltre il concetto di "altruismo dei dati", in base al quale cittadini e imprese possono rendere disponibili i dati da loro generati a vantaggio della collettività e per finalità di interesse generale, come ad esempio per progetti di ricerca scientifica, innovazione tecnologica  e politiche pubbliche. Le organizzazioni che desiderano partecipare a queste iniziative devono rispettare rigorosi requisiti di trasparenza e sicurezza, garantendo che i dati siano protetti, utilizzati eticamente e per finalità non commerciali.

Per incentivare la condivisione e il riutilizzo dei dati, il Data Governance Act ha introdotto inoltre la figura dell’intermediario dei dati. Si tratta di un soggetto che facilita la condivisione e lo scambio di dati tra diversi attori, come aziende, enti pubblici e individui, in qualità di mediatore neutrale, e offrendo garanzie di cybersicurezza e tutela della trasparenza dei flussi di dati. L'intermediario non possiede né controlla i dati, ma fornisce una piattaforma o un servizio che permette alle organizzazioni o ai singoli cittadini di condividerli in modo controllato. Il loro ruolo è cruciale per costruire la fiducia tra le parti coinvolte, assicurando che i dati siano trattati in modo conforme alle leggi e nel rispetto dei diritti degli individui.

Cosa prevede il Decreto 144/2024

Il Data Governance Act, essendo un regolamento europeo, si applica direttamente e obbligatoriamente in tutti i suoi elementi in Italia già a partire dal 24 settembre 2023, con alcune disposizioni transitorie applicabili entro il 2025. Tuttavia, il Data Governance Act stesso ha delegato a ciascun Stato membro il compito di adottare normative nazionali su aspetti specifici. Tra questi, vi è la designazione degli organismi competenti per assistere gli enti pubblici nel concedere o rifiutare l’accesso al riutilizzo dei dati, nonché l’individuazione dell’autorità responsabile per le procedure relative ai servizi di intermediazione dei dati.

Il Decreto di recepimento italiano ha demandato tali funzioni all'Agenzia per l’Italia digitale (AgID), che avrà il compito di gestire le procedure di notifica per i servizi di intermediazione dei dati e sarà responsabile della gestione di uno sportello unico per l’accesso e il riutilizzo dei dati, facilitando la comunicazione tra gli enti pubblici e gli utenti dei dati.

Nell'esecuzione di tali funzioni, l'AgID dovrà collaborare a stretto contatto con altre autorità come l'ACN (Agenzia per la cybersicurezza nazionale), l’AGCM (Autorità garante della concorrenza e del mercato) e il Garante Privacy, anche attraverso la stipula di accordi non onerosi che definiranno le modalità di coordinamento e le competenze specifiche, incluse le modalità di consultazione preventiva.

Da ultimo, il Decreto ha affidato all'AgID un ruolo cruciale nel monitoraggio e nell’applicazione delle regole introdotte dal Data Governance Act, definendo inoltre le sanzioni applicabili in caso di violazione. Ferme restando le sanzioni già previste dal GDPR e la competenza del Garante Privacy per le violazioni in materia di dati personali, il Decreto prevede che l’AgID possa imporre sanzioni amministrative pecuniarie in caso di violazione di vari obblighi del Data Governance Act, come quelli relativi al trasferimento di dati non personali verso Paesi terzi o agli obblighi di notifica per i fornitori di servizi di intermediazione dei dati. Queste sanzioni possono variare da un minimo di 10.000 euro fino a un massimo di 100.000 euro, oppure, per le imprese, fino al 6% del fatturato mondiale totale annuo dell’esercizio precedente.

Nel corso del procedimento sanzionatorio, regolato dal Codice dell'Amministrazione Digitale (CAD), l’AgID dovrà considerare diversi fattori, tra cui la natura, la gravità, l’entità e la durata della violazione, le azioni correttive intraprese, la reiterazione della violazione, i vantaggi finanziari ottenuti dalla violazione e altri fattori aggravanti o attenuanti.

Considerazioni finali

A seguito dell'entrata in vigore del Decreto di recepimento, il raggiungimento degli ambiziosi obiettivi del Data Governance Act verso la creazione di una data economy aperta e trasparente è ora strettamente legata all'attività dell'AgID, che dovrà adottare provvedimenti per facilitare e disciplinare tecnicamente e organizzativamente i meccanismi di condivisione dei dati, garantendone la massima sicurezza.

Elemento cruciale per una efficace implementazione della nuova normativa sarà la cooperazione con il Garante Privacy, per assicurare che la condivisione dei dati avvenga in modo sicuro e conforme al GDPR, evitando che dalle esperienze pratiche di intermediazione e altruismo dei dati emergano conflitti tra le due normative o divergenze tra le pratiche attuabili per i dati personali e i dati non personali.

Su un argomento simile può essere di interesse l'articolo "Il Consiglio UE adotta il Data Act: nuove disposizioni su accesso equo, utilizzo e condivisione dei dati"

Autrice: Marianna Riedo

 

Sports Media & Entertainment

Fatti e Norme Sportive in Discussione: La Sentenza Diarra e le Regole FIFA

La recente sentenza della Corte di Giustizia dell’Unione Europea (conosciuta anche come Sentenza Diarra) avrà un sostanziale impatto sul settore dello sport.

La sentenza trae origine da una questione pregiudiziale sollevata dalla Corte d’Appello di Mons, in Belgio. La vicenda riguarda la compatibilità di alcune disposizioni del "Regolamento FIFA sullo status e trasferimento dei calciatori" (FFTR) con le norme del Trattato sul Funzionamento dell’Unione Europea (TFUE), in particolare con gli articoli relativi alla libera circolazione dei lavoratori (art. 45 TFUE) e alle regole di concorrenza (art. 101 TFUE). Il rinvio alla Corte è avvenuto nell’ambito di un contenzioso tra la FIFA e un calciatore francese, Lassana Diarra, che ha messo in discussione la conformità delle norme FIFA rispetto ai diritti conferiti dal Trattato UE.

Il caso ruota attorno a una questione fondamentale: in che misura le regole della FIFA, che disciplinano la risoluzione anticipata dei contratti tra calciatori e club, siano compatibili con il diritto comunitario. In particolare, Diarra contestava la legittimità delle sanzioni imposte nei confronti dei giocatori che rescindevano il contratto senza giusta causa, e le conseguenze per i club che decidevano di tesserare tali giocatori.

La disputa tra Diarra e la Lokomotiv Mosca ha avuto inizio nel momento in cui il giocatore ha deciso di risolvere il suo contratto unilateralmente per giusta causa. Tuttavia, in base alle regole FIFA, tale azione comportava il pagamento di una significativa indennità a favore del club, calcolata in base al valore rimanente del contratto. Inoltre, la FIFA imponeva sanzioni anche per i club che successivamente avessero ingaggiato il calciatore, rendendo difficile per Diarra trovare una nuova squadra disposta a correre questo rischio.

Nel caso specifico, il club belga Sporting Charleroi aveva manifestato interesse ad ingaggiare il calciatore, ma il mancato rilascio del Certificato Internazionale di Trasferimento (CIT) da parte della Federazione Russa ha impedito la formalizzazione del trasferimento, a causa del contenzioso ancora in corso tra Diarra e la Lokomotiv Mosca.

Nel 2015, la FIFA ha stabilito che Diarra dovesse risarcire la Lokomotiv con una somma pari a 10,5 milioni di euro. Questa decisione è stata confermata dal Tribunale Arbitrale dello Sport (TAS), portando Diarra a citare la FIFA e la Federazione russa davanti alla giustizia belga, con la richiesta di risarcimento per il danno subito a causa delle restrizioni FIFA.

La Corte di Giustizia è stata chiamata a pronunciarsi sulla compatibilità delle norme FIFA con le disposizioni del TFUE. Nell'affrontare il caso, la Corte ha sottolineato l'importanza di esaminare separatamente le questioni relative all'art. 45 (libera circolazione dei lavoratori) e all'art. 101 (concorrenza), poiché ciascuno persegue obiettivi distinti e prevede condizioni di applicazione differenti.

Secondo la Corte, le norme del FFTR che bloccavano il trasferimento dei calciatori in presenza di un contenzioso con il club d'origine violavano l’articolo 45 TFUE, in quanto rappresentavano un ostacolo evidente alla libera circolazione dei lavoratori all'interno del mercato europeo. La semplice esistenza di una controversia impediva al calciatore di trasferirsi, mentre i rischi finanziari e le sanzioni sportive rendevano impossibile per un nuovo club assumerlo.

La Corte ha riconosciuto che alcune limitazioni alla libera circolazione possono essere giustificate per garantire la stabilità dei contratti tra club e calciatori, un elemento ritenuto essenziale per la regolarità delle competizioni sportive. Tuttavia, ha stabilito che le sanzioni imposte dalle norme FIFA erano sproporzionate e favorivano in modo eccessivo gli interessi dei club, rispetto ai diritti dei calciatori.

Sul fronte della concorrenza, la Corte ha stabilito che le norme FIFA costituissero una restrizione della concorrenza, violando così l’articolo 101 TFUE. Tali regole ostacolavano la possibilità per i club di ingaggiare liberamente giocatori, introducendo barriere artificiali che limitavano la concorrenza nel mercato dei trasferimenti.

Una delle questioni sollevate dalla sentenza riguarda la sua possibile portata: si tratta di un giudizio limitato alle specifiche norme sottoposte all'esame della Corte, o la decisione mette in dubbio l’intero sistema di trasferimenti regolato dalla FIFA? Pur se critica verso alcune disposizioni, la Corte non sembra mettere in discussione il principio generale di stabilità contrattuale che regola i rapporti tra club e calciatori, che è alla base del sistema di trasferimenti. Piuttosto, il focus della Corte è stato sulle sanzioni sproporzionate e sugli ostacoli eccessivi alla mobilità dei giocatori.

In conclusione, la sentenza della Corte di Giustizia evidenzia i limiti di alcune disposizioni del regolamento FIFA sul trasferimento dei calciatori, in quanto incompatibili con il diritto europeo in materia di libera circolazione e concorrenza. Tuttavia, la decisione non implica una totale bocciatura del sistema di trasferimenti, riconoscendo che alcune restrizioni possono essere giustificate dalla necessità di garantire la stabilità contrattuale e la regolarità delle competizioni sportive. Sarà comunque necessario un adeguamento delle regole FIFA per garantire una maggiore proporzionalità e trasparenza. La FIFA stessa a seguito della sentenza della CGUE ha già annunciato di essere pronta e decisa nel migliorare la regolamentazione del trasferimento dei giocatori e disponibile al dialogo con i vari stakeholders coinvolti.

Su un argomento simile può essere di interesse l'articolo "Il modello di governance sportiva, il caso Superlega e le relative problematiche legali"

Autore: Vincenzo Giuffrè

 

Technology Media and Telecommunication

Il BEREC ha avviato una consultazione pubblica sulle reti 5G private e pubbliche

Il 3 ottobre scorso il BEREC (Body of European Regulators for Electronic Communications) ha avviato una consultazione pubblica avente ad oggetto la bozza di Report relativo all'evoluzione delle reti 5G private e pubbliche in Europa ("Draft BEREC Report on the evolution of the private and public 5G networks in Europe").

Il Report delinea la visione preliminare del BEREC in merito allo stato dell'arte, alle esigenze e alle questioni regolamentari concernenti lo sviluppo di reti 5G private e pubbliche per quanto di competenza delle autorità nazionali di regolamentazione. Come si legge nel Report, il BEREC lo ha elaborato anche tenendo in considerazione le risposte fornite dalle autorità nazionali competenti in materia di comunicazioni elettroniche ad alcuni questionari loro sottoposti, dalle quali è in particolare emerso che ad oggi sono ancora pochi gli Stati membri che hanno adottato normative ad hoc in materia di reti 5G private.

Il Report oggetto di consultazione è suddiviso in cinque capitoli, che trattano i seguenti temi:

  1. innanzitutto, il Report riporta alcune considerazioni di carattere generale ed espone i motivi per cui, ad avviso del BEREC, è necessario analizzare l'evoluzione delle reti 5G private e pubbliche, quali l'evidente esigenza di un'armonizzazione a livello europeo della regolamentazione applicabile alle reti 5G, alla luce della frammentazione negli approcci normativi da parte dei vari Paesi europei;
  2. la bozza di Report chiarisce poi le definizioni di "reti private" (private networks), "reti mobili private" (private mobile networks) e "reti non pubbliche" (non-public networks) che il BEREC intende utilizzare ai fini del Report stesso e illustra l'architettura tecnica delle reti, lo stato della regolamentazione dello spettro radio utilizzato dalle reti private nei vari Paesi europei, facendo riferimento anche alle bande di frequenze dello spettro radio sulle quali vengono operate le reti mobili private;
  3. il Report dedica il terzo capitolo al tema delle risorse di numerazione – in merito al quale vengono poste ai partecipanti della consultazione pubblica specifiche domande – trattando, in particolare, le modalità di gestione di tali risorse, le difficoltà riscontrate e le misure adottate dagli Stati per garantire risorse di numerazione univoche per le reti mobili private ed evitare interferenze con altre reti;
  4. è poi analizzato il tema riguardante i fattori trainanti l'implementazione delle reti private, in riferimento al quale i partecipanti alla consultazione pubblica sono invitati a rispondere a specifiche domande. Il Report riporta in proposito alcuni case studies, chiarendo che il BEREC ritiene necessario analizzare i motivi sottostanti l'implementazione delle reti mobili private, individuati, tra gli altri, nei vantaggi che i servizi 5G offrono da un punto di vista tecnologico in termini di performance e nella necessità di digitalizzazione delle imprese.
  5. l'ultimo capitolo del Report riporta le conclusioni del BEREC alla luce dell'analisi svolta nei capitoli precedenti. Il BEREC ritiene fondamentale un'analisi in merito allo sviluppo delle reti 5G private anche alla luce della constatazione che i Paesi europei hanno adottato approcci diversi tra loro, in particolare nell'assegnazione di risorse di numerazione e di risorse spettrali per tali reti.

L'obiettivo del BEREC, all'esito della consultazione pubblica, è quello di elaborare un report finale destinato alle autorità nazionali di regolamentazione che illustri i seguenti temi: (i) l'estensione di utilizzo delle reti 5G pubbliche e private in Europa; (ii) i profili riguardanti le numerazioni che siano di interesse per le reti 5G private nonché il tipo di risorse di numerazioni di cui queste reti potrebbero avere necessità e di cui potrebbero fare richiesta; (iii) i motivi sottostanti l'implementazione delle reti 5G private; (iv) l'evoluzione delle reti 5G private; (v) i rapporti tra le reti 5G private e pubbliche.

Su un simile argomento può essere interessante l’articolo “Consultazioni pubbliche del BEREC in tema di interconnessione IP, roaming machine-to-machine e regime di autorizzazione generale”.

Autori: Massimo D'Andrea, Flaminia Perna, Matilde Losa

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Gabriele Cattaneo, Noemi CanovaGabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia FeolaLaura Gastaldi, Vincenzo GiuffréNicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico ToscaniGiulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

Consumer Goods, Food and RetailLife SciencesMedia, Sport and EntertainmentTechnologyIntellectual Property
    Cookie PolicyNote legaliModern SlaveryPrivacy PolicyWhistleblowingMappa del sito

    DLA Piper è uno studio legale internazionale che opera attraverso diversi soggetti giuridici distinti e separati. Per ulteriori informazioni su tali soggetti e sulla struttura di DLA Piper, si prega di fare riferimento alla pagina delle Note legali su questo sito Internet. Tutti i diritti riservati. Avviso legale.

    © 2024 DLA Piper