Diritto all’oblio e ambito di applicazione territoriale

Avv. Flaviano Sanzari

Con un importante e recente provvedimento, il Garante Privacy italiano ha aperto nuovi scenari in merito all’ambito di applicazione territoriale del diritto all’oblio, fornendo ulteriori delucidazioni interpretative dei noti principi di diritto espressi dalla sentenza “Google Spain” resa dalla Corte di Giustizia Europea.

Nel caso di specie, il Garante ha accolto il ricorso presentato da un cittadino italiano, residente all’estero, il quale richiedeva la rimozione, dalla lista dei risultati europei ed extraeuropei del motore di ricerca di “Google”, di n. 26 URL che conducevano a commenti e brevi articoli anonimi gravemente offensivi e lesivi della propria dignità e reputazione.

La difesa della resistente, oppostasi alla suindicata richiesta di rimozione ‘globale’, verteva sull’asserita evidenza che le azioni volte alla tutela dei dati personali godrebbero, in base alle disposizioni della Direttiva 95/46/CE, di un ambito di applicazione limitato al solo territorio comunitario.

Nel decidere a favore della deindicizzazione, il Garante ha ritenuto che la “perdurante reperibilità” sul web di contenuti non corretti e inesatti avesse un impatto “sproporzionatamente negativo” sulla sfera privata del ricorrente, ciò anche nell’ottica del necessario bilanciamento tra diritti dell’interessato e diritto all’informazione, di cui alla nota sentenza “Google Spain” e alla successive Linee Guida del WP29.

In più, “al fine di rendere effettiva la tutela assicurata al ricorrente nel caso di specie, tenuto conto anche che quest’ultimo ha dichiarato di risiedere al di fuori dell’Unione europea”, il Garante, pienamente applicando il principio di effettività posto alla base del diritto dell’Unione Europea, ha ordinato a Google di estendere la rimozione dei contenuti contestati anche alle versioni extraeuropee del motore di ricerca.

Responsabilità contrattuale per il medico libero professionista

Avv. Flaviano Sanzari

Arriva dal Tribunale di Milano una delle prime applicazioni della legge n. 24/2017 (Gelli-Bianco), che ha riformato la disciplina della responsabilità sanitaria, sostituendo il decreto legge 158/2012 (Decreto Balduzzi).

Il Tribunale, con la sentenza n. 1654 del 16 febbraio scorso, ha dato ragione a una paziente che aveva promosso il giudizio contro un dentista libero professionista. Il giudice ha riconosciuto la responsabilità professionale, di natura contrattuale, del medico e lo ha condannato a risarcire i danni causati dalla sua condotta imprudente nella predisposizione e nel montaggio di protesi e impianti. Prima di avviare il contenzioso, la paziente aveva regolarmente promosso un procedimento per accertamento tecnico preventivo (Atp) – prescritto come condizione di procedibilità dalla nuova legge – che aveva accertato la responsabilità del medico.

Il Tribunale, in particolare, ha chiarito che al sinistro lamentato dalla paziente si deve applicare in sede giudiziale la Legge n. 24/2017 ed, in particolare, l’art. 7, secondo cui “l’esercente la professione sanitaria di cui ai commi 1 e 2 risponde del proprio operato ai sensi dell’articolo 2043 del codice civile, salvo che abbia agito nell’adempimento di obbligazione contrattuale assunta con il paziente”. Avendo, nella fattispecie, riconosciuto la sussistenza di un vero e proprio contratto d’opera professionale con il medico, il giudice ha quindi ritenuto di qualificare la responsabilità di quest’ultimo come contrattuale, ciò che consente al danneggiato attore di potersi limitare a dedurre l’inesatto adempimento da parte del professionista, ricadendo su quest’ultimo l’onere di dimostrare o che nessun rimprovero di scarsa diligenza o di imperizia possa essergli mosso, o che, pur essendovi stato il suo inesatto adempimento, questo non abbia avuto alcuna incidenza causale sulla produzione del danno.

Viola il diritto all’oblio riproporre in Tv il vecchio filmato di un’intervista negata

Avv. Flaviano Sanzari

Rimettere in onda a distanza di 5 anni un filmato in cui un noto personaggio pubblico rifiuta in modo perentorio un’intervista viola il suo diritto oblio. Un diritto che può cedere il passo a quello di cronaca solo se il fatto narrato riacquista attualità, inserendosi in un dibattito di pubblico interesse, dal punto di vista sociale, culturale, scientifico ecc.

Così si è pronunciata la Corte di Cassazione nella causa tra il noto cantautore Antonello Venditti e la Rai che, nel programma “La vita in diretta” aveva rimandato in onda, a distanza di anni, il no secco del cantante a farsi intervistare, al solo scopo di inserirlo ai vertici della classifica dei personaggi più scorbutici e antipatici. Bollandolo anche come artista sul “viale del tramonto”.

La Cassazione coglie l’occasione per ripercorrere la giurisprudenza interna e sovranazionale, per ricordare che la violazione del diritto all’oblio può ritenersi legittima in situazioni del tutto differenti da quella esaminata. La Suprema Corte sottolinea che l’esigenza è quella di mettere sul piatto della bilancia due diritti fondamentali: quello di cronaca, posto al servizio dell’interesse pubblico all’informazione e quello della persona a che certe vicende della sua vita cadano nel “dimenticatoio”, perché ormai prive del carattere dell’attualità. Nello specifico, non c’è ragione per dare prevalenza al primo anziché al secondo, posto che non era riscontrabile alcun apprezzabile ed attuale interesse pubblico a che quell’episodio venisse riproposto ai telespettatori e la notorietà del personaggio non basta a giustificare il sacrificio del diritto all’oblio.

No alla rimozione d’urgenza di un articolo on line

Avv. Flaviano Sanzari

Il Tribunale di Milano, con una recente ordinanza, interviene sul tema dell’assimilazione della stampa digitale a quella tradizionale, riaffermando il principio per cui nessun provvedimento cautelare atipico, sulla base dell’articolo 700 c.p.c., ad esempio la rimozione o la deindicizzazione del link, può inibire la libera circolazione di un articolo, che deve rimanere consultabile, anche su internet, fino a che non ne sia stata accertata la diffamatorietà all’esito di un ordinario giudizio di merito, con sentenza passata in giudicato.

Avendo gli stessi effetti di un sequestro, infatti, prima di tale momento un simile provvedimento violerebbe l’articolo 21, comma 3, della Costituzione, che ne vieta di massima l’adozione per la stampa, ma anche per i “prodotti” ad essa assimilabili, ove si ipotizzi la commissione di un reato.

La Suprema Corte, infatti, con due sentenze a Sezioni Unite (la 23469/2016 delle Sezioni unite civili e la 31022/2015 delle Sezioni unite penali) aveva affermato che le garanzie, previste per la stampa, si estendono anche al giornale telematico, quando possieda «i medesimi tratti caratterizzanti» del periodico tradizionale.

Tuttavia, secondo il Tribunale di Milano, poiché nessun diritto fondamentale è protetto in termini assoluti dalla Costituzione, si possono adottare, sempre in via cautelare, rimedi che tutelino medio tempore il presunto diffamato, ad esempio l’aggiornamento o l’integrazione dell’articolo, dando spazio alla sua versione dei fatti o dando atto della loro eventuale evoluzione.

Non solo; il suddetto limite non vale, ad esempio, quando l’azione è promossa a tutela non della reputazione, ma di altri diritti fondamentali, ad esempio quelli connessi al trattamento dei dati, per i quali vigono norme e criteri diversi.

Il provvedimento in esame, in sostanza, pur negando l’adozione di misure a suo dire equivalenti ad un sequestro, riconosce la particolare dannosità, a volte irreparabile, della permanenza online di notizie potenzialmente lesive; e rileva come equi ed adeguati possano risultare rimedi, diversi dalla eliminazione dell’articolo, ma idonei ad informare gli utenti sulle “voci contrarie”, sulla “verità soggettiva” dell’interessato, sull’evoluzione delle informazioni o sull’esistenza di un processo in corso per accertarne la legittimità. Si tratterebbe di rimedi integrativi o correttivi che, tra l’altro, promuovono il pluralismo, anch’esso tutelato dall’articolo 21 della Costituzione e che svolgono più o meno la stessa funzione della tradizionale rettifica, pur avendo quest’ultima presupposti e fini diversi.

Il diritto di covendita non sorge nel caso di cessione della nuda proprietà delle azioni

Avv. Andrea Bernasconi

La cessione della nuda proprietà del pacchetto azionario di maggioranza da parte del proprietario che ne trattiene presso di sè il diritto di usufrutto non fà sorgere in capo ai soci di minoranza il diritto di covendita previsto da Statuto.

Così si sono nella sostanza espressi i Giudici della Cassazione civ. Sez. I Ord. con la sentenza n. 3951 del 19 Febbraio 2018, respingendo il ricorso presentato dai soci di minoranza di una S.p.A., secondo i quali la sopradetta operazione di cessione della sola nuda proprietà era tesa ad eludere la norma statutaria che prevedeva il sorgere del diritto di covendita delle loro azioni in caso di trasferimento dei titoli del maggior azionista.

Tale norma, nota con il termine di tag along, è la clausola che consente ai soci di minoranza di vendere le proprie azioni all’acquirente del pacchetto di maggioranza, al medesimo prezzo ed a pari condizioni.

La disposizione, secondo dottrina prevalente, laddove inclusa in un patto parasociale sarebbe riconducibile allo schema dell’articolo 1381 c.c., facendo sostanzialmente sorgere un obbligo in capo al socio di maggioranza che decide di alienare le proprie azioni di procurare un’offerta di acquisto a pari condizioni a favore dei soci di minoranza.

Laddove, invece, come nel caso di specie, la previsione sia inclusa nello statuto della società, la stessa gode di pubblicità legale ed è, pertanto, opponibile al terzo che voglia entrare a far parte della compagine sociale.

In ogni caso, i soci di minoranza acquistano pari diritti potestativi di cedere i propri titoli all’acquirente, sfruttando così la posizione di maggior favore derivante dalla vendita in blocco delle partecipazioni per realizzare un prezzo più favorevole rispetto a quello che avrebbero ricavato da una cessione disgiunta.

Rileva la Cassazione come correttamente i Giudici di merito, avendo accertato la cessione della sola nuda proprietà delle azioni da parte del socio di maggioranza, abbiano ritenuto non sorto il diritto di covendita in favore dei soci di minoranza, configurabile solo allorquando l’acquirente abbia assunto il controllo della società per avere acquistato la maggioranza dei diritti di voto incorporati nelle azioni.

Ed in effetti, prosegue la Suprema Corte, il diritto di voto nell’assemblea della società, per le quote che siano state date in usufrutto, compete unicamente all’usufruttuario (ndr ai sensi dell’articolo 2352 c.c. primo comma) il quale esercita, al riguardo, un diritto suo proprio e perciò non è obbligato ad attenersi alle eventuali istruzioni di voto che gli abbia impartito il nudo proprietario (Cass. n. 7614/1996).

Conclude la Cassazione confermando che tale configurazione interpretativa è coerente con il principio, sempre richiamato dai giudici di merito, della libera circolazione dei titoli partecipativi (ndr si veda in proposito il contenuto dell’articolo 2355 bis che prevede per le S.p.A. la possibilità che lo statuto “può sottoporre a particolari condizioni ” il trasferimento dei titoli azionari, dando quindi per implicita, per regola generale, la loro libera circolazione), principio che impone un’interpretazione restrittiva delle clausole che limitano tale libertà, al pari di quelle di covendita.

I soci di minoranza, pertanto, non avrebbero subito alcuna violazione dei propri diritti, essendo rimasti titolari, nella sostanza, delle loro partecipazioni in una situazione inalterata di equilibrio assembleare.

Customer care: no al software che controlla gli operatori

Avv. Vincenzo Colarocco

Con provvedimento dell’8 marzo scorso, l’Autorità Garante per la protezione dei dati personali ha posto l’attenzione sul tema del controllo a distanza dei dipendenti effettuato indirettamente mediante l’impiego di sistemi gestionali in apparenza solo strumentali all’attività lavorativa. Con tale provvedimento, infatti, il Garante ha dichiarato l’illiceità del trattamento dei dati posto in essere da parte di Sky Italia per il servizio di customer care.

Più precisamente, il software “Sales Force Arcadia”, concesso in dotazione da Sky Italia Network Service S.r.l. ai propri dipendenti/operatori e, pertanto, identificato come “strumento di lavoro”, avrebbe dovuto garantire una gestione più efficiente dei contatti con la clientela, consentendo all’operatore, in presenza di una chiamata in entrata da parte di un abbonato riconosciuto, di visualizzare informazioni utili quali anagrafica, tipologia di abbonamento, tecnologie disponibili ecc., nonché l’elenco delle telefonate evase, riportante l’ora e la durata della chiamata, nell’ambito della stessa sessione di lavoro.

Tuttavia, dall’attività istruttoria posta in essere dall’Autorità, è emerso come attraverso l’utilizzo di tale software fosse possibile risalire all’identità del dipendente, e ciò mediante  l’associazione del “codice operatore” con altre informazioni relative alla sua attività lavorativa, oppure mediante l’eventuale incrocio tra informazioni conservate in sistemi separati: in tal modo, la società era in grado di ricostruire l’attività svolta da centinaia di operatori del call center e, dunque, di controllare – seppur in via indiretta – le prestazioni lavorative dei propri dipendenti.

E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori (accordo sindacale o in mancanza di questo autorizzazione delle direzioni territoriali del lavoro), procedure che non sono state espletate.          Tutto ciò senza che la società avesse fornito ai dipendenti una informativa completa e dettagliata sulle effettive modalità e finalità delle operazioni di trattamento rese possibili dall’applicativo.

Le frodi IVA entrano nel catalogo dei reati del d. lgs. 231/01

Avv. Vincenzo Colarocco

La Direttiva PIF, relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale, il cui recepimento è previsto entro il 6 luglio 2019, introduce l’obbligo per gli Stati membri di adottare misure necessarie affinché sia prevista una responsabilità delle persone giuridiche per i reati che ledano gli interessi finanziari dell’Unione Europea.

Tra i vari reati ritenuti lesivi degli interessi finanziari dell’Unione, la Direttiva considera, in particolare, le frodi in materia di IVA, aventi carattere di trasnazionalità (mediante il coinvolgimento di più stati membri) e che comportino un danno complessivo di almeno 10 milioni di Euro.

Come noto, l’Unione ha da tempo focalizzato la propria attenzione sulla tematica delle gravi frodi iva (a partire dalla nota querelle Taricco), in quanto le risorse finanziarie dell’Unione Europea traggono origine, in parte, da una percentuale del volume dell’IVA applicata negli scambi commerciali all’interno del cd. Mercato Interno.

La previsione oggetto della direttiva in commento rappresenta un importante segno di svolta, perché comporterà il necessario inserimento, all’interno del catalogo dei reati presupposto della responsabilità ex 231/01, di alcune fattispecie penali tributarie previste dal D. Lgs. n. 74/2000, ad esempio le grandi frodi carosello, ponendo fine alle accese contestazioni sulla esclusione di tali fattispecie dai reati presupposto.

La data retention delle e-mail: è possibile la conservazione senza limite ?

Avv. Vincenzo Colarocco

L’Autorità Garante con provvedimento del 1 febbraio 2018, n. 53 ha vietato ad una società il trattamento di dati personali effettuato per mezzo di e-mail aziendali dei dipendenti realizzato attraverso una conservazione sistematica dei dati e del contenuto delle e-mail scambiate dai lavoratori per un tempo indeterminato, perfino successivo al termine del rapporto di lavoro, violando i cd. principi di liceità, necessità e proporzionalità statuiti dal d.lgs. 196/2003.

Pertanto, secondo quanto riportato dal Garante, la società, anziché porre in essere un trattamento così invasivo, avrebbe potuto agire in modo più efficiente e nel rispetto della riservatezza dei dipendenti, predisponendo un sistema di archiviazione intelligente, in grado di individuare e selezionare i documenti da archiviare.

In ultimo la stessa Autorità, illustra come una conservazione estesa e sistematica delle mail, così come la loro archiviazione per un periodo non determinato, dia la possibilità al datore di lavoro di accedervi per finalità indicate soltanto in astratto, consentendo un tipo di controllo dell’attività dei lavoratori vietato dalla disciplina di settore, la quale non permette, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate.

Il Garante ha altresì ribadito che la conservazione in vista di futuri ed eventuali contenziosi deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate, sì da risultare ingiustificata la raccolta a priori di tutte le e-mail.

Telemarketing: il Garante dopo Telecom blocca anche Vodafone

Avv. Vincenzo Colarocco

Il Garante Privacy, dopo il caso Telecom e nella piena rivoluzione del telemarketing, con il provvedimento n. 140 dell’8 marzo 2018 emesso nei confronti della compagnia telefonica Vodafone -con riferimento alle modalità di acquisizione del consenso degli interessati al trattamento per finalità di marketing nei propri sistemi- ha rilevato che i dati personali raccolti non possono essere utilizzati per finalità promozionali in assenza di un consenso liberamente manifestato.

Il Garante ha infatti, ribadito che ogni qual volta il consenso degli interessati finalizzato allo svolgimento di attività di marketing viene acquisito, in fase precontrattuale o nel corso dell’esecuzione del contratto, senza assicurare la libertà di scelta da parte dell’interessato, senza cioè che il consenso sia liberamente e specificamente espresso, il conseguente trattamento è illecito.

Nel corso delle indagini l’Autorità competente ha scoperto che in diciotto mesi sono state effettuate “fino a 2 milioni di telefonate promozionali e inviati circa 22 milioni di sms”.  Infatti, con una pluralità di segnalazioni è stata lamentata al Garante l’effettuazione di telefonate con operatore e la ricezione di sms indesiderati a contenuto promozionale nell’interesse di Vodafone. In particolare, “i segnalanti hanno lamentato di essere stati contattati telefonicamente o via sms nonostante non avessero manifestato il proprio consenso all’utilizzo della propria utenza per finalità promozionali in sede di conclusione del contratto ovvero successivamente all’opposizione manifestata direttamente alla Società o ad operatori di call center che effettuano chiamate promozionali nell’interesse della stessa”.

Vodafone dovrà ridefinire le proprie procedure interne nella gestione dei dati utilizzati per le campagne promozionali e dovrà in fase precontrattuale o nel corso dell’esecuzione del contratto, assicurare la libertà di scelta da parte dell’interessato.

Nel frattempo il Garante contesterà con un autonomo procedimento le sanzioni previste per le violazioni accertate.

Ecco i nuovi chiarimenti del Garante sul Data Protection Officer in azienda

Avv. Vincenzo Colarocco

Lo scorso 26 marzo il Garante Privacy ha diramato le nuove “FAQ sul Responsabile della Protezione dei Dati in ambito privato”, fornendo ulteriori delucidazioni rispetto a quanto già illustrato sul punto dal “Working Group party” comunitario.

Il Garante, anzitutto, ha messo in luce le principali aree di attività cui sarà destinato il Data Protection Officer (“DPO”) – per la cui nomina non è richiesta alcuna attestazione specifica o l’iscrizione in appositi albi, ma solo l’approfondita conoscenza della materia – evidenziando come quest’ultimo dovrà assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione della normativa comunitaria.

All’interno delle FAQ figurano, inoltre, una serie di previsioni in merito agli alternativi caratteri di obbligatorietà o facoltatività che guidano la nomina del DPO in ambito privato. Saranno obbligatoriamente chiamati alla nomina i soggetti che espletano un monitoraggio sistematico degli interessati o che trattano particolari categorie di dati; a tal fine il Garante riporta – a titolo esemplificativo e non esaustivo – le seguenti attività per cui la designazione di un DPO sarà da ritenersi obbligatoria: istituti di credito; società che forniscono servizi informatici; imprese assicurative; partiti e movimenti politici; sindacati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); società operanti in ambito sanitario quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; ecc..

La medesima nomina non risulterà, invece, obbligatoria (restando pur sempre raccomandata in virtù del principio di accountability che permea la nuova disciplina) in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari.

Per quanto attiene alle modalità operative poste alla base della descritta designazione, le FAQ precisano che, nel caso in cui il DPO fosse scelto all’interno del gruppo aziendale, questi andrà nominato mediante specifico atto di designazione, mentre, qualora fosse scelto all’esterno, dovrà operare in base ad un contratto di servizi. Entrambi tali atti dovranno essere necessariamente redatti in forma scritta e al loro interno saranno indicati espressamente i compiti attributi al DPO, le risorse che gli saranno assegnate per il relativo svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

In conclusione, si precisa come non sussista un profilo di aprioristica incompatibilità tra il ruolo di Responsabile della Protezione dei Dati e altri incarichi aziendali purché sia garantita l’assenza di eventuali conflitto di interessi; a tal fine parrebbe in ogni caso preferibile evitare di assegnare il ruolo in questione a soggetti che già ricoprono incarichi di alta direzione (es: amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero detengono un potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc.).