Progetti in materia di privacy, con un budget compreso tra un minimo di tre e un massimo di cinque milioni di euro. E soluzioni rivolte alla sicurezza dei semplici cittadini o delle Pmi e delle microimprese, per consentire una migliore gestione dei processi di trattamento dei dati, soprattutto alla luce dei molti interventi regolatori intervenuti negli ultimi anni.

È questo l’oggetto di un bando Horizon 2020 in scadenza ad agosto per il quale serve, però, una lunga programmazione, vista la grande complessità delle proposte da preparare: si parla, ad esempio, di software per la sicurezza disegnati secondo il modello «open source».

Gli ultimi anni hanno visto l’Unione europea impegnata in una vasta attività di normazione in tema di sicurezza dei dati e delle informazioni.  Tra le varie norme appare il caso di ricordare la direttiva 2016/1148 (la cosiddetta «Nis»), che contiene misure per un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione, la direttiva 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate, e il più noto regolamento 2016/679 (il cosiddetto «Gdpr»), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.  Quest’ultimo, nello specifico, ha imposto ai titolari del trattamento l’adozione di misure tecniche e organizzative mirate ad assicurare una maggiore sicurezza nella gestione dei dati personali dei soggetti interessati al trattamento.

Se le grandi imprese hanno, di norma, una struttura tale da poter maturare al proprio interno consapevolezza in merito ai rischi connessi al trattamento dei dati personali ed approntare le necessarie contromisure, lo stesso discorso non può essere sempre fatto in relazione alle Pmi ed alle micro imprese che - a discapito della loro struttura – si trovano spesso a trattare una mole crescente di dati riconducibili a cittadini dell’Unione europea. Questi ultimi si trovano, conseguentemente, a gestire con crescente difficoltà i processi di prestazione del consenso in relazione ai propri dati personali, non potendo sempre comprendere quali dati sono trattati dalle imprese e con quali modalità.

Tramite il bando Horizon 2020 «Topic: Digital security and privacy for citizens and Small and medium enterprises and Micro enterprises», la Commissione europea si impegna a finanziare singoli progetti - ciascuno con budget compreso tra i 3 e i 5 milioni di euro - che abbiano ad oggetto la protezione della riservatezza e della sicurezza dei dati personali dei cittadini europei, ovvero che propongano soluzioni rivolte alle Pmi e microimprese che consentano a queste una migliore gestione dei processi di trattamento.

La scadenza del bando è fissata per il 22 agosto 2019 e il budget totale destinato alla misura è di 18 milioni di euro.  Il bando è aperto a tutte le persone giuridiche, enti e associazioni che direttamente o indirettamente sono coinvolti nella gestione sicura di dati personali.

Con riferimento al primo tema, le proposte dovrebbero portare soluzioni innovative volte ad aiutare i cittadini a monitorare e controllare la sicurezza e la riservatezza del trattamento, ed essere più tutelati a livello di sicurezza informatica.

In relazione al secondo tema, le proposte dovrebbero indicare soluzioni finalizzate alla condivisione delle conoscenze e delle soluzioni in materia di sicurezza da parte delle grandi imprese nei confronti delle micro, piccole e medie imprese.

Quest’ultimo tema appare certamente molto interessante, specialmente nel mercato italiano. Tra le soluzioni che potrebbero essere proposte all’interno dei progetti vi sono quelle legate alla realizzazione di software per la sicurezza secondo il modello del software libero – che consente la partecipazione collaborativa e paritaria di tutti i soggetti coinvolti nella progettazione – e quelle basate su modelli di Open educational resources.

AdA

Scarica il bando

fonte Sole24Ore 10/19 SB e DS

Il punto debole della tecnologia? Le persone. Anche negli studi professionali le strategie di difesa dagli attacchi informatici e dai furti di dati si basano - oltre che sulle protezioni tecnologiche - soprattutto sulla formazione del personale. Ed è proprio il training il capitolo più corposo delle linee guida per la cybersecurity negli studi legali elaborate dall’Iba (International bar association), l’ associazione che riunisce i legali di tutto il mondo.

L’obiettivo di partenza è quello di tutelare le realtà professionali medio-piccole, compresi i singoli professionisti, che non hanno né la disponibilità economica né la preparazione tecnica per dotarsi di strumenti potenti in grado di fronteggiare gli attacchi degli hacker. «Gli studi più piccoli tendono a considerarsi bersagli minori di questi attacchi - si legge nel documento - ma al contrario gli hacker hanno proprio loro nel mirino perché sanno che le loro difese sono più facili da aggirare».
Anche per questo motivo le linee guida Iba suggeriscono agli studi legali (ma di fatto il consiglio si adatta a qualsiasi altra professione) di investire piuttosto nella formazione del personale, che ha costi più contenuti e risultati duraturi nel tempo.

Diffuse già in versione cartacea durante il congresso Iba a Roma in ottobre, ora le linee guida sono disponibili sul sito in versione “personalizzabile”. Incrociando i dati relativi alla dimensione dello studio e alla tipologia di intervento si può cioè ottenere uno schema su misura con i suggerimenti di azioni da intraprendere, sempre graduate a seconda della grandezza dimensionale. Ovviamente quello che per una piccola realtà è solo auspicabile, per una media struttura (che nel modello Iba equivale a uno studio con più di 40 persone) può diventare obbligatorio.

Secondo le linee guida il training del personale deve partire dall’uso corretto delle password, comprese quelle personali. Al di là delle raccomandazioni più ovvie sulla necessità di non trascriverle su fogli accessibili, o di evitare l’uso di nomi e dati personali per costruirle, il documento fornisce anche suggerimenti meno consueti. Al personale viene raccomandato innanzitutto di distinguere le password private da quelle di lavoro evitando il riuso su più siti. Se poi si deve accedere a un sito in modo solo occasionale meglio inventare una sequenza casuale di caratteri e puntare in caso di un secondo accesso sul reset, piuttosto che sulla memorizzazione.

Da tenere sotto controllo anche tutto ciò che viene postato dai professionisti o dai dipendenti sui social media. Non tutti realizzano, ad esempio, che persino le foto dell’ufficio possono fornire agli hacker (e non solo) una miniera di informazioni sulla dislocazione fisica degli spazi. Anche per quanto riguarda l’arrivo di mail sospette, il personale andrebbe istruito in dettaglio. Non solo con l’invito a non aprire allegati o cliccare su link pericolosi: lo studio potrebbe fare un passo avanti se chiedesse allo staff di non cancellare la mail ma di segnalarla magari creando un indirizzo dedicato. Questo permetterebbe agli esperti di analizzare meglio i rischi ma anche - si legge nelle note - «di capire come hanno fatto certe mail sospette a superare le barriere di sicurezza». Per verificare il grado di preparazione del personale si potrebbe anche simulare un test con una finta mail di phishing o sospetta. A costi contenuti.

Decisamente abbordabili anche per i piccoli studi le azioni di miglioramento delle password e di introduzione di autenticazioni multilivello (considerate indispensabili sulle applicazioni più comuni quali Gmail, Yahoo, LinkedIn etc). La creazione di una policy aziendale per la cybersecurity è un processo che secondo l’Iba dovrebbe essere risparmiato solo al professionista singolo, mentre a tutti si consiglia di proteggersi attraverso una polizza assicurativa che può aiutare a coprire le spese oltre che della perdita dei dati anche legate alla violazione della privacy, al contenzioso e alla diminuzione degli incassi. Così come tutti sono invitati a identificare quali dati sensibili sono trattati dallo studio e a quale livello di protezione. Ma in questo caso l’obbligo è già scritto nero su bianco nelle leggi.

AdA

fonte Sole24Ore 6/19 VU

Scarica le linee guida IBA (International bar association)

D’ora in poi, pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione avranno uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati. Il Garante per la privacy ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto. L’elenco recepisce le osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere.

La valutazione di impatto è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità - può presentare un  rischio elevato per i diritti e le libertà delle persone.  Nell’elenco il Garante ha indicato, tra gli altri,  trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco, in corso di pubblicazione nella Gazzetta ufficiale, non è esaustivo ed è stato adottato applicando il “meccanismo di coerenza”, uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea.

Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che Pa e aziende hanno  l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto. Tra i criteri individuati nelle Linee guida figurano, ad esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un  contratto.

AdA

Il Garante della Privacy ha reso disponibile una scheda informativa e di sintesi sui principali diritti di cui beneficia una persona previsti dal Regolamento (UE) 2016/679.

In merito all’accesso, l’interessato ha il diritto di sapere se è in corso un trattamento di dati che lo riguardano e - se confermato - di ottenere una copia di tali dati ed essere informato su: l'origine dei dati; le categorie di dati personali trattate; i destinatari dei dati; le finalità del trattamento; l’esistenza di un processo decisionale automatizzato, compresa la profilazione; il periodo di conservazione dei dati; i diritti previsti dal Regolamento.

L’informativa, inoltre, elenca le modalità utili per esercitare i diritti elencati attraverso il facsimile di un modulo. Il titolare del trattamento una volta sollecitato dovrà rispondere entro un mese o richiedere una proroga per farlo di un massimo di due mesi. In caso di risposta non soddisfacente la persona può inviare un reclamo al Garante o all’Autorità giudiziaria ai sensi dell’art. 77 del Regolamento.

AdA

Scarica la scheda informativa e di sintesi

Il decreto di adeguamento al regolamento Gdpr (Dlgs 101/2018) recepisce in toto la nozione di «dato personale» in continuità con la precedente legislazione Ue. Pertanto, sono da ritenersi attuali le elaborazioni concettuali e le applicazioni maturate prima del Dlgs 101/2018 e del Gdpr, con riguardo all’opinione n. 4/2007 del «Gruppo di lavoro ex art. 29».

L’articolo 4, n. 1, del Gdpr definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». L’identificazione/identificabilità dell’interessato è un requisito essenziale: non basta l’astratto collegamento del dato con una persona, ma occorre che quest’ultima sia singolarmente identificata o almeno possa esserlo; altrimenti, l’informazione rimane anonima e, quindi, estranea alle tutele del Regolamento. Malgrado l’apparente chiarezza della norma, nella pratica quotidiana ci si interroga su cosa vada realmente considerato «dato personale» in un determinato contesto.

Per consolidata impostazione, non occorre arrivare a conoscere il nome della persona, ma è sufficiente che questa venga distinta dagli altri membri di un gruppo. Ne deriva l’equipollenza, quanto alla nozione di dato personale, tra nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi – anche se detenuti da titolari diversi – ugualmente dotati di attitudine distintiva (immagini, suoni, codice identificativo, descrizione, «l’uomo vestito di nero al semaforo»). Nemmeno rileva che la persona sia individuabile da chiunque: ciò che determina l’applicazione delle tutele privacy e data protection è, invece, che essa possa essere distinta o riconosciuta con ragionevole probabilità almeno da qualcuno. Inoltre, dalla premessa che solo alcuni soggetti siano in grado di individuare l’interessato non deriva la conseguenza che una certa informazione sia «dato personale» solo rispetto a costoro, e non agli altri: questo implica che il titolare del trattamento potrebbe anche non conoscere l’identità dell’interessato, né avere modo di determinarla.

Nelle più complesse ipotesi, il collegamento tra identificativo e persona fisica non si configura in termini di certezza bensì di mera possibilità (ad esempio, l’immagine del volto di un soggetto non ancora identificato, ma che possa esserlo). Secondo l’articolo 4, n. 1, Gdpr «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente», ossia, secondo l’interpretazione del Gruppo ex art. 29, attraverso un collegamento dell’identificativo rispetto alla persona fisica di tipo immediato (nome) o mediato (codice fiscale), il quale ultimo consente l’identificazione soltanto attraverso un’operazione ulteriore (confronto con specimen, registri o elenchi).

Ai fini della nozione di identificabilità è essenziale il criterio della «ragionevole probabilità», nel senso che non ha pregio qualsiasi identificazione possibile, bensì, secondo il Considerando n. 26 Gdpr, solo quella a cui si possa pervenire tenendo conto dei mezzi che è probabile verranno utilizzati dal titolare o da un terzo.

La «ragionevole probabilità» va intesa come probabilità «qualificata», ossia con un margine di verificazione apprezzabile. Il legislatore Ue fornisce parametri di riferimento alla stregua dei quali determinare se l’utilizzo dei mezzi di identificazione appaia o no ragionevolmente probabile: per il Considerando n. 26 occorre guardare all’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili, sia degli sviluppi tecnologici. Nella valutazione del rischio, il Gruppo ex art. 29 suggerisce un approccio ex ante, integrato da verifiche periodiche, che tengano conto dello stato dell’arte e del mutamento dei contesti rilevanti: in particolare, per stabilire se le informazioni in suo possesso soggiacciono alla disciplina del Gdpr e della normativa interna, il titolare del trattamento deve valutare in ottica prognostica ogni fattore (tipologia dei dati trattati, finalità del trattamento, interessi di terzi a conoscerli ecc.) potenzialmente idoneo a incidere sulla ragionevole probabilità che altri pervengano all’identificazione dell’interessato. È il caso delle immagini della videosorveglianza, che vanno sempre considerate dati personali in quanto la finalità del trattamento è proprio quella di pervenire all’identificazione degli interessati laddove necessario; e ciò ancorché, nella pratica, non tutti i soggetti ripresi siano identificabili.

AdA

Fonte IlSole24Ore 272/18 RB

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. 

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

AdA

Scarica il Registro

Il Garante per la protezione dei dati personali rende disponibile una versione del regolamento (UE) 2016/679 aggiornata alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018.

Per facilitare una fruizione più ampia e ragionata del testo, articoli e paragrafi del Regolamento riportano inoltre tra parentesi i rispettivi “Considerando”, laddove esistenti, indicati con l’abbreviazione “C” e il numero corrispondente.

AdA

Scarica il documento

Il 19 settembre è entrato in vigore il decreto legislativo 101 che ha coordinato le vecchie norme nazionali in materia di riservatezza con il sistema introdotto dal regolamento Ue 679 (il cosiddetto Gdpr), diventato operativo il 25 maggio. Dunque, gli operatori pubblici e privati avranno tutti gli strumenti per muoversi tra i nuovi obblighi - a cominciare dalle procedure per il condono delle vecchie sanzioni, il cui pagamento va effettuato entro il 18 dicembre - anche se la navigazione si preannuncia complicata.

E questo per almeno due motivi. Per la complessità dell’apparato normativo, costituito dal Gdpr (che rappresenta il principale punto di riferimento) e dal decreto 101, che a sua volta si compone di due parti: le regole che vivono di vita propria e le modifiche al vecchio codice della privacy (il decreto legislativo 196 del 2003). Queste ultime rappresentano la materia più consistente del decreto. L’altra difficoltà è rappresentata dalla definitezza del nuovo sistema, che è tale solo in apparenza. All’appello mancano, infatti, ancora parecchi passaggi da compiere, a cominciare dalla ricognizione dei codici deontologici (come quello dei giornalisti o delle investigazioni difensive; si veda la scheda a fianco) e delle autorizzazioni generali: in entrambi i casi si deve appurare la loro compatibilità con la nuova privacy. Compito che spetta al Garante.

Per l’Autorità guidata da Antonello Soro si prospettano mesi di fuoco, perché dovrà gestire anche il contenzioso pregresso, occuparsi del condono delle sanzioni comminate prima del 25 maggio e, allo stesso tempo, monitorare l’applicazione del Gdpr, cercando, però, di non calcare troppo la mano. E questo in ottemperanza al periodo di rispetto di otto mesi imposto dal decreto 101, così da dare a imprese e pubbliche amministrazioni il modo di prendere le misure con i nuovi obblighi. Scatta per l’Autorità un fitto calendario di adempimenti che si concluderà a dicembre del prossimo anno, quando dovrà chiudere il registro dei trattamenti che finora ha gestito e che il Gdpr ha reso obsoleto. E ciò al netto di altri compiti che non prevedono una scadenza ma che spetta sempre al Garante portare a termine, come il regolamento sull’organizzazione e il funzionamento del proprio ufficio o le linee guida per semplificare la vita alle piccole e medie imprese.

L’urgenza maggiore è, tuttavia, rappresentata dalla revisione di cinque dei sette codici deontologici (per gli altri due c’è più tempo) e delle diverse autorizzazioni generali. Operazione che deve compiersi nei prossimi mesi e che prevede, in una prima fase, la verifica da parte del Garante della compatibilità di quei provvedimenti con il nuovo quadro normativo sulla privacy e, successivamente, la sottoposizione dei nuovi testi a una consultazione pubblica.

Altro capitolo da affrontare nell’immediato è quello della trattazione dei vecchi ricorsi, reclami e segnalazioni e il condono riservato a determinati tipi di violazioni che al 25 maggio risultavano non ancora definite con l’adozione dell’ordinanza-ingiunzione da parte del Garante. In quel caso, gli interessati potranno usufruire del pagamento della sanzione in misura ridotta (due quinti del minimo edittale), versamento da effettuare entro il 18 dicembre.

AdA

Fonte Sole24Ore 256/18 AC

Pubblicato in Gazzetta Ufficiale del 4 settembre 2018 il decreto legislativo n. 101 del 10 agosto 2018 sulla privacy per l’adeguamento al GDPR. Le regole entreranno in vigore il prossimo 19 settembre.

Il decreto attuativo di armonizzazione delle regole sulla privacy al Regolamento UE 2016/679 recepisce le numerose novità in materia di tutela dei dati personali stabilite dal GDPR e conferma le misure di semplificazione per le micro, piccole e medie imprese, per le quali dovrà tuttavia esprimersi il Garante per la protezione dei dati personali, promuovendo modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Chiarimenti anche in materia di sanzioni amministrative e penali previste in caso di violazione delle novità previste dal GDPR.

AdA

Scarica il decreto legislativo n. 101 del 10 agosto 2018

Tutela dei dati aziendali rafforzata. Nell’interpretazione dei giudici, infatti, hanno assunto via via rilevanza disciplinare non solo le più classiche ipotesi di divulgazione di informazioni riservate all’esterno del perimetro aziendale, ma anche le condotte che – seppur non si concretizzino in un danno all’attività datoriale – ledono comunque le prerogative di riservatezza del datore di lavoro, il cui perimetro è da interpretarsi in senso ampio ed elastico ricomprendendo anche informazioni e dati non protetti e nella disponibilità del lavoratore.

Nell’ampia giurisprudenza sull’appropriazione dei dati aziendali da parte del lavoratore, particolare importanza assume la pronuncia della Corte di cassazione n.25147 del 20 ottobre, relativa a un dipendente che aveva ricopiato su una chiave Usb una mole consistente di documenti aziendali. I giudici hanno stabilito che é legittimo il licenziamento del dipendente e ciò indipendentemente dalla protezione delle informazioni attraverso una password e dalla loro divulgazione a terzi perché questa condotta viola il dovere di fedeltà sancito dall’articolo 2105 del Codice civile.

Questa decisione acquisisce particolare rilevanza alla luce dell’entrata in vigore del Gdpr che ha introdotto più stringenti adempimenti in materia di trattamento e sicurezza dei dati personali, ponendo così una rinnovata attenzione sul tema della riservatezza in ambito aziendale. In particolare, dato l’obbligo in capo alle aziende di porre in essere specifiche misure per garantire la sicurezza dei dati oggetto di trattamento (pena l’applicazione di esose sanzioni) si pone la necessità di individuare puntualmente le condotte dei dipendenti lesive degli obblighi di riservatezza e quindi rilevanti sotto il profilo disciplinare.

La sentenza si pone nell’ambito della giurisprudenza relativa ai casi in cui il lavoratore si appropri di informazioni aziendali; in questo contesto, tuttavia, non sempre è chiaro quando risulti integrata la violazione dell’articolo 2105 Codice civile, in particolar modo con riferimento sia alla natura dei dati/informazioni rilevanti, che alla necessità o meno di una divulgazione degli stessi. Nel caso di specie, il giudice ha interpretato i suddetti requisiti nel senso dell’irrilevanza sia della natura non riservata delle informazioni apprese che della mancata divulgazione delle stesse: la circostanza che per il dipendente l’accesso ai dati fosse libero, infatti, non lo autorizzava ad appropriarsene creandone copie idonee a far uscire le informazioni al di fuori della sfera di controllo del datore di lavoro. Pertanto, la condotta del dipendente integrava violazione del dovere di fedeltà sancito dall’articolo 2105 Codice civile che si sostanzia nell’obbligo del lavoratore di astenersi da attività contrarie agli interessi del datore di lavoro, tali dovendosi considerare anche quelle che, sebbene non attualmente produttive di danno, siano dotate di potenziale lesività.

Nella stessa direzione si pone una pronuncia della Corte di Cassazione (13 febbraio 2017, n. 3739) avente ad oggetto il caso di un lavoratore che si era abusivamente impossessato di appunti contenenti informazioni confidenziali, con la finalità di trasmetterle a un concorrente. In tale ipotesi, chiarivano i giudici, era irrilevante che la divulgazione all’esterno non fosse avvenuta perché impedita dall’intervento del datore di lavoro, dovendo ricondursi al dovere di fedeltà anche situazioni che non presentino tutti i requisiti dell’articolo 2105 Codice civile, atteso che il contenuto del suddetto obbligo è più ampio, dovendosi integrare questa norma con gli articoli 1175 e 1375 Codice civile, che impongono al lavoratore condotte rispettose di canoni generali di correttezza e buona fede.

Con riferimento alla natura delle informazioni violate, un’interessante pronuncia di merito (Corte di appello di Ancona, 9 gennaio 2012, n. 1136) ha specificato come le informazioni la cui apprensione è rilevante ai fini della sussistenza della suddetta violazione sono quelle relative alle modalità produttive e al “know how” dell’azienda che - per il loro apporto e originalità - il datore di lavoro abbia interesse a preservare.

Dinanzi a tale inadempimento, proseguiva la Corte, le eventuali intenzioni del lavoratore, se non corroborate da circostanze obiettive, rilevano ben poco al fine di escludere la sussistenza di una condotta avente rilevanza disciplinare: infatti, seppur la valutazione delle intenzioni del lavoratore non può essere elusa, in quanto necessaria al fine di un corretto esercizio del potere disciplinare, tuttavia la violazione dei canoni di riservatezza costituisce di per sé un inadempimento, indipendente dal possibile esito di un “processo alle intenzioni”.

AdA

fonte Sole24Ore 180/18 VP