I sistemi informatici di intelligenza artificiale sono stati studiati ed elaborati sin dagli anni ’50 del 1900 (Alan Turing, “Computing machinery and intelligence”), per riprodurre o emulare alcune funzioni dell’uomo. Essi trovano applicazione in svariati e molteplici ambiti tra i quali anche quelli particolarmente creativi come la scrittura, la fotografia, la grafica ecc.

Siccome mi occupo di scrittura e, in particolare, di produzione di contenuti giuridici, mi sono chiesta se il mio lavoro sia destinato ad essere svolto in modo più rapido ed economico da un sistema di intelligenza artificiale.

Infatti, sono state elaborate decine di software specializzati nella scrittura di testi di ogni genere tra i quali ChatGPT (Generative Pretrained Transformer) sviluppato da Open AI è solo il più noto. Attraverso tali strumenti che tecnicamente sono dei chatbot, chiunque può generare contenuti in tempo reale e a costi ridotti o nulli.

(altro…)

L’Agenzia per la cybersicurezza nazionale (ACN) è stata istituita con il D.L. 14 giugno 2021, n. 82 allo scopo di tutelare gli interessi nazionali nel campo della cybersicurezza. A tale autorità è affidato il compito di promuovere azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. L’Agenzia ha elaborato la Strategia Nazionale di Cybersicurezza che  prevede il raggiungimento di 82 misure entro il 2026 in un percorso innovativo che tende a garantire  una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo, ad anticipare e prevenire l’evoluzione della minaccia cyber, a contrastare la disinformazione online, a gestire le crisi cibernetiche e ad assicurare l’autonomia strategica nazionale ed europea nel settore del digitale.

(altro…)

Nel nostro Paese la tutela della riservatezza dei dati finora è stata affidata al Testo unico in materia di privacy approvato con il d.lgs. n.169 del 2003 che raccoglie la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati, recependo le Direttive 95/46/CE e 58/2002/CE.

Tale disciplina si avvia ad essere sostituita dal Regolamento Europeo 679/2016 sulla General Data Protection Regulation (GDPR) approvato nell’aprile del 2016 che trova applicazione a decorrere dal 25 maggio 2018 ed è obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. Si tratta, quindi, di una disciplina pan europea. Tuttavia, la sola esistenza ed applicazione del GDPR non comporta, l’abrogazione automatica del citato Testo unico e delle altre 27 diverse legislazioni nazionali finora vigenti.

(altro…)

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013 mi dà lo spunto per soffermarmi su una questione che da tempo è oggetto di confronto e di dibattito. Nella mia esperienza di consulente per l’attuazione della normativa posta a tutela della privacy (d.lgs. n. 196 del 2003) ho potuto verificare che durante gli incontri formativi nei quali sono coinvolti datori di lavoro pubblici e/o privati e dipendenti, appassiona il problema della legittimità dell’accesso e del trattamento dei dati di navigazione in internet e, più in generale, dell’attività svolta al computer, dal dipendente.

La citata pronuncia della Corte di Cassazione, ha affrontato tale questione confermando quanto statuito nel merito dal Tribunale di Palermo  al quale era stato sottoposto un provvedimento con cui l’Autorità  Garante per la Tutela della Privacy aveva censurato la condotta di un datore di lavoro che aveva intimato il licenziamento per giusta causa ad un suo dipendente. Il lavoratore era stato licenziato perché durante l’orario di lavoro aveva navigato in internet, visitando siti che non avevano alcuna attinenza con l’attività lavorativa svolta e che avevano contenuto pornografico. Il controllo della navigazione internet da parte del datore di lavoro aveva comportato  l’accesso a dati sensibili relativi al lavoratore che, dunque, considerando illecito il trattamento degli stessi, si è rivolto all’Autorità garante segnalando l’accaduto.

Con apposito provvedimento del 02.02.2006 il Garante ha rilevato la natura illecita del trattamento dei dati emersi dal controllo dei log di connessione. Il datore di lavoro, infatti, non ha informato il lavoratore del controllo che non rientrava nelle ordinarie o straordinarie attività di manutenzione dei computer.  Inoltre, il trattamento dei dati sensibili emersi dalla navigazione non era legittimato nemmeno dall’art.26 comma 4, lett. c), del Codice, in quanto tali dati non erano necessari al datore di lavoro per far valere o difendere un proprio diritto in giudizio.

Infatti,  il lavoratore, per le mansioni svolte non aveva alcuna necessità di navigare in internet; pertanto il licenziamento avrebbe potuto essere validamente motivato per la semplice circostanza della navigazione, senza alcuna necessità di controllare i log di connessione e di accedere e trattare dati sensibili in violazione del codice a tutela della privacy. Peraltro, il diritto fatto valere dal datore di lavoro attraverso il licenziamento non era di rango pari a quello dell’interessato cioè non consisteva in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. In altri termini, la tutela del diritto datoriale non poteva giustificare una limitazione della tutela del diritto alla riservatezza del lavoratore.

Naturalmente il datore di lavoro si è rivolto al Tribunale di Palermo, ai sensi dell’art. 152 d.lgs. n. 196/2003. Il giudice di merito, con sentenza del  26.06.2008, ha confermato l’assunto dell’Autorità Garante e, dunque, ha concluso per l’inutilizzabilità dei dati posti a fondamento del  licenziamento. La vicenda giudiziaria si è conclusa con la sentenza n. 18443 del 1 agosto del 2013 con cui la Corte di Cassazione,  in primo luogo, ha effettuato alcune precisazione definitorie e, con particolare riferimento all’accesso a siti internet con contenuti pornografici, ha precisato che,  come statuito in sede penale,  oggetto di tutela da parte del d.lgs. n. 196/2003 «non sono solo i gusti sessuali di un individuo (astrattamente e genericamente considerati), ma, anche, le concrete scelte che, in questo campo, il soggetto va ad operare» (Sez. 5 penale, Sentenza n. 44940 del 2011).

Pertanto, è indubbio che sono dati personali idonei a rilevare la vita sessuale – «da intendersi come complesso delle modalità di soddisfacimento degli aspetti sessuali di una persona» (Sez. 5 penale, Sentenza n. 46454 del 2008) – quelli relativi alla “navigazione” in internet con accesso a siti pornografici.

In secondo luogo, la Corte di Cassazione, ha confermato quanto statuito dal Garante, prima, e dal Tribunale di Palermo, poi.

La legittima esigenza di monitoraggio  del datore di lavoro, dunque, ha avuto la peggio rispetto alla tutela della privacy del lavoratore.

Situazioni come quella che ha occasionato la pronuncia in esame, possono essere evitate facendo tesoro di quanto statuito dall’Autorità Garante per la privacy nelle Linee guida per posta elettronica e internet del 1 marzo del 2007.

In virtù del divieto sancito dall’art.4 dello Statuto dei lavoratori, il datore di lavoro, non può deliberatamente controllare l’attività svolta dal lavoratore durante l’orario di lavoro  attraverso i dati di navigazione in internet e, men che meno, installando appositi programmi volti solo a monitorare l’impiego del computer. L’accesso ai dati, tuttavia, può avvenire  in maniera casuale e non deliberata durante le sessioni di manutenzione ordinaria e straordinaria dell’hardware e del software finalizzate a garantire la sicurezza dell’azienda e del lavoro in generale.

Il garante, dunque, precisa che  il datore di lavoro è chiamato a  promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori. Pertanto dal punto di vista organizzativo, è opportuno che:

« (…)

• si valuti attentamente l’impatto sui diritti dei lavoratori (prima dell’installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell’eventuale trattamento);
• si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l’utilizzo della posta elettronica e l’accesso a Internet; 
•  si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo. »

Il datore di lavoro ha anche l’onere di adottare tutte le misure tecnologiche volte a minimizzare l’uso di dati identificativi.

I lavoratori e le loro rappresentanze sindacali, poi, devono essere informati delle potenzialità invasive delle apparecchiature informatiche che utilizzano per lo svolgimento del  proprio lavoro.

Infatti, in base al principio di correttezza, il trattamento dei dati relativi alla navigazione in internet e all’uso del pc del lavoratore rilevati casualmente dal datore di lavoro, deve essere ispirato ad un canone di trasparenza. Pertanto, «Grava sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.»

Il datore di lavoro, quindi, deve informare in maniera chiara e compiuta i lavoratori in merito a ciò che possono e che non possono fare attraverso l’uso del pc, della rete internet e della posta elettronica e degli eventuali controlli che possono avvenire in occasione della manutenzione ordinaria e straordinaria.

A tal fine,  secondo il Garante, può risultare opportuno adottare un Disciplinare interno redatto in modo chiaro e senza formule generiche, da pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori, ecc.) definito coinvolgendo anche le rappresentanze sindacali  nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica, da sottoporre ad aggiornamento periodico. Tale Disciplinare doveva essere menzionato nel Documento Programmatico per la Sicurezza (DPS) che, com’è noto, è stato inopinatamente abolito nella forma descritta dal d.lgs. 196 del 2003.

«A seconda dei casi andrebbe ad esempio specificato:

• se determinati comportamenti non sono tollerati rispetto alla “navigazione” in Internet (ad es., il download di software o di file musicali), oppure alla tenuta di file nella rete interna;
• in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l’arco temporale di utilizzo (ad es., fuori dall’orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
• quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche all’esterno) vi può accedere legittimamente;
• se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di log );
• se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
• quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate indebitamente;
• le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell’attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
• se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell’interessato;
• quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l’eventuale segreto professionale cui siano tenute specifiche figure professionali;
• le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B).”»

La sentenza della Corte di Cassazione n. 18443 del 1 agosto 2013, dunque, fornisce l’occasione per ricordare che il Disciplinare per l’utilizzo di internet e della posta elettronica rappresenta un fondamentale strumento di prevenzione e non un ulteriore adempimento burocratico finalizzato solo a complicare la vita ai datori di lavoro. Predisposto con la partecipazione delle rappresentanze sindacali dei lavoratori e aggiornato periodicamente, è bene che il Disciplinare sia esplicato in una apposita sessione formativa durante la quale è possibile fornire tutti i chiarimenti tecnici e giuridici.

Inoltre esso deve essere adeguatamente  pubblicizzato e reso noto in modo che sia conoscibile a tutti coloro che stabilmente o,  a maggior ragione,  occasionalmente prestano collaborazione a favore del datore di lavoro. Laddove il datore di lavoro non vi provveda è assoluto interesse dei lavoratori sollecitarne l’adozione. Le regole non devono spaventare: esse aiutano ad evitare situazioni incresciose e problematiche.

Con la recentissima sentenza n.1229 del 2013 il Tribunale di Benevento ha deciso un contenzioso nel quale la parte attrice lamentava di aver subito un danno per effetto del trattamento illecito dei dati relativi al proprio conto corrente da parte di un istituto di credito. In particolare, la Banca avrebbe fornito al conduttore di un immobile di proprietà del correntista, gli estremi del suo nuovo conto corrente, in tal modo permettendogli di versare regolarmente il canone di locazione. Parte attrice, dunque, si doleva che il conduttore avesse effettuato il bonifico sul conto corrente appena acceso senza che la stessa gliene avesse comunicato gli estremi di cui, secondo il suo assunto, era venuto a conoscenza illecitamente in violazione della normativa relativa alla protezione dei dati personali. Pertanto, chiedeva l’accertamento della responsabilità e la condanna al risarcimento dei danni a carico dell’istituto di credito e del conduttore.

In base all’art.15 comma primo del d.lgs. n.196 del 2003 la violazione delle norme poste a tutela della riservatezza configura un’ipotesi di responsabilità ex art.2050 c.c. Infatti, tale norma dispone che chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno. Trattandosi di responsabilità extracontrattuale, in base all’art.2947 c.c., l’azione per l’accertamento della responsabilità e il conseguente risarcimento del danno si prescrivono in cinque anni decorrenti dal fatto illecito.

Nel caso deciso dal Tribunale di Benevento il presunto illecito trattamento dei dati del conto corrente da parte della banca, in base alla ricostruzione attorea,  sarebbe  avvenuto  nel settembre 2002. Tale trattamento è stato segnalato anche all’Autorità garante per la privacy ed è stato oggetto di una querela inoltrata al Comandante della locale stazione dei carabinieri. Tuttavia, la domanda è stata proposta solo nel giugno 2010, pertanto si è senz’altro prescritta. Il Tribunale, rilevato che la Banca ha sollevato tempestivamente l’eccezione di prescrizione, senza entrare nel merito, ha rigettato la domanda per intervenuta prescrizione precisando che la segnalazione all’Autorità Garante e la querela ai Carabinieri non costituiscono validi atti interruttivi del termine prescrizionale ai sensi dell’art. 2943 c.c. . Infatti si tratta di atti con i quali il danneggiato non ha esercitato il proprio diritto al risarcimento nei confronti dei presunti autori del fatto illecito obbligati al risarcimento.

Con riferimento all’altro convenuto cioè al conduttore dell’immobile, invece, il Tribunale ha deciso anche nel merito, considerando inammissibile l’eccezione di prescrizione tardivamente sollevata. Ebbene, la domanda proposta nei confronti del conduttore è stata rigettata per carenza di prova. Infatti, come, peraltro, confermato dalla Cassazione nella sentenza n. 8451 del 2012, in  applicazione  dei  criteri  stabiliti  dal  citato  articolo  2050 c.c.  in  tema  di  responsabilità  per  esercizio  di  attività  pericolosa,  la  presunzione  di  colpa  a  carico del danneggiante posta da tale norma, presuppone il previo accertamento dell’esistenza del  nesso eziologico – la cui prova incombe al danneggiato – tra l’esercizio dell’attività e l’evento dannoso, non  potendo il soggetto agente essere investito da una presunzione di responsabilità rispetto ad un evento che  non è ad esso in alcun modo riconducibile. Sotto il diverso profilo della colpa, incombe, invece, sull’esercente  l’attività pericolosa l’onere di provare di avere adottato tutte le misure idonee a prevenire il danno (Cass.5080/06; Cass. 19449/08; Cass. 4792/01; Cass. 12307/98). Nel caso di specie, dunque, l’attore non ha fornito alcuna prova del danno e del nesso eziologico con il presunto illecito trattamento dei dati.

l 4 aprile 2012 è stata approvata dalla Camera la legge di conversione del decreto legge n.5 del 9 febbraio 2012 noto come “Semplifica Italia”. E’ dunque definitiva l’abolizione dell’obbligo imposto dal d.lgs. 196 del 2003 di redigere entro il 31 marzo di ogni anno il Documento Programmatico sulla Sicurezza, ovvero la mappa delle misure minime di sicurezza adottate per la tutela della privacy da soggetti pubblici e privati che trattano dati personali, sensibili e/o giudiziari.

Sin dalla pubblicazione del decreto legge e dalla sua entrata in vigore, la notizia è stata commentata soprattutto osservando che l’abolizione del DPS avrebbe determinato un considerevole risparmio di tempo e di denaro per i titolari del trattamento dei dati. Tuttavia, tale lettura della innovazione normativa appare decisamente superficiale e anche pericolosamente fuorviante. Infatti, basta esaminare la normativa dettata dal d.lgs. n.196 del 2003 per verificare che la redazione del DPS costituiva solo uno degli adempimenti documentali imposti al fine di garantire il corretto trattamento dei dati. E’ d’uopo ricordare che a fronte dell’abrogazione del solo art.34 I comma lett. g del citato decreto legislativo resta obbligatorio adottare tutte le altre misure minime di sicurezza indicate dall’art.29, dall’art. 30, dall’art.34 comma I lett. a, b, c, d, e, f, h e dall’art.35, così come specificate dall’Allegato B.

In particolare preme segnalare che, da un punto di vista documentale, resta fermo l’obbligo di tenere accuratamente aggiornate le nomine dei responsabili e degli incaricati del trattamento dei dati. Chi, in conformità con quanto disposto dalla legge, negli anni passati ha redatto per ciascun responsabile ed incaricato, delle nomine specifiche dalle quali si evinca con chiarezza l’ambito del trattamento dei dati consentito, le funzioni svolte, gli obblighi da rispettare, l’elenco delle banche dati cartacee e informatiche alle quali è permesso l’accesso e gli estremi del pc utilizzato da ciascun soggetto, dovrà comunque continuare a farlo. Ed è evidente che la redazione e l’aggiornamento di tali nomine costituisce il lavoro prodromico ed essenziale per la redazione del DPS.

In altri termini, fermi restando tutti gli adempimenti imposti dal d.lgs. n.196 del 2003, si eviterà solo di sintetizzarli in un documento unico. Pertanto, i titolari del trattamento, soprattutto di dati sensibili, non possono sentirsi in alcun modo autorizzati a ritenere che a seguito dell’abolizione del DPS, entro il 31 marzo di ogni anno, non ci sia più nulla da fare. Anzi dovranno anche essere consapevoli che nel caso di un controllo da parte delle autorità competenti oppure in sede contenziosa, su di loro incomberà comunque l’onere della prova di aver adempiuto agli obblighi imposti dalla legge a tutela della privacy entro la data stabilita. Mentre finora tale onere poteva essere adempiuto esibendo il DPS con data certa, per effetto dell’abolizione del documento, sarà molto più difficile dimostrare di essere in regola.

A ciò si aggiunga che la legge di conversione del decreto “Semplifica Italia” nulla statuisce in merito alla formazione dei responsabili e degli incaricati. Atteso che la norma abrogata, nel definire il contenuto del DPS, prevedeva che in tale documento si facesse espresso riferimento alla formazione annuale dei responsabili e degli incaricati, si è sbrigativamente concluso che anche questo impegno non dovesse essere più assolto. Tuttavia, per esperienza personale, ho verificato che gli incontri formativi, soprattutto se intesi come un momento di confronto dinamico con tutti coloro che quotidianamente trattano i dati personali, sensibili e giudiziari, sono più utili di qualsiasi altro adempimento. Infatti, permettono di esaminare tematiche e questioni che spesso appaiono astratte e di sensibilizzare le persone rispetto alla necessità di sviluppare un interesse maggiore per la tutela della riservatezza e, dunque della personalità dell’individuo, e di trasmettere il messaggio soprattutto ai più giovani. Inoltre, in sede formativa emergono i dubbi e si trovano le soluzioni alle problematiche applicative del d.lgs. 196 del 2003.

Concludendo, dunque, è decisamente consigliabile continuare ad adempiere agli obblighi imposti dal d.lgs. 196 del 2003 adottando le misure minime di sicurezza in esso indicate aggiornando regolarmente la documentazione e, quindi, soprattutto le nomine dei responsabili e degli incaricati del trattamento, il registro che attesta il cambiamento delle password e le informative.