Se una persona fa una donazione di una casa, quando lui dovesse morire, il donatario erediterà anche i debiti? 

La questione merita una più attenta riflessione perché sono stati confusi concetti tra loro differenti: quello della donazione e quello del legato. Facciamo un po’ di chiarezza sul punto.

Quando bisogna restituire le donazioni in vita?

Le donazioni fatte da una persona quando era ancora in vita possono essere contestate dagli eredi, dopo la sua morte e non oltre 10 anni da essa, solo se questi ha lasciato ai familiari più stretti una quota inferiore di quella loro riservata dalla legge (la cosiddetta «quota di legittima»). 

Gli eredi che possono contestare la donazione sono chiamati «eredi legittimari» e sono unicamente il coniuge e i figli (o, in assenza dei figli, i genitori).

Se, dunque, uno degli eredi legittimari dovesse accorgersi che, alla divisione del patrimonio ereditario, la sua quota di legittima è stata lesa potrebbe mettere in discussione il testamento e le donazioni fatte dal defunto quando ancora era in vita. Sicché, il beneficiario della donazione dovrà restituire il bene che aveva ricevuto a suo tempo dal defunto. 

Tale azione può, come detto, essere esercitata non già quando il donante è ancora in vita ma solo dopo la sua morte ed entro massimo 10 anni dall’apertura della successione. L’erede legittimario che assuma di essere stato leso dovrà però considerare le eventuali donazioni che anch’egli abbia ricevuto dal defunto prima che questi morisse, perché anche queste concorrono al calcolo della quota di legittima spettategli.

Chi risponde dei debiti del defunto?

A rispondere dei debiti del defunto sono solo i suoi eredi, ossia coloro che, chiamati alla successione, fanno la cosiddetta «accettazione dell’eredità». Prima dell’accettazione dell’eredità nessun familiare può essere oggetto delle pretese dei creditori del defunto.

Dall’erede bisogna distinguere la figura del legatario: colui cioè che non subentra in una quota dell’intero patrimonio del defunto ma che, col testamento, riceve solo uno specifico bene da questi. I legatari non rispondono dei debiti del defunto, benché abbiano comunque preso parte, in qualche modo, alla spartizione del relativo patrimonio. Ne rispondono solo se i creditori non siano riusciti a far valere le proprie pretese nei confronti degli eredi e pur sempre nei limiti del valore del bene ricevuto in legato.

Chi riceve una donazione risponde dei debiti del defunto?

Chi riceve una donazione non può mai rispondere dei debiti del defunto, in alcun caso. In questo è possibile ravvisare la profonda differenza tra l’istituzione di un erede o di un legatario da un lato e il beneficiario della donazione dall’altro.

Vero però è che se il donante ha eseguito la donazione in vita per sfuggire ai creditori ed evitare che questi potessero pignorare il bene in questione, tale trasferimento può essere revocato dai creditori stessi entro 5 cinque anni dalla trascrizione del rogito nei pubblici registri immobiliari. È la cosiddetta azione revocatoria. Ma una volta decorsi i cinque anni, la donazione si “solidifica”: diventa cioè definitiva e non comporta alcun rischio per il donatario.

Cosa rischia il donatario alla morte del donante?

Il donatario, alla morte del donante, rischia solo di subire l’azione di riduzione (o «lesione della legittima») intrapresa dagli eredi legittimari del defunto (coniuge, figli o genitori) nel caso in cui questi non abbia rispettato le relative quote di legittima. Ma non può mai subire un’azione di rivalsa da parte dei creditori o degli stessi eredi che, proprio in virtù di tale veste, si siano trovati a dover far fronte alle pretese dei creditori del defunto. 

Nelle cause risarcitorie derivante dalla responsabilità medica al paziente spetta dimostrare il nesso di causa tra la condotta del medico e il danno riportato, al medico invece di aver rispettato pienamente le leges artis o le best practices

La prova del nesso di causa è a carico del paziente

La donna che dopo un intervento di mastoplastica additiva, rileva la presenta di un inestetismo, consistente nella lieve asimmetria del seno, deve dimostrare, se vuole ottenere il risarcimento, il nesso di causa tra la condotta e il danno riportato. La stessa non può limitarsi a richiamare le conclusioni, tra l'altro non totalmente a suo favore, della ATP effettuata a distanza di quasi nove anni dall'intervento. Occorrono prove maggiori ai fini dell'accoglimento della domanda risarcitoria da responsabilità medica. Queste le conclusioni del Tribunale di Reggio Emilia nella decisione del 16 febbraio 2022.

Asimmetria mammaria dopo mastoplastica additiva

Una donna si sottopone a un intervento di chirurgia estetica al seno. A distanza di otto anni e mezzo promuove un accertamento tecnico preventivo art. 696 c.p.c nei confronti del medico che l'ha operata e del Centro medico presso cui l'intervento è stato eseguito, ritenendo la sussistenza della colpa medica e chiedendo la relativa quantificazione dei danni subiti.

In seguito la paziente promuove giudizio di merito sempre verso la struttura e il medico perché l'accertamento ha dimostrato la erronea esecuzione dell'intervento che ha prodotto inestetismi derivanti dalla diversa forma e dimensione delle due mammelle. Chiede quindi a titolo di risarcimento la somma di Euro 3.900,30.

Il Centro medico resiste in giudizio (contumace il medico) e contesta la domanda perché la leggera asimmetria mammaria è frutto di una complicanza che è stata ben descritta alla paziente, che quindi ne era a conoscenza.

Non spetta il risarcimento al paziente che non prova il nesso

Il Tribunale di Reggia Emilia chiamato a pronunciarsi precisa prima di tutto che: "spetta innanzitutto al paziente provare il nesso causale tra l'insorgere della patologia e la condotta del medico; solo in un secondo momento, laddove il paziente abbia dato prova di tale ciclo causale, il sanitario deve provare il pieno rispetto delle leges artis o comunque delle best practices, evidenziando la causa non imputabile che gli ha reso impossibile fornire la prestazione corrispondente ai canoni di professionalita? dovuti."

Ne consegue che se la causa del danno è incerta perché il paziente non prova il nesso tra condotta del medico e patologia, il giudice non può che rigettare la domanda.

Passando quindi all'esame del caso di specie, il Tribunale rileva che l'accertamento tecnico preventivo effettuato a distanza di quasi nove anni e in assenza di documentazione intermedia prodotta da parte attrice ha reso difficile l'espletamento della procedura peritale, la quale ha concluso per il danno si è verificato probabilmente per la "contrattura capsulare, evento prevedibile ma non prevenibile dai Sanitari, per cui non sarebbe rilevabile alcuna censura."

In sostanza dall'ATP è emerso che i modesti inestetismi quantificati nella percentuale dello 2,5% di danno biologico non sono sicuramente riconducibili alla colpa medica e che la lieve dismorfia è frutto di una contrattura capsulare, prevedibile ma non prevenibile.

La difesa di parte attrice tuttavia, nonostante tali incertezze, nulla ha osservato al riguardo, per cui la domanda deve essere rigettata, con conseguente condanna alle spese di lite in favore del Centro medico costituitosi.

E' perseguibile chi viola l'altrui sfera sessuale nel Metaverso? Il caso di Horizon Worlds in cui l'avatar di un'utente ha subito palpeggiamenti

Molestie sessuali online e loro punibilità

Nuove frontiere digitali, nuovi contesti in cui può esprimersi l'umana idiozia. Il caso di una donna vittima di molestie sessuali in un ambiente di realtà virtuale apre nuovi interrogativi nel mondo del diritto.

L'obiettivo è comprendere se comportamenti che sarebbero punibili nella realtà possano esserlo anche quando sono tenuti in contesti completamente digitali, virtuali, immateriali.

Il caso Horizon Worlds: utente "palpeggiata" nel Metaverso

Il caso incriminato si è verificato sulla piattaforma Horizon Worlds, afferente alla società Meta di Mark Zuckerberg (quello di Facebook, per intenderci).

Tale piattaforma ricrea un ambiente completamente virtuale, il cosiddetto Metaverso, in cui, grazie all'utilizzo di dispositivi di controllo dei movimenti e ad un visore, si guida il proprio avatar, cioè un personaggio che si muove all'interno di quell'ambiente virtuale, interagendo con gli altri personaggi, guidati da persone reali che fisicamente si trovano in altri luoghi distanti, anche dall'altra parte del mondo.

Ebbene, proprio questa interazione è sfociata in un episodio che, se fosse successo nel mondo reale, sarebbe qualificabile come palpeggiamento da parte di un avatar guidato da un uomo ai danni di un avatar guidato da una donna, con tanto di commenti sessisti da parte di altri utenti collegati.

La donna ha sporto denuncia, e al riguardo possono rilevarsi due conseguenze. Una di ordine giuridico: nel diritto statunitense, la fattispecie, benché avvenuta in ambiente virtuale, configura il reato di molestie sessuali e risulta, perciò, perseguibile.

L'altra di ordine più pratico: Meta, attraverso i suoi esponenti, si è scusata, ed ha prontamente introdotto una nuova funzione nel programma, chiamata Safe Zone, che impedisce, quando attivata, agli altri personaggi di avvicinarsi troppo al proprio avatar.

Il reato di molestie sessuali nel nostro ordinamento

Partiamo da quest'ultimo aspetto per evidenziare che la soluzione tecnica, per quanto apprezzabile, rischia di far ricadere sull'utente la responsabilità di non aver saputo evitare le eventuali molestie ricevute. Sarebbe, però, auspicabile che il programma impedisse in radice la possibilità che simili episodi possano verificarsi, senza richiedere alcuna attività da parte dell'utente.

Quanto al primo aspetto evidenziato, invece, che è quello che qui maggiormente interessa, va rilevato che il diritto italiano presenta delle particolarità che rendono un po' più complicata la questione relativa all'inquadramento giuridico di un fatto del genere.

La mancanza di un effettivo atto materiale - manca il contatto fisico vero e proprio - impedisce, infatti, di ricondurre la fattispecie nell'ambito della violenza sessuale disciplinata e punita dall'art. 609-bis c.p.

Il nostro ordinamento, inoltre, non prevede, a differenza di altri, un autonomo reato di molestie sessuali.

Metaverso: necessità di una disciplina per i reati sessuali online

Ciononostante, un importante appiglio giuridico lo offre l'art. 660 c.p. e la sua interpretazione fornita, nel corso degli anni, dalla giurisprudenza.

Tale norma punisce il reato di molestie alla persona, intese come il comportamento con cui, in luogo aperto al pubblico, si arrechi ad altri molestia o disturbo per motivi meritevoli di rimprovero.

Ebbene, da questa generica definizione, relativa a comportamenti che possono anche non avere nulla a che fare con la sfera sessuale, la giurisprudenza ha provato ad elaborare la specifica figura delle molestie a sfondo sessuale, che, pur in mancanza dell'atto materiale del contatto fisico tipico della violenza sessuale, si sostanziano in espressioni volgari a sfondo sessuale o in atti di corteggiamento invasivo ed insistito (v. Cass. n. 2742/10).

Ebbene, una simile ricostruzione dovrebbe essere sufficiente a ricomprendere, o almeno a fornire l'aggancio per ricondurre nell'alveo delle molestie a sfondo sessuale - e quindi punire - anche quei comportamenti realizzati per mezzo di dispositivi elettronici nel contesto di ambienti virtuali.

Sul punto, però, sarebbe sicuramente opportuno - oltre che un auspicato progresso culturale da parte di tutti - un intervento del legislatore, anche comunitario, specificamente mirato a punire, senza possibilità di equivoci, simili comportamenti e a tutelare la dignità della persona e la sfera privata, massimamente quella sessuale, di ogni individuo, anche quando la stessa possa venire offesa o violata in ambienti completamente virtuali e digitali.

Perché immateriale non significa inesistente, e ciò che avviene online viene senza ombra di dubbio subito dall'individuo nella sua dimensione reale di persona fisica.

Il datore di lavoro può chiudere o bloccare l’accesso all’account di posta elettronica del lavoratore o del collaboratore esterno?

Potrebbe un datore di lavoro chiudere, sul più bello, l’accesso all’email aziendale di un lavoratore dipendente o di un collaboratore esterno, anche se questi non è stato sollevato dalle proprie mansioni e risulta ancora “in forze” presso l’azienda? Cosa succederebbe se, un bel giorno, il capo dovesse assegnare al lavoratore un diverso account di posta elettronica, chiudendo il precedente senza alcun preavviso e senza quindi dare al relativo interessato la possibilità di “backuppare” il contenuto? La questione è stata oggetto di un interessantissimo intervento da parte del Garante della Privacy destinato a fare scuola. E questo perché, per la prima volta, i principi in tema trattamento dei dati personali dei lavoratori dipendenti sono stati estesi anche ai collaboratori esterni. Cerchiamo di fare chiarezza sul punto. Scopriamo cioè se il datore di lavoro può bloccare la mail del dipendente o di un collaboratore.

L’email è coperta da privacy?

L’indirizzo email è considerato un dato personale, come tale protetto da privacy. L’obbligo di riservatezza coinvolge ancor di più il suo contenuto, tutelato anche dalla Costituzione che, come noto, garantisce la libertà e la segretezza della corrispondenza.

Tali principi valgono anche per le email aziendali, benché le stesse siano di titolarità dell’azienda. Il fatto che il datore di lavoro metta a disposizione del dipendente o del collaboratore esterno un account proprio non dà diritto al primo di ingerirsi nella sua gestione. Un po’ come dire che il padrone di casa che dà in affitto il proprio appartamento, pur rimanendone proprietario, non può entrarvi all’interno senza aver prima chiesto il consenso all’inquilino. 

La riforma del lavoro introdotta con il Jobs Act ha stabilito il potere del datore di lavoro di controllare le email dei dipendenti per punire eventuali illeciti ma solo se:

  - ciò non avviene con finalità preventive o random ma solo nei confronti di coloro su cui pendono indizi di irregolarità;

  - il datore ha avvisato il dipendente, prima dell’avvio del rapporto di lavoro, della possibilità di controllo delle email.

Il datore di lavoro può chiudere l’email del dipendente?

Una volta che il rapporto di lavoro si è chiuso, il datore di lavoro non può lasciare aperto l’account email del dipendente ma deve chiuderlo, eventualmente predisponendo un sistema di risposta automatica a quanti invieranno delle comunicazioni, in modo da comunicare il diverso indirizzo a cui le stesse devono essere inoltrate. La violazione di tale regola costituirebbe una illegittima violazione della privacy.

L’account email può essere chiuso anche nel corso del rapporto di lavoro ma con un preavviso in modo tale che il dipendente possa fare una copia dei dati che gli interessano.

Cosa succede se il datore di lavoro blocca l’accesso all’email da parte del dipendente?  

Il Garante della Privacy ha condannato una società a pagare 50mila euro perché senza alcun preavviso né comunicazione successiva, aveva inibito alla collaboratrice l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo. La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

Il principio affermato dall’Authority è il seguente: per quanto riguarda le regole sulla gestione della casella e-mail di agenti e collaboratori esterni da parte delle aziende, valgono le stesse garanzie di cui godono i dipendenti della società. Pertanto il lavoratore, l’agente, il titolare di un contratto co.co.co. e, più in generale, qualsiasi collaboratore interno o esterno deve sempre essere previamente informato in maniera esaustiva sul trattamento dei suoi dati mentre il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

La società non può trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

Impedimento alla visita fiscale di controllo, carattere della sanzione per assenza alla visita: le ultime dalla Cassazione in materia di visite fiscali

Impedimento alla visita fiscale di controllo

È legittimo il rigetto dell'istanza di rinvio dell'udienza dinanzi al Tribunale di sorveglianza per legittimo impedimento a comparire presentata dal condannato e documentata da un certificato medico, qualora l'indicazione nell'istanza della reperibilità del medesimo in un luogo diverso da quello in cui egli effettivamente si trovi abbia impedito l'esecuzione della visita fiscale di controllo. (Sez. 1, n. 26762 del 16/07/2020, Torres, Rv. 279784). 

Cassazione, sentenza n. 35715 del 29/09/2021

Assenza visita fiscale, la sanzione non ha carattere disciplinare

La questione oggetto di giudizio non riguarda una sanzione disciplinare, ovverosia una prestazione imposta a titolo punitivo dal datore di lavoro, ma il regime delle obbligazioni al verificarsi di una malattia, allorquando risulti l'allontanamento del lavoratore negli orari di reperibilità utili allo svolgimento della c.d. visita fiscale. Ciò è reso evidente non solo dal richiamo nel provvedimento della norma di condotta del C.C.N.L. di pertinenza, chiaramente destinata a regolare i comportamenti obbligatori dovuti nell'ambito del rapporto di R. G. n. 22760/2015 lavoro (art. 21, co. 13, del citato CCNL secondo cui «qualora il dipendente debba allontanarsi, durante le fasce di reperibilità, dall'indirizzo comunicato, per visite mediche, prestazioni o accertamenti specialistici o per altri giustificati motivi, che devono essere, a richiesta, documentati, è tenuto a darne preventiva comunicazione all'amministrazione»), quanto piuttosto dalla norma sulla cui base la P.A. ha agito con atto da essa stessa definito di "gestione" del personale (art. 5, co. 14 d.l. 463/1983 conv. con mod. in L. 638/1983, secondo cui «qualora il lavoratore, pubblico o privato, risulti assente alla visita di controllo senza giustificato motivo, decade dal diritto a qualsiasi trattamento economico per l'intero periodo sino a dieci giorni e nella misura della metà per l'ulteriore periodo, esclusi quelli di ricovero ospedaliero o già accertati da precedente visita di controllo»), da cui si desume come quella prevista sia una mera conseguenza obbligatoria, espressamente regolata dalla legge, destinata ad operare all'interno del rapporto previdenziale e quindi dell'I.N.P.S., quando sia tale ente, come nel lavoro privato, ad erogare il trattamento, oppure nei riguardi del datore di lavoro quando, come è nel pubblico impiego, sia quest'ultimo a corrispondere quanto dovuto, ai sensi di legge (ora art. 71 d.l. 112/2008, conv. con mod. in L. 133/2008) o di contrattazione collettiva.

Cassazione, sentenza n. 33180 del 10/112021

Accertamenti infermità per malattia del lavoratore

In tema di licenziamento per giusta causa, la disposizione di cui all'art. 5 St. lav. che vieta al datore di svolgere accertamenti sulle infermità per malattia o infortunio del lavoratore dipendente o lo autorizza a effettuare il controllo delle assenze per infermità solo attraverso i servizi ispettivi degli istituti previdenziali competenti, non preclude al datore medesimo di procedere, al di fuori delle verifiche di tipo sanitario, ad accertamenti di circostanze di fatto atte a dimostrare l'insussistenza della malattia o la non idoneità di quest'ultima a determinare uno stato di incapacità lavorativa rilevante e, quindi, a giustificarne l'assenza (Cass. n. 25162 del 2014; Cass. n. 11697 del 2020; Cass. n. 6236 del 2001). E' insito in tale giurisprudenza, invero, il riconoscimento della facoltà del datore di lavoro di prendere conoscenza di siffatti comportamenti del lavoratore che, pur estranei allo svolgimento di attività lavorativa, sono rilevanti sotto il profilo del corretto adempimento delle obbligazioni derivanti. 

Cassazione, sentenza n. 30547 del 28/102021

Assenza ingiustificata dal domicilio: non rileva il dolo

L'ingiustificata assenza del lavoratore alla visita di controllo — per la quale l'art. 5, comma quattordicesimo, del DL. 12 settembre 1983 n. 463 (convertito nella legge n. 638 del 1983) prevede la decadenza (in varia misura) del lavoratore medesimo dal diritto al trattamento economico di malattia — non coincide necessariamente con la materiale assenza di quest'ultimo dal domicilio nelle fasce orarie predeterminate, potendo essere integrata da qualsiasi condotta dello stesso lavoratore, pur presente in casa, che sia valsa ad impedire l'esecuzione del controllo sanitario per incuria, negligenza o altro motivo non apprezzabile sul piano giuridico e sociale. La prova dell'osservanza di tale dovere di diligenza incombe sul lavoratore (v., ex plurimis, Cass. 22 maggio 1999 n. 5000).

Né ha rilievo che la mancata visita avvenga senza dolo da parte dell'interessato, perché ciò che è sanzionato è il fatto obiettivo in sé, indipendente dall'intenzione in concreto del lavoratore (Cass. 30 luglio 1993 n. 8484).

Cassazione, sentenza n. 4233 del 23.11.2021

Assenza giustificata alla visita fiscale

Il giustificato motivo di esonero del lavoratore in stato di malattia dall'obbligo di reperibilità a visita domiciliare di controllo non ricorre solo nelle ipotesi di forza maggiore, ma corrisponde ad ogni fatto che, alla stregua del giudizio medio e della comune esperienza, può rendere plausibile l'allontanamento del lavoratore dal proprio domicilio, senza potersi peraltro ravvisare in qualsiasi motivo di convenienza od opportunità, dovendo pur sempre consistere in un'improvvisa e cogente situazione di necessità che renda indifferibile la presenza del lavoratore in luogo diverso dal proprio domicilio durante le fasce orarie di reperibilità".

Cassazione, ordinanza n. 24492 dell'1/10/2019

Assenza visita fiscale e condotta del lavoratore

L'ingiustificata assenza del lavoratore alla visita di controllo - per la quale l'art. 5, comma quattordicesimo, del D.L. 12 settembre 1983 n. 463, convertito, con modifiche, nella legge 11 novembre 1983 n. 638, - prevede la decadenza (in varia misura) del lavoratore medesimo dal diritto al trattamento economico dì malattia - non coincide necessariamente con l'assenza del lavoratore dalla propria abitazione, potendo essere integrata da qualsiasi condotta dello stesso lavoratore - pur presente in casa - che sia valsa ad impedire l'esecuzione del controllo sanitario per incuria, negligenza o altro motivo non apprezzabile sul piano giuridico e sociale. La prova dell'osservanza del dovere di diligenza incombe al lavoratore (cfr. Cass., 18 novembre 1991 n. 12534; 23 marzo 1994 n. 2816; 14 maggio 1997 n. 4216, Cass. 22 maggio 1999, n. 5000).

Cassazione, sentenza n. 19668 del 22/07/2019

Videosorveglianza, solo l’8% delle telecamere sono segnalate da un regolare cartello, ma a chi le installa la privacy interessa poco o niente.

Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali.

Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti.

Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati personali, e non si tratta di un compito di poco conto che può essere considerato un mero adempimento burocratico da gestire sbrigativamente, non solo per la complessità delle stesse norme, ma soprattutto perché in Italia il 71% delle sanzioni per violazioni del GDPR sono state irrogate proprio nei confronti di enti pubblici, i quali si trovano quindi a camminare su un terreno che per loro è tipicamente scivoloso.

E se nel secondo semestre del 2021 il Garante aveva già puntato la lente sulla conformità dei trattamenti di dati personali effettuati attraverso le telecamere, non è certamente un caso che per il secondo semestre consecutivo, anche nel piano delle attività ispettive della prima metà del 2022 l’Authority abbia di nuovo inserito il controllo dei sistemi di videosorveglianza, denotando così le proprie intenzioni di continuare a monitorare attentamente quello che è ormai uno degli ambiti più invasivi per la privacy dei cittadini.

A destare particolare preoccupazione, sono adesso i risultati che emergono da uno studio condotto da Federprivacy in collaborazione con Ethos Academy con l’obiettivo di fornire un quadro realistico sul rispetto della privacy nel mondo della videosorveglianza, esaminandone gli scenari da varie angolazioni con la mira di comprendere le tendenze e le percezioni di addetti ai lavori e cittadini, individuare i gap che ostacolano la conformità alla normativa in materia di protezione dei dati personali, ed essere così in grado di individuare più facilmente i fabbisogni per tracciare la corretta traiettoria verso un’espansione coerente dei sistemi di videosorveglianza, con particolare riguardo allo sviluppo sostenibile delle smart city.

Nello studio “Videosorveglianza & Privacy tra cittadino, professionisti e imprese”, articolato in diverse fasi e indirizzato a tre distinte categorie di soggetti presi in esame, è stato effettuato un sondaggio su un campione di circa 2.000 cittadini chiedendo loro cosa osservano quando entrano in un esercizio pubblico dotato di un impianto di videosorveglianza: solo nell’8% dei casi risulta essere esposto un regolare cartello di informativa minima che avverte in modo chiaro e trasparente la presenza di telecamere con l’indicazione dei corretti riferimenti normativi e delle informazioni complete che devono essere fornite all’interessato.

Per il 38% delle telecamere non c’è invece nessun cartello che ne mette a conoscenza il cittadino, a indicare che chi le ha installate non si è neanche posto il problema di dover rispettare una normativa in materia di privacy. E anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia questo risulta poi del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati o privo delle informazioni che vi dovrebbero essere riportate.

Nonostante le Linee guida n. 3/2019 elaborate dal Comitato Europeo per la protezione dei dati (Edpb) abbiano provveduto da più di due anni un nuovo modello di cartello per segnalare la presenza di un sistema di videosorveglianza in conformità al GDPR, sono infatti ancora diffusissimi vecchi cartelli che fanno riferimento all’abrogato art.13 del Dlgs 196/2003, che spesso non risultano neppure compilati con le indicazioni del titolare del trattamento e delle finalità delle telecamere lasciate negligentemente in bianco.

Sul fronte delle imprese, l’Osservatorio di Federprivacy ha invece effettuato una approfondita disamina di tutte le oltre mille sanzioni comminate dall’introduzione del Regolamento europeo, e ben 161 di queste (15,2%) sono direttamente riferite a violazioni commesse attraverso telecamere e impianti di videosorveglianza, per un ammontare complessivo di circa 3,9 milioni di euro che imprese private e pubbliche amministrazioni hanno dovuto sborsare a causa della loro noncuranza delle regole sulla tutela della privacy. Rileva il fatto che ben 130 di tali sanzioni (pari all’80% del totale) siano state elevate negli ultimi due anni, a significare un aumento esponenziale che si registra per le violazioni derivanti dall’uso illecito di telecamere.

Molti cartelli di informativa sulla videosorveglianza riportano ancora i riferimenti normativi della vecchia Legge 675/1996

Nel panorama europeo, lo studio ha inoltre evidenziato che in Spagna viene comminato il maggior numero di sanzioni in materia di videosorveglianza. Dall’entrata in vigore del GDPR, l’autorità per la protezione dei dati spagnola (AEPD) ha infatti adottato ben 82 provvedimenti per questo tipo di infrazioni. E se autorità di paesi come Italia, Austria, Germania, Romania, e Lussemburgo fanno la loro parte, vi sono però diversi altri garanti che evidentemente al momento si concentrano su altre tipologie di violazioni, oppure in quelle nazioni il fenomeno dell’inosservanza delle regole sulla privacy afferenti i sistemi di videosorveglianza è più contenuto rispetto alla nostra realtà.

Se imprese e pubbliche amministrazioni risultano spesso non conformi alla normativa in materia di protezione dei dati personali quando si dotano di sistemi di videosorveglianza, a quanto pare le principali cause sono però da rinvenire nelle mani a cui si affidano. Infatti, nella parte dello studio rivolta agli installatori e agli operatori della sicurezza fisica, sono emerse notevoli carenze e mancanza di consapevolezza che spiegano in buona parte i pessimi risultati di cui la maggior parte dei cittadini intervistati si rende conto.

Su un campione di 1.127 operatori tra progettisti e installatori che hanno accettato di partecipare al sondaggio dopo aver partecipato a una sessione formativa, il 23% di questi reputano di essere soggetti a un rischio basso in materia di privacy e videosorveglianza, e il 31% pensa che vi sia un rischio medio, mentre sono solo meno della metà (46%) a rendersi conto di avere a che fare con temi complessi che comportano rischi elevati, denotando ancora scarsa sensibilità alle problematiche della protezione dei dati personali, specialmente nelle aree geografiche del sud Italia, dove è addirittura risultato che solo il 3% delle aziende di appartenenza dei professionisti intervistati sono dotate di un Data Protection Officer o di un’altra figura dedicata alle tematiche della privacy, e dalla stessa area geografica sono stati solo il 15% dei professionisti ad avvertire la necessità di ulteriori approfondimenti in un corso di formazione strutturato.

Meno della metà (46%) di progettisti e installatori di sistemi di videosorveglianza si pongono in concreto problemi sui rischi in materia di privacy

Altro elemento che denota superficialità degli addetti ai lavori della videosorveglianza nell’approccio alla privacy, ha riguardato i temi d’interesse per eventuali approfondimenti, che sono risultati prevalentemente rivolti alla redazione di un cartello di informativa conforme, ai tempi di conservazione delle immagini, e alle misure di sicurezza, mentre praticamente nessuno ha menzionato importanti criticità come la necessità di comprendere come e quando fare una valutazione d’impatto ai sensi dell’art.35 del Regolamento UE, e in quali casi occorra fare una consultazione preventiva presso il Garante ai sensi dell’art.36 per accertare se un trattamento sia lecito o meno. Allo stesso modo, nessuno si è posto problemi legati all’installazione di telecamere intelligenti, al ricorso a tecnologie di intelligenza artificiale, o sui trasferimenti di dati all’estero che, con ormai quasi tutte le telecamere collegate alla rete internet, possono avvenire più o meno consapevolmente da parte del titolare del trattamento, specialmente se chi progetta e installa un impianto di videosorveglianza tralascia di interessarsi al rispetto della privacy.

Il rapporto con i risultati completi dello studio saranno presto resi disponibili da Federprivacy ed Ethos Academy, ma il quadro che si è delineato indica chiaramente che la direzione intrapresa non è quella che può favorire un’espansione sostenibile di telecamere sempre più sofisticate che stanno invadendo sempre più la società moderna. Benché i moderni sistemi di videosorveglianza siano utili, e spesso salvifici, nei loro molteplici utilizzi, occorre però evitare che un diritto fondamentale come quello alla privacy venga sacrificato in nome della sicurezza, e il rischio che ciò accada senza una reale giustificazione è concreto, e non perché rispettare le regole sia troppo gravoso, ma piuttosto perché tra gli stessi addetti ai lavori c’è ancora scarsa consapevolezza di quanto quelle regole siano importanti per il buon funzionamento di qualsiasi società civile.

Quando è lecito controllare la posta elettronica aziendale di un dipendente senza violare la sua privacy?

Una recente sentenza del Tribunale di Genova, relativa a una dipendente licenziata dopo che il datore di lavoro controllando la sua email aveva scoperto che aveva inviato verso terzi dati riservati, permette di approfondire il tema della liceità delle verifiche sull’email di un lavoratore dipendente anche per scopi difensivi.

Si tratta di un tema che rimane sempre di grande attualità e di ampio contrasto tra gli addetti ai lavori rispetto al quale si richiama il Provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1° marzo 2007 che per quanto datato è ancora valido laddove conforme al Regolamento europeo sulla protezione dei dati n. 2016/679 (GDPR), nonché la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’art. 8, Convenzione europea dei diritti dell’uomo.

Ormai presso tutti gli uffici il collegamento ad Internet è molto diffuso, ma non bisogna dimenticare che l’uso di un computer collegato ad una rete esterna deve essere sempre molto accorto e responsabile innanzitutto per ovvie ragioni di sicurezza.

Non poche, poi, sono le questioni sorte in merito alla legittimità dell’accesso da parte del datore di lavoro o dirigente alla casella di posta elettronica aziendale del dipendente.

Al fine di risolvere tali questioni è opportuno ricordare alcuni importanti concetti:

  - l’equiparazione della posta elettronica alla corrispondenza tradizionale la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione;

  - la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro alla luce di quanto prescritto dall’attuale disciplina in tema di rapporti di lavoro, compreso lo Statuto dei lavoratori;

  - la tutela della privacy alla luce di quanto stabilito dal GDPR.

La problematica non è semplice ed il Garante alla luce dei principi di cui sopra è intervenuto già da tempo con un Provvedimento nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.

Spetta al datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Ma cosa succede nel caso di messaggi inerenti al rapporto di lavoro? Anche in questo caso opera il divieto di controllo?

L’Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori (art. 4).

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

Il Provvedimento raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio:

  - individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

  - utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l’azienda:

  - renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;

  - valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

  - preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

  - metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il Garante della Privacy ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

Con riferimento allo Statuto dei lavoratori va ricordato, però, che la giurisprudenza della Corte di Cassazione già da un pò di tempo ha iniziato a rivedere l’applicazione dell’art. 4.

Difatti, con sentenza n. 4746 del 2002 la Cassazione ha escluso l’applicabilità di detto articolo ai controlli diretti ad accertare condotte illecite del lavoratore, i c.d. controlli difensivi.

Il ragionamento della Corte, in tal senso, è chiaro: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 l. n. 300 citata, è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell'accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate.

Successivamente, con la pronuncia n. 15892 del 2007, la Corte ha tuttavia ammesso un limite, affermando che i controlli difensivi non possono giustificare l’annullamento di ogni garanzia: “Né l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.

Inoltre, più di recente, la stessa Corte di Cassazione con la sentenza n. 22662 dell’8 novembre 2016, ha affermato che “in tema di controllo del lavoratore, le garanzie procedurali imposte dall’art. 4, secondo comma, legge n. 300/1970, per l’installazione di impianti e apparecchiature di controllo, richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell’attività dei lavoratori, trovano applicazione ai controlli, c.d. difensivi, diretti ad accertare comportamenti illeciti dei lavoratori, quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso.

Licenziamento e responsabilità penale per il reato di appropriazione indebita 

Il dipendente che fa il backup dei file o che trasferisce i dati informatici dal computer aziendale a quello personale (anche tramite email) commette il reato di appropriazione indebita.

Non è infrequente che un dipendente faccia il backup dei dati salvati nel computer aziendale su cui ha lavorato per anni. E lo faccia, ovviamente, non certo per “ricordo” ma per avvalersene in una eventuale successiva attività “in proprio” o alle dipendenze di un concorrente. Ebbene, cosa si rischia per l’appropriazione di file aziendali? Di tanto si è occupata più volte la giurisprudenza. Ecco una sintesi delle principali pronunce che si sono occupate di questo spinoso argomento.

Furto di documento e backup di file aziendali

Secondo una recente sentenza della Cassazione è legittimo il licenziamento per giusta causa di un lavoratore che abbia sottratto documenti aziendali contenenti informazioni “sensibili” relative all’esercizio dell’attività d’impresa (‘know-how’).

La regola in materia di licenziamento è quella secondo cui intanto si può risolvere il rapporto di lavoro in quanto il comportamento viene ritenuto così grave da ledere definitivamente il rapporto di fiducia che deve sussistere tra datore e dipendente.

Tuttavia, nel caso di furto di documenti o appropriazione di file aziendali, ai fini della valutazione della gravità della condotta non ha rilievo alcuno la natura del materiale sottratto, ossia la circostanza che il lavoratore non abbia potuto trarre un’effettiva utilità dalla documentazione (si pensi a file ormai datati e privi di alcun valore commerciale). Infatti, secondo la Cassazione, basta accertare la provenienza aziendale del materiale sottratto: già tale comportamento, a prescindere dalle ripercussioni economiche per il datore e dalla utilizzabilità dei documenti, può definirsi sufficientemente grave per far perdere ogni rapporto di fiducia nel corretto operato del lavoratore. 

Né rileva – aggiunge la Corte – che i file “backuppati” o la documentazione sottratta sia di normale consultazione o che ne sia consentita l’asportazione al di fuori dei locali aziendali. Anche qui vale lo stesso ragionamento di prima: basta il semplice fatto di aver voluto utilizzare per scopi extra-lavorativi il materiale per configurare come grave il comportamento e quindi passibile di sanzione disciplinare.

Ai fini dell’adozione del licenziamento rileva, quindi, la sola provenienza aziendale della documentazione.

L’orientamento non è nuovo. Già in passato, la Cassazione aveva confermato il licenziamento di un lavoratore sorpreso mentre trasferiva su una pen-drive di sua proprietà un numero consistente di file informatici e dati appartenenti all’impresa. Anche in tal caso è stata riconosciuta la legittimità del licenziamento del lavoratore.

In tale occasione, i giudici hanno rilevato che, per poter parlare di illecito disciplinare e applicare la relativa sanzione espulsiva, non rileva che:

 - i dati non siano stati divulgati a terzi: basta la semplice sottrazione;

 - i dati non siano protetti da password.  

Appropriazione di file aziendali: cosa si rischia?

Licenziamento e responsabilità penale per il reato di appropriazione indebita in capo al dipendente che fa il backup dei file o che trasferisce i dati informatici dal computer aziendale a quello personale (anche tramite email).

Non è infrequente che un dipendente faccia il backup dei dati salvati nel computer aziendale su cui ha lavorato per anni. E lo faccia, ovviamente, non certo per “ricordo” ma per avvalersene in una eventuale successiva attività “in proprio” o alle dipendenze di un concorrente. Ebbene, cosa si rischia per l’appropriazione di file aziendali? Di tanto si è occupata più volte la giurisprudenza. Ecco una sintesi delle principali pronunce che si sono occupate di questo spinoso argomento.  

Furto di documento e backup di file aziendali

Secondo una recente sentenza della Cassazione è legittimo il licenziamento per giusta causa di un lavoratore che abbia sottratto documenti aziendali contenenti informazioni “sensibili” relative all’esercizio dell’attività d’impresa (‘know-how’).

La regola in materia di licenziamento è quella secondo cui intanto si può risolvere il rapporto di lavoro in quanto il comportamento viene ritenuto così grave da ledere definitivamente il rapporto di fiducia che deve sussistere tra datore e dipendente.

Tuttavia, nel caso di furto di documenti o appropriazione di file aziendali, ai fini della valutazione della gravità della condotta non ha rilievo alcuno la natura del materiale sottratto, ossia la circostanza che il lavoratore non abbia potuto trarre un’effettiva utilità dalla documentazione (si pensi a file ormai datati e privi di alcun valore commerciale). Infatti, secondo la Cassazione, basta accertare la provenienza aziendale del materiale sottratto: già tale comportamento, a prescindere dalle ripercussioni economiche per il datore e dalla utilizzabilità dei documenti, può definirsi sufficientemente grave per far perdere ogni rapporto di fiducia nel corretto operato del lavoratore. 

Né rileva – aggiunge la Corte – che i file “backuppati” o la documentazione sottratta sia di normale consultazione o che ne sia consentita l’asportazione al di fuori dei locali aziendali. Anche qui vale lo stesso ragionamento di prima: basta il semplice fatto di aver voluto utilizzare per scopi extra-lavorativi il materiale per configurare come grave il comportamento e quindi passibile di sanzione disciplinare.

Ai fini dell’adozione del licenziamento rileva, quindi, la sola provenienza aziendale della documentazione.

L’orientamento non è nuovo. Già in passato, la Cassazione aveva confermato il licenziamento di un lavoratore sorpreso mentre trasferiva su una pen-drive di sua proprietà un numero consistente di file informatici e dati appartenenti all’impresa. Anche in tal caso è stata riconosciuta la legittimità del licenziamento del lavoratore.

In tale occasione, i giudici hanno rilevato che, per poter parlare di illecito disciplinare e applicare la relativa sanzione espulsiva, non rileva che:

 - i dati non siano stati divulgati a terzi: basta la semplice sottrazione;

 - i dati non siano protetti da password.

Difatti la circostanza che al lavoratore sia consentito accedere alla documentazione non lo autorizza ad appropriarsene, «creando delle copie idonee a far uscire le informazioni al di fuori della sfera di controllo del datore di lavoro».

Accesso abusivo a sistema informatico

Passiamo dall’ambito civile a quello penale. Un reato spesso commesso in ambito aziendale è quello di accesso abusivo a sistema informatico. Si verifica tutte le volte in cui un dipendente acceda alla postazione di un collega per reperire dati a cui altrimenti, dal proprio computer, non avrebbe accesso. Stesso discorso nel caso in cui, tra i due colleghi, vi sia cooperazione, sicché l’uno invii all’altro i file o le informazioni in questione.

L’accesso al sistema informatico della società non è uguale per tutti: alcuni infatti possono consultare tutte le informazioni di “base” della clientela (nomi, cognomi, indirizzo, tipologia di contratto, ecc.); altri invece hanno la possibilità di visualizzare ulteriori dati più riservati, anche sensibili come ad esempio il reddito dichiarato, eventuali rischi collegati alla persona e alla sua attività, trascorsi penali, ecc.

Se un dipendente ha bisogno di analizzare alcune informazioni relative a un cliente e il suo computer non dispone delle autorizzazioni necessarie per visualizzare l’intera scheda, potrebbe chiedere a un collega di inoltrargli il file dalla sua postazione, invece abilitata a tale verifica.

Quest’ultimo potrebbe, anche solo per mera cortesia, “girare” la mail con l’allegato. Tale condotta può costituire reato? Assolutamente sì. Lo hanno confermato anche le Sezioni Unite secondo cui integra il delitto di accesso abusivo a sistema informatico la condotta di «colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso». Sono «irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema». Lo stesso reato scatta nei confronti di chi, «pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita».

Secondo i giudici della Cassazione, dunque, in base agli orientamenti delle Sezioni unite, deve ritenersi responsabile di accesso abusivo al sistema informatico anche colui che abbia fatto sorgere il proposito criminoso nel collega (autore materiale del reato), istigandolo all’invio delle email contenenti informazioni riservate cui egli non poteva accedere perché non abilitato dal datore di lavoro in ragione del fatto che la conoscenza di tali informazioni non era necessaria ai fini dello svolgimento dei suoi compiti.

Appropriazione indebita

Sempre secondo la Suprema Corte, si può parlare di responsabilità penale del lavoratore per il reato di appropriazione indebita nel caso in cui questi restituisca al datore di lavoro il computer aziendale formattato, dopo aver copiato i dati ivi contenuti su un dispositivo personale.

Il reato di appropriazione indebita punisce con la reclusione da due a cinque anni e con la multa da 1.000,00 a 3.000,00 euro chiunque, al fine di procurare a sé o ad altri un ingiusto profitto, si appropri di una cosa mobile altrui di cui abbia, a qualsiasi titolo, il possesso. Ai fini dell’integrazione degli estremi del reato, il soggetto deve quindi indebitamente appropriarsi di una ‘cosa mobile’ altrui. E tale anche la cosa immateriale, come un un dato informatico o un file contenuto in un computer, anche se dato in dotazione al dipendente dall’azienda stessa. I file infatti continuano ad essere di proprietà dell’azienda stessa.

Naturalmente, il reato di appropriazione indebita non richiede necessariamente il backup dei file su una pen-drive. Ben potrebbe configurarsi la responsabilità penale per il semplice fatto di inviare i file tramite email dall’account aziendale a quello personale in modo da salvarli poi a casa su un altro hard disk.