TEST SIEROLOGICI E TRATTAMENTO DEI DATI PERSONALI IN AMBITO LAVORATIVO: ULTERIORI CHIARIMENTI DA PARTE DEL GARANTE PRIVACY

21/05/2020

Con un comunicato stampa del 14 maggio 2020, il Garante per la Protezione dei Dati Personali (infra “Garante”) ha pubblicato una nuova versione delle FAQ (“Frequently Asked Questions”) [1] chiarendo alcuni aspetti irrisolti dell’utilizzo dei dati derivanti dai c.d. “test sierologici” dei dipendenti. In particolare, il Garante ha negato la possibilità per il datore di lavoro di effettuare direttamente i test sierologici ai propri dipendenti in assenza di esplicita richiesta medica e ha inteso regolamentare il corretto trattamento dei dati sanitari sensibili raccolti da parte delle imprese private e delle pubbliche amministrazioni.

 

Il sistema di “Test – Screening”
Il generale sistema di tracciamento e prevenzione da Covid-19, alla luce delle recenti iniziative legislative volte ad una graduale ripresa delle attività produttive e professionali, appare fortemente condizionato dalla necessità di utilizzare strumenti sufficientemente rapidi ed affidabili, tra cui è possibile annoverare i test di screening anticorpali (c.d. “test sierologici”). A tal proposito, come puntualizzato dalla recente Circolare n. 16106 pubblicata dal Ministero della Salute lo scorso 9 maggio 2020, i test sierologici rappresentano un aiuto importante nella ricerca e nella valutazione epidemiologica della circolazione virale del Covid-19 poiché essi consentono di verificare la diffusione di un’infezione all’interno della comunità di riferimento [2]. Ovviamente tali test non si sostituiscono in alcun modo a strumenti diagnostici veri e propri come il test molecolare (c.d. “Tampone”) che rimane (almeno attualmente) l’unico metodo per accertare la presenza del virus nel corpo umano.
Tuttavia, se da un lato emerge l’imprescindibile esigenza di tutela del diritto alla salute e la necessità di un effettivo contenimento dell’attuale emergenza sanitaria, d’altra parte è opportuno garantire a ciascun individuo un’adeguata tutela e protezione dei propri dati personali, elemento costitutivo del diritto alla riservatezza. Indubbiamente, tale esigenza di equilibrio deve essere bilanciata e garantita anche e soprattutto nella disciplina dei singoli rapporti di lavoro, delineando un perimetro ben definito nei comportamenti consentiti.

I chiarimenti del Garante
In considerazione della crescente diffusione dei test sierologici quale strumento di “screening preventivo” nell’individuazione dell’infezione e al fine di chiarire le corrette modalità di implementazione del “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” [3], il Garante della Privacy è recentemente intervenuto pubblicando regole concrete che definiscono il perimetro di intervento e la responsabilità del datore di lavoro nel trattamento e nella diffusione di dati personali. In primo luogo, per quanto concerne l’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il Garante precisa che risulta impossibile per il datore di lavoro effettuare in piena autonomia un test sierologico nei confronti del proprio dipendente: “Solo il medico del lavoro – puntualizza il Garante – “nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici, e sempre il medico competente può suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento della diffusione del virus e della salute dei lavoratori” [4]. Di conseguenza, soltanto in situazioni di specifica utilità e dopo aver ottenuto il consenso da un professionista sanitario sarà possibile richiedere al dipendente di sottoporsi ad esami diagnostici. Sotto un altro profilo si chiarisce che nulla osta che il singolo datore di lavoro possa offrire ai propri dipendenti, sostenendo in tutto o in parte i relativi costi, la possibilità di effettuare test sierologici presso strutture pubbliche e/o private, senza però poter in alcun modo conoscere l’esito finale dell’esame svolto.
Per quanto concerne alcune categorie comunemente classificate ad alto rischio di contagio, tra le quali si annoverano forze dell’ordine e operatori sanitari, il Garante ha chiarito che la possibilità di prendere parte a screening sierologici promossi dai singoli Dipartimenti di Prevenzione Regionali può avvenire solo e soltanto su base volontaria. I relativi risultati potranno essere utilizzati soltanto dalla struttura sanitaria che ha effettuato il test per elaborare la corretta diagnosi e le successive misure di contenimento necessarie.

Il trattamento dei dati personali raccolti
Il Garante si è inoltre espresso in tema di conservazione e trattamento delle informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore.
Tali informazioni non possono essere oggetto di trattamento diretto da parte del datore di lavoro, il quale non è autorizzato a consultare i referti e gli esiti specifici degli esami svolti dal proprio dipendente, salvo i casi espressamente previsti dalla legge. Al contrario, chiariscono le FAQ, “Il datore di lavoro deve, invece, trattare i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire”. Inoltre, al fine di poter riammettere regolarmente il dipendente al lavoro, le visite e gli eventuali accertamenti ritenuti necessari devono essere posti in essere esclusivamente dal medico del lavoro o da altre personalità mediche competenti, nel pieno rispetto delle disposizioni generali che vietano tassativamente al datore di lavoro di effettuare in via diretta esami diagnostici di qualsiasi tipo sui dipendenti.

Conclusioni
Tali recenti indicazioni attuative diffuse dal Garante della Privacy si aggiungono ai numerosi chiarimenti pubblicati nelle scorse settimane, con riguardo al trattamento dei dati personali in ambito lavorativo. Tra questi spicca l’assoluto divieto, in capo al datore di lavoro, di comunicare l’identità di un dipendente affetto da Covid-19. Trattandosi di dati sanitari e come tali estremamente riservati, viene richiesto al datore di lavoro di fornire le informazioni necessarie in via esclusiva alle autorità sanitarie competenti, le quali provvederanno all’attuazione della normativa d’urgenza e alla predisposizione delle misure opportune per il contenimento del contagio, compresa la dovuta profilassi nei confronti dei soggetti a stretto contatto con il contagiato. “La comunicazione di informazioni relative alla salute”, specifica il Garante sul punto, “sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti”.
Da ultimo va rilevato che, nonostante le molteplici puntualizzazioni operate dal Garante, permangono tuttora alcuni aspetti di evidente criticità in relazione alla effettiva comunicazione e conoscenza di dati sanitari sensibili all’interno della struttura organizzativa aziendale e alla persona del datore di lavoro. Concretamente, infatti, nel caso in cui un soggetto scelga di sottoporsi privatamente e in totale autonomia ad un test di screening per accertare la propria condizione e risulti positivo, tale esito sarà oggetto di comunicazione all’Agenzia di Tutela della Salute (c.d. “ATS”) competente sul territorio, la quale disporrà mirati interventi d’urgenza e il conseguente obbligo per il soggetto interessato di sottoporsi a tampone diagnostico per confermare l’effettiva presenza del virus. In tal caso, il dato medico specifico in questione sarà comunque oggetto di comunicazione al datore di lavoro, il quale ne verrà a conoscenza per il tramite del medico competente e disporrà dunque di tale informazione riservata riguardante il proprio dipendente. Alla luce di ciò, risulta chiaro come alcuni aspetti relativi alla diffusione e al trattamento dei dati personali in ambito lavorativo non emergano con sufficiente chiarezza dalla recente integrazione pubblicata dal Garante e non aderiscano complessivamente alla realtà fattuale, limitandosi a prevedere soltanto linee guida di carattere generale e niente affatto esaustive. È dunque auspicabile ritenere opportuno un nuovo intervento chiarificatore al fine di assicurare il giusto equilibrio tra le esigenze sanitarie dettate dalla situazione emergenziale e la necessità di preservare il diritto alla privacy del singolo individuo.

[1] Per la consultazione integrale del documento pubblicato v. il sito istituzionale: www.garanteprivacy.it;
[2] Il Ministero della Salute, con la circolare datata 29 aprile 2020, ha affermato che “i test sierologici, secondo le indicazioni dell’OMS, non possono sostituire il test diagnostico molecolare su tampone, tuttavia possono fornire dati epidemiologici riguardo la circolazione virale nella popolazione anche lavorativa”;
[3] Così come pubblicato nella versione originaria del 14 marzo 2020 e successivamente integrato in data 24 aprile 2020;
[4] Per un approfondimento ulteriore v. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020.

Paolo Rovera


TITOLARI DEI DIRITTI, ISP E DATI DEGLI UTENTI FRA DIRITTO D’AUTORE E GDPR: IN ATTESA DELLA DECISIONE SUL CASO COSTANTIN È INTERVENUTO IL GIUDICE OLANDESE

19/05/2020

Il Tribunale distrettuale dell’Aia, con decisione pubblicata il 6 maggio 2020, ha ordinato ad un noto service provider olandese di fornire al titolare dei diritti i dati degli utenti, compresi gli indirizzi e-mail, affermando che tale ordine è compatibile con il regolamento generale sulla protezione dei dati n. 2016/679 (comunemente noto come GDPR).

 

I fatti alla base della controversia
L’azione è stata proposta da Dish Network, un fornitore di tv a pagamento statunitense, che detiene i diritti esclusivi per la distribuzione e l’esecuzione pubblica negli Stati Uniti di programmi televisivi protetti da diritto di autore, con mezzi che includono satellite, OTT, IPTV e Internet. Il titolare dei diritti era venuto a conoscenza che due IPTV trasmettevano contenuti di propria titolarità senza autorizzazione, attraverso indirizzi IP di proprietà del provider WorldStream, che fornisce servizi di hosting.
Il titolare dei diritti ha inviato al provider una serie di lettere di diffida per richiedere la disabilitazione all’accesso degli indirizzi IP collegati alle IPTV illecite. WordStream provvedeva al blocco come richiesto.
La controversia è sorta tuttavia quando il titolare dei diritti ha richiesto al provider di fornire le informazioni che permettessero di identificare gli utenti collegati agli indirizzi IP bloccati. Su questo punto, WorldStream ha affermato di poter fornire tali informazioni solo in caso di totale manleva da parte di Dish Network per qualsiasi responsabilità ai sensi del GDPR. Insoddisfatto della proposta di WordStream, Dish Network citava quindi in giudizio questo provider affinché gli fosse ordinato di fornire le seguenti informazioni:
(A) Nome e indirizzo degli utenti, compreso il loro indirizzo e-mail e, nel caso di persone giuridiche, il loro numero di registrazione nel registro delle imprese del loro Stato di origine;
(B) i numeri di telefono degli utenti, la data di nascita e l’ID utente di WorldStream e, nel caso di persone giuridiche, tutte queste informazioni per il loro rappresentante legale; e
(C) informazioni sui pagamenti, dati sul traffico degli utenti, corrispondenza con WorldServe, altri indirizzi IP degli utenti, oltre una serie di ulteriori informazioni.

La decisione del Tribunale distrettuale
La richiesta di Dish Network si basava su una disposizione generale di accesso alle prove, l’art. 843a del Codice di Procedura Civile Olandese – DCCP, in combinazione con l’art. 1019a DCCP, attuazione dell’articolo 6 della Direttiva Enforcement, in base ai quali qualsiasi soggetto ha diritto di richiedere alla propria controparte le prove se ha un interesse legittimo ad ottenerle. La richiesta riguarda prove specificamente identificate che sono in possesso della controparte e riguardano un rapporto giuridico di cui il ricorrente è parte.
Il Tribunale distrettuale ha ritenuto che, nel caso di specie, Dish Network avesse un interesse legittimo ad ottenere le informazioni e che avesse reso sufficientemente credibile il fatto che i suoi diritti di proprietà intellettuale fossero effettivamente violati dai clienti di WorldStream per garantirne la divulgazione.
Tuttavia, la Corte distrettuale ha limitato la divulgazione solo a nomi, indirizzi, indirizzi e-mail e, nel caso di persone giuridiche, numeri di registrazione (punto A delle richieste di Dish Network), mentre ha rigettato la richiesta di divulgazione di ulteriori informazioni quali numeri di telefono, date di nascita, informazioni sui pagamenti e altri dati. Secondo il giudice, infatti, tali ulteriori dati non erano stati sufficientemente identificati e, in ogni caso, in applicazione del criterio di proporzionalità, le informazioni relative ai nomi, indirizzi e indirizzi e-mail erano stati ritenuti sufficienti per identificare gli utenti che avevano commesso la violazione dei diritti del ricorrente. In considerazione della portata limitata dell’ordine, il Tribunale distrettuale ha anche ritenuto che l’adempimento da parte di WorldStream non costituisse un onere eccessivo.
Con riferimento alla questione di ammissibilità dell’ordine di divulgazione ai sensi del GDPR, il Tribunale distrettuale ha affermato che l’art. 6, paragrafo 1, lettera f), del GDPR, consente il trattamento dei dati personali qualora ciò sia “necessario ai fini dei legittimi interessi perseguiti … da un terzo”. Nel caso di specie, il trattamento è stato ritenuto necessario in quanto Dish Network non avrebbe avuto altri mezzi per rintracciare gli utenti e per far valere i propri diritti, ritenendo quindi prevalente l’interesse del ricorrente a tutelare i propri diritti di autore di rispetto ai diritti di privacy degli utenti.

La decisione qui commentata è di particolare interesse perché strettamente correlata al giudizio attualmente pendente dinanzi alla Corte di giustizia dell’Unione europea (CGUE) nella causa C-264/19 Constantin Film Verleih [https://www.lexology.com/library/detail.aspx?g=c6f8500e-344e-47e6-a1df-8ce50d60f840]. Nel giudizio innanzi alla CGUE, secondo le conclusioni del 2 aprile 2020 dell’Avvocato generale Saugmandsgaard Øe, l’ordine di divulgazione dei dati non deve ricomprendere gli indirizzi di posta elettronica o i numeri di telefono e ciò poichè i termini i “nomi e indirizzi” di cui all’articolo 8, paragrafo 2, lettera a) della Direttiva Enforcement dovrebbero essere interpretati in modo molto ristretto. La decisione del Tribunale Distrettuale dell’Aia, tuttavia, non si è basata solo sull’interpretazione dell’art. 8 della Direttiva ma, come si è visto, su norme generali di carattere nazionale relative all’accesso alle prove, che conferiscono al titolare dei diritti il potere di ricevere informazioni più complete. Ciò, peraltro, nel pieno rispetto della direttiva Enforcement, che lascia aperta la possibilità per gli Stati membri di fornire ai titolari dei diritti mezzi di raccolta di informazioni di più ampia portata.
E’ comunque interessante il bilanciamento dei diritti operato dal Tribunale distrettuale, il quale ha ritenuto necessario l’accesso ai dati da parte del titolare dei diritti per una piena tutela degli stessi, prevalenti rispetto al diritto alla privacy degli utenti (applicabile, lo si ricorda, solamente ad utenti persone fisiche e non anche a persone giuridiche, per le quali non si può parlare di dati personali).
La decisione olandese è simile per certi punti di vista alle decisioni milanesi e romane del XXX [https://www.lexology.com/library/detail.aspx?g=c6f8500e-344e-47e6-a1df-8ce50d60f840], che appaiono tuttavia – correttamente – di portata ancora più vasta. Le decisioni in questione hanno infatti ordinato ad alcuni hosting provider di fornire al titolare dei diritti tutte le informazioni relative agli utenti ed utili alla loro identificazione, quali nome, cognome, data di nascita, luogo di nascita e indirizzo di residenza, codice fiscale, ovvero ragione e sede sociale e numero di identificazione ai fini fiscali o di registrazione nel registro delle imprese, o analoghi, in caso di persona giuridica. Ciò in quanto ammesso ai sensi degli articoli 156bis e 156ter l. 633/1941, i quali prevedono infatti espressamente la possibilità per il titolare dei diritti di richiedere un ordine di discovery dei dati dei contraffattori. Del resto va notato che in molti casi alcuni dei dati utilizzati dai contraffattori per l’utilizzazione dei servizi di hosting sono falsi e del tutto inidonei all’effettiva identificazione dei contraffattori stessi (come ad esempio il nome, il cognome, lo stesso indirizzo email). Spesso anche i dati relativi ai pagamenti sono in sé poco utili, dal momento che i contraffattori utilizzano servizi di anonimizzazione. Per conseguenza, appare del tutto corretto che i titolari dei diritti violati possano accedere a tutte le informazioni a disposizione del provider, e che quest’ultimo fornisca la massima cooperazione per l’identificazione, e che in mancanza di tale comportamento in buona fede si possa configurare una responsabilità autonoma e diretta a suo carico.

Margherita Stucchi


CASSAZIONE N. 8433/2020: CONFERMATA LA TUTELA AUTORALE PER I CONCEPT STORE DI KIKO

13/05/2020

La Prima Sezione della Corte di Cassazione ha confermato la configurabilità di un diritto d’autore di un progetto o un’opera di arredamento di interni quale opera dell’architettura a condizione che ricorrano una serie di caratteristiche ovvero una progettazione unitaria, uno schema in sé definito e visivamente apprezzabile, una chiara chiave stilistica, ovvero l’impronta personale dell’autore.

 

La decisione pone fine al contenzioso tra due note aziende attive nel settore della produzione e commercializzazione di cosmetici ovvero KIKO e WYCON: La prima aveva agito in giudizio contro la concorrente lamentando che questa avesse ripreso indebitamente l’aspetto dei propri concept-store progettati da uno studio di architettura su sua commissione, così violando i propri diritti d’autore sul progetto e commettendo atti di concorrenza sleale, anche per l’identica ripresa di altri elementi, quali l’abbigliamento e accessori delle commesse, il format del sito web, le promozioni commerciali e i prodotti elaborati dalla stessa.

Con la sentenza n. 11416/2015, il Tribunale di Milano aveva già riconosciuto il carattere creativo e originale del progetto dei punti vendita dell’attrice, sottolineando che la scelta, la combinazione e la conformazione degli elementi di arredamento utilizzati dall’attrice presentavano sufficienti elementi di creatività, in quanto non imposti dal problema tecnico che l’autore voleva risolvere, tali da rendere originale e creativo il progetto di architettura. Il danno subito da KIKO è stato quantificato in Euro 700.000,00. La liquidazione ha tenuto conto dell’importo pagato da KIKO per la realizzazione del progetto, moltiplicato per 10. Dopo la conferma in sede di appello, WYCON aveva proposto ricorso in Cassazione, motivandolo anche con l’errata quantificazione dei danni subiti da KIKO.

Con la sentenza 8433 del 30 aprile 2020, La Corte di Cassazione si è soffermata sulla censura sollevata dalla ricorrente secondo cui un concept-store non sarebbe tutelabile come opera dell’architettura, ai sensi dell’art. 2 n. 5 l.a., in quanto difetterebbe l’individuazione di una superficie di immobile specifica, in cui l’opera dovrebbe incorporarsi, e l’organizzazione di tale spazio mediante elementi strutturali fissi.

La Corte, nel ritenere parzialmente infondato il motivo, ha ricordato che l’opera dell’ingegno è protetta dall’ordinamento purché presenti un elemento o una combinazione che sia originale, frutto della creatività, così da potersi identificare, pur inserendosi in un genere assai diffuso, per essere un prodotto singolare dell’autore e da poter essere individuata tra le altre analoghe. La nozione di architettura comprenderebbe quindi quell’attività “rivolta alla creazione e modificazione degli spazi per renderli fruibili all’uomo”, anche nell’organizzazione degli interni.
Muovendo da questi presupposti, la Corta ha affermato che “in tema di diritto d’autore, un progetto o un’opera di arredamento di interni, nel quale vi sia una progettazione unitaria, in uno schema in sé visivamente apprezzabile, che riveli una chiara «chiave stilistica», di singole componenti organizzate e coordinate per rendere l’ambiente funzionale ed armonico, ovvero l’impronta personale dell’autore, è proteggibile come progetto di opera dell’architettura, ai sensi dell’art.5 n. 2 I.a. («i disegni e le opere dell’architettura»), a prescindere dal requisito dell’inscindibile incorporazione degli elementi di arredo con l’immobile, non presente nella suddetta disposizione, o dal fatto che gli elementi singoli di arredo che lo costituiscano siano o meno semplici ovvero comuni e già utilizzati nel settore, purché si tratti di un risultato di combinazione originale, non imposto da un problema tecnico-funzionale che l’autore vuole risolvere”.
Per quanto riguarda la liquidazione del danno, la Corte ha cassato la sentenza impugnata rinviandola in Corte d’Appello per una nuova quantificazione. Secondo quanto rilevato dalla Corte, la quantificazione del danno operata dai Giudici di merito sarebbe arbitraria.
Questa decisione riveste particolare importanza non solo per gli studi di architettura e design di interni, ma anche per tutti gli imprenditori che investono risorse nella creazione di un ambiente all’interno dei propri negozi, spinti dall’idea che il momento dell’acquisto possa essere un’esperienza a 360 gradi per i propri clienti, esperienza che parte proprio dagli arredamenti dei propri punti vendita.

Paolo Passadori


IL DATO INFORMATICO È UNA COSA MOBILE SUSCETTIBILE DI APPROPRIAZIONE INDEBITA

06/05/2020

È quanto recentemente stabilito dalla seconda sezione penale della Corte di Cassazione con la sentenza n. 11959 del 10 aprile 2020.

 

Il fatto.
La vicenda oggetto della pronuncia in commento origina dalla condotta contestata all’imputato, il quale prima di rassegnare le proprie dimissioni dalla società di cui era dipendente, aveva restituito alla società il notebook aziendale con l’hard disk formattato, senza traccia dei dati informatici originariamente presenti. Questi ultimi venivano in parte rinvenuti copiati sul computer personale dell’imputato. Con sentenza del 30 giugno 2017 il Tribunale di Torino condannava l’imputato ascrivendo la sua condotta al reato di danneggiamento di sistema informatico previsto dall’art. 635 quater c.p.. La decisione del giudice di prime cure veniva parzialmente riformata dalla Corte d’Appello di Torino, che con sentenza del 14 giugno 2018 assolveva l’imputato da tale reato ma al contempo lo condannava al diverso delitto di appropriazione indebita di cui all’art. 646 c.p.. Ricorreva in Cassazione l’imputato, che domandava la propria assoluzione dal reato di appropriazione indebita adducendo che lo stesso non avrebbe potuto configurarsi data l’impossibilità di qualificare il dato informatico come una “cosa mobile”, elemento costitutivo del reato in questione assieme al denaro. I giudici di legittimità, discostandosi dal filone giurisprudenziale prevalente, dichiaravano infondato il primo motivo di ricorso dell’imputato ed affermavano che il dato informatico, per caratteristiche e funzioni, ben può essere considerato una cosa mobile ai sensi della legge penale e dunque integrare le figure di reato previste dal legislatore che sanzionano la sua indebita sottrazione e/o appropriazione.

L’orientamento giurisprudenziale precedente e la nozione di “cosa mobile”.
L’iter argomentativo seguito dalla Suprema Corte trae origine dalla constatazione che manca nel sistema normativo penale italiano una definizione positiva di cosa mobile, se non nella disposizione di cui al secondo comma dell’art. 624 c.p., che con riferimento specifico al delitto di furto equipara alla cosa mobile “l’energia elettrica e ogni altra energia che abbia un valore economico”. L’assenza di una definizione normativa rende pertanto necessario lasciare all’interprete il compito di attribuire ad essa il significato più congruo e adeguato anche in considerazione dell’evoluzione sociale e tecnologica registrabile nel tempo.
Sulla base di tale premessa la Corte passa in rassegna alcune (anche relativamente recenti) pronunce di legittimità ancorate alla nozione tradizionale di “cosa mobile”. Tali pronunce identificano quale necessario elemento strutturale della cosa mobile la sua intrinseca capacità di formare oggetto di materiale apprensione, detenzione, sottrazione, impossessamento ed appropriazione. Carattere che mancherebbe quando si ha a che fare con i c.d. beni “immateriali”, quali appunto i dati informatici. Questi, non potendo essere materialmente percepiti dal punto di vista sensoriale, non potrebbero formare oggetto di sottrazione o (in questo caso) di appropriazione se non nelle limitate ipotesi in cui simili condotte abbiano ad oggetto i supporti fisici (ad es. l’hard disk) contenenti i dati informatici.

L’evoluzione interpretativa.
Ad opinione dei giudici della Corte siffatto orientamento merita di essere superato in favore di una lettura più moderna e aggiornata della nozione di cosa mobile, che tenga conto del mutato panorama delle attività che l’uomo è in grado di svolgere mediante le apparecchiature informatiche. È infatti innegabile che l’evoluzione tecnologica ed informatica ha progressivamente dato vita a innumerevoli esempi di beni ed entità che – per quanto non fisicamente apprensibili – sono comunque dotati di quei caratteri di materialità e fisicità che consentono il loro spostamento da un luogo a un altro e – di conseguenza – la loro illegittima appropriazione e sottrazione. “Cosa mobile”, dunque, non (più) come bene suscettibile di apprensione fisica ma come bene dotato di una sua fisicità e suscettibile di spostamento.

La nozione di file e il giudizio della Corte.
Nel nuovo contesto così delineato appare chiaro alla Corte che anche il file e il dato informatico debbano rientrare nella nozione di cosa mobile ai sensi della legge penale. Il file, scrive la Corte, altro non è che un insieme di dati informatici archiviati o elaborati al suo interno. Si tratta, in altre parole, di una struttura digitale all’interno della quale viene archiviato e memorizzato un determinato numero di dati. Una simile struttura possiede certamente una propria dimensione fisica, determinata dal numero delle componenti necessarie per l’archiviazione e la lettura dei dati inseriti al suo interno: tali elementi non sono entità astratte (immateriali stricto sensu), ma occupano fisicamente una porzione di memoria quantificabile e possono subire operazioni perfettamente registrabili dal sistema operativo, quali la creazione, la copiatura e l’eliminazione.
Il file, dunque, pur difettando del requisito di una apprendibilità materialmente percepibile, è comunque connotato da una indubitabile fisicità e materialità, come dimostra il fatto che un qualsiasi file digitale ben può essere trasferito da un supporto informatico all’altro, viaggiare attraverso la rete internet, essere custodito e conservato all’interno di ambienti virtuali (cloud), il tutto a prescindere dalla sua collocazione all’interno di strutture fisiche direttamente apprensibili dall’uomo. Sulla base di tale doverosa interpretazione, conclude la Corte, il file informatico non solo può ma addirittura deve essere considerato come una cosa mobile, presentando tutte le caratteristiche che confermano il presupposto logico della possibilità di formare oggetto delle condotte di sottrazione ed appropriazione rilevanti nei reati contro il patrimonio.
Ricorda la Corte che la bontà giuridica di una simile interpretazione trova del resto ulteriore conferma compiendo un doveroso parallelismo con il denaro, il quale ultimo è stato espressamente indicato dal legislatore penale come oggetto della condotta di appropriazione indebita, insieme appunto alla cosa mobile. Ebbene il denaro, alla stessa stregua dei file informatici, è chiaramente suscettibile di operazioni contabili, così come di trasferimenti giuridicamente efficaci, anche in assenza di una materiale apprensione delle unità fisiche che rappresentano l’ammontare del denaro oggetto; ugualmente, sono perfettamente configurabili condotte dirette alla sottrazione o all’impossessamento del denaro anche in assenza di alcun contatto fisico con il denaro, attraverso operazioni bancarie disposte telematicamente.

Il principio di diritto.
Sulla base di tali considerazioni i giudici di legittimità hanno ritenuto di dovere superare il precedente orientamento giurisprudenziale mediante l’affermazione del seguente principio di diritto: “i dati informatici (files) sono qualificabili come cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer formattato”. Sarà sufficiente un simile cambio interpretativo per rendere concreta ed effettiva la tutela dei file digitali, porzione fondamentale degli attuali asset immateriali di qualsiasi azienda?

Giorgio Rapaccini


LA SANIFICAZIONE AMBIENTALE AI TEMPI DEL COVID-19: COME RICOMINCIARE LE ATTIVITA’ PRODUTTIVE NEL RISPETTO DELLA NORMATIVA VIGENTE

29/04/2020

Il settore della sanificazione ambientale è oggetto di una specifica regolamentazione nazionale ed europea. Di recente, a causa dell’epidemia Covid-19, è stato interessato da provvedimenti emergenziali specificamente diretti a disciplinare la sanificazione relativa al COVID-19.Tali provvedimenti, se non contraddistinti da chiarezza e univocità, rischiano di rendere la ripresa delle attività produttive nel rispetto della compliance aziendale un percorso ad ostacoli. La violazione delle norme espone infatti a rischi sia gli utenti dei servizi di sanificazione, sia le imprese stesse di sanificazione, che si espongono a sanzioni penali e amministrative, e possono anche commettere un illecito concorrenziale.

 

L’attuale contesto di emergenza Covid-19 ha portato sotto i riflettori i servizi di sanificazione, che nei prossimi mesi potranno interessare tutti (o quasi) i luoghi pubblici e privati ove si svolge la vita quotidiana del paese.
Sono moltissime le imprese che in questo periodo offrono servizi di igienizzazione, sanificazione e disinfezione ambientale. Attenzione però. Nell’attuale contesto emergenziale, in cui le direttive ministeriali e le poche informazioni scientifiche sul come affrontare il Coronavirus risultano spesso non univoche, molte aziende corrono il rischio di incorrere in sanzioni. Il settore della sanificazione è, infatti, oggetto di una specifica regolamentazione che riguarda sia i prodotti utilizzati [1] nella sanificazione, sia le aziende attive in questo settore, le quali devono possedere determinati requisiti [2].

Il primo problema che si pone è quello di comprendere quali siano le corrette pratiche di sanificazione da Covid-19 indicate dagli organi competenti e quali prodotti debbano essere usati a seconda della procedura richiesta. I termini igienizzazione, sanificazione e disinfezione, benché spesso utilizzati in modo indifferenziato, hanno significati diversi. L’attività di sanificazione riguarda il complesso di procedimenti e operazioni atti a rendere sani determinati ambienti mediante l’attività di pulizia e/o disinfezione e/o disinfestazione. La disinfezione è il processo attraverso cui vengono eliminati la maggior parte dei microrganismi patogeni su oggetti inanimati. Infine, la pulizia o detersione consiste nella rimozione del materiale organico e inorganico da oggetti e superfici e viene solitamente eseguita usando acqua e detergenti.

Una prima direttiva riguardante la corretta procedura di sanificazione da Covid-19 è pervenuta dal Ministero della Salute con la circolare n. 5443 del 22/2/2020 (infra, anche “la Circolare”), la quale distingue la sanificazione di ambienti sanitari da quelli non sanitari.

La sanificazione di ambienti sanitari
La Circolare considera gli ambienti sanitari luoghi ad alto rischio di infezione Covid-19 ed indica per questi ultimi una procedura di sanificazione che includa:
1) pulizia a mezzo di detergenti; seguita da
2) applicazione di disinfettanti di uso ospedaliero (suggeriti l’ipoclorito di sodio (0.1% -0,5%), etanolo (62-71%) o perossido di idrogeno (0.5%)).
La circolare, dunque, suggerisce alcuni materiali disinfettanti ma non esclude l’utilizzo di altre sostanze, purché abbiano un’efficacia disinfettante pari a quella delle sostanze indicate.

La sanificazione di ambienti non sanitari
La Circolare indica la seguente procedura per gli ambienti non sanitari in cui ha soggiornato un caso di Covid-19 accertato [3]:
1) pulizia con acqua e detergenti comuni;
2) decontaminazione con sostanze raccomandate quali ipoclorito di sodio 0,1% ed etanolo al 70% dopo pulizia con un detergente neutro.
In questo caso, la Circolare non impone espressamente la sanificazione a mezzo di disinfettanti (come nel caso degli ambienti sanitari), limitandosi a fare uso del termine più generico della “decontaminazione”.

È opportuno chiedersi se il differente wording utilizzato dalla Circolare (nonché l’espressa distinzione tra ambienti sanitari e non sanitari) implichi l’indicazione di una diversa procedura di sanificazione: nello specifico, se solo per i locali sanitari questa debba avvenire a mezzo di prodotti disinfettanti. Si tratta di un aspetto cruciale per l’operatore del servizio, giacché la qualifica di un prodotto come disinfettante richiede una serie di adempimenti.
Come è stato chiarito dal Ministero della Salute (cfr Comunicato 6/4/2020), tutti i prodotti che rivendicano un’azione disinfettante sono classificabili come biocidi e sono posti in commercio solo dopo aver ottenuto una specifica autorizzazione da parte del Ministero della Salute o della Commissione Europea [4]. I biocidi sono, infatti, sottoposti ad un controllo preventivo al fine di valutare la loro efficacia nonché la sicurezza per il consumatore e per l’ambiente. È opportuno precisare: i prodotti che rivendicano attività igienizzante e/o di rimozione di germi e batteri, se privi della suddetta autorizzazione, non sono da considerarsi come prodotti disinfettanti, bensì come prodotti detergenti. In quanto tali, questi ultimi sono immessi in commercio come prodotti di libera vendita [5] (cfr Comunicato del Ministero della Salute 20/2/2019).

Ne deriva che sembrerebbero astrattamente possibili due interpretazioni della Circolare.
Secondo la prima, più liberale, per la sanificazione da Covid-19 di ambienti non sanitari non sarebbe necessario utilizzare disinfettanti (nel senso di prodotti giuridicamente qualificabili come tali), con la conclusione che potrebbero essere impiegati prodotti privi dell’autorizzazione come biocidi/presidi medico chirurgici e riconducibili all’ambito dei detergenti/igienizzanti. Tuttavia, tenendo in debito conto alcune informazioni scientifiche rilasciate dagli organi competenti, sembra possibile un’altra interpretazione della Circolare, più rigorosa e prudenziale. In particolare, la Raccomandazione dell’Istituto superiore di sanità del 29 marzo 2020 afferma che per la sanificazione dei locali da Covid-19 devono essere impiegati prodotti aventi proprietà disinfettanti. Sembrerebbe logico dedurre, allora, che l’utilizzo del termine “decontaminazione” implichi comunque l’utilizzo di un quid pluris rispetto al prodotto detergente/igienizzante, e quindi – in particolare – di veri e propri disinfettanti (in quanto tali, appositamente autorizzati dalle autorità competenti).

Imprese di sanificazione e requisiti previsti dalla normativa vigente
Oltre alla conformità dei prodotti impiegati nella sanificazione alla normativa vigente, le imprese che offrono questo servizio devono essere in possesso dei requisiti previsti dall’ordinamento (cfr L. 25 gennaio 1994 n. 82 e D.M. 7 luglio 1997, n. 274).
Nello specifico, il regolamento ministeriale 7 luglio 1997, n. 274 individua per l’esercizio delle attività di sanificazione degli specifici requisiti di “capacità economico-finanziaria” e di “capacità tecnica e organizzativa”. Questi ultimi, in particolare, devono essere posseduti dal titolare, da un socio o da un soggetto preposto alla gestione tecnica dell’impresa ad esclusione di un consulente o professionista esterno. I requisiti di onorabilità (es. assenza di condanne penali, di misure di prevenzione, di contravvenzioni in materia di lavoro e previdenza) sono previsti direttamente all’art. 2 della L. 25 gennaio 1994 n. 82 e devono essere posseduti da soggetti diversi a seconda del tipo di impresa. Per le imprese di sanificazione prive dei suddetti requisiti sono previste sanzioni amministrative. A tale proposito, l’ANID (associazione nazionale delle imprese di disinfezione) ha annunciato azioni legali e segnalazioni alle autorità competenti nei confronti delle imprese non in regola.

In conclusione, l’impresa già qualificata a svolgere servizi di sanificazione si trova oggi in una posizione di vantaggio competitivo rispetto alle aziende che solo recentemente hanno deciso di operare in questo settore. Tale vantaggio è frutto di anni di investimenti, lavoro e adempimenti funzionali, tra l’altro, ad operare nel rispetto delle regole vigenti. L’attuale contesto di epidemia, sebbene dominato dall’esigenza di dare risposte rapide, non può comportare la liberalizzazione di un settore specificamente regolamentato. A tale proposito, è opportuno ricordare che l’esigenza di assicurare il rispetto delle norme e delle procedure – nonché di fornire agli operatori del settore gli strumenti necessari per una corretta esecuzione dei servizi di sanificazione da Covid-19 – si pone in questo caso a presidio della salute pubblica e dell’ambiente.
E’ evidente segnalare che le attività di sanificazione, come imposte dalla normativa vigente (in particolare per quanto riguarda gli ambienti ospedalieri, ma anche nel caso di uffici privati quando vi sia stato un contagio accertato), costituiscono un preciso obbligo per l’azienda, che è tenuto al rispetto di una serie di accorgimenti al fine di tutelare i propri dipendenti, collaboratori ed utenti. La violazione degli obblighi, oltre ad essere sanzionata in sede amministrativa ed in sede penale, potrebbe esporre a responsabilità risarcitorie nel caso in cui la sanificazione non sia effettuata ovvero sia effettuata in modo non corretto, e si verifichino ulteriori contagi.
È auspicabile, pertanto, un preciso e univoco utilizzo dei termini giuridici allo scopo di favorire la compliance aziendale scoraggiando eventuali comportamenti predatori sul mercato della sanificazione. A tale riguardo, si fa presente che la pubblicità ingannevole relativa ai propri prodotti/servizi o alle qualità possedute dall’imprenditore, potrebbe integrare, altresì, un illecito concorrenziale. In particolare, la concorrenza sleale per appropriazione dei pregi altrui (cfr Art. 2598 n. 2 cod. civ.) ricorre quando un imprenditore, in forme pubblicitarie o equivalenti, attribuisce ai propri prodotti pregi qualità requisiti da essi non posseduti ma appartenenti ai prodotti o all’impresa di un concorrente, perturbando così la libera scelta dei consumatori. Ugualmente costituisce atto di concorrenza sleale svolgere attività in violazione di norme pubbliche, situazione che potrebbe verificarsi per il caso in cui l’impresa si proponesse per attività di sanificazione in violazione delle regole che disciplinano questo specifico settore e che sono state sopra indicate. La violazione delle norme concorrenziali potrebbe essere fatta valere in diversi ambiti, fra cui per esempio avanti all’antitrust (per quanto concerne le comunicazioni ingannevoli), ovvero il giudice civile, con la conseguente possibilità di applicazione di sanzioni come l’inibitoria, la pubblicazione, il risarcimento del danno.

[1] Tra gli altri, cfr il Regolamento UE 528/2012 sui Biocidi, il d.P.R.392/98 sui Presidi Medici Chirurgici.
[2] I requisiti che le aziende di sanificazione devono possedere sono previsti dalla L. 25 gennaio 1994 n. 82 e dal D.M. 7 luglio 1997, n. 274.
[3] In particolare, il protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, del 14/3/2020, detta una serie di indicazioni per la pulizia e sanificazione delle aziende. Con riferimento all’ipotesi di casi accertati di Covid-19, il protocollo rinvia alle disposizioni previste dalla Circolare per la sanificazione di ambienti non sanitari (cfr punto 4. Del Protocollo condiviso).
[4] Nello specifico, i prodotti contenenti un principio attivo già approvato ai sensi del Regolamento UE 528/2012, sono regolamentati esclusivamente da tale Regolamento e immessi in commercio come biocidi. I prodotti contenenti un principio attivo in revisione in accordo al Regolamento UE 528/2012, invece, possono essere immessi sul mercato italiano ai sensi del d.P.R.392/98, come presidi medico chirurgici.
[5] Al contrario dei disinfettanti, i detergenti sono composti di sostanze chimiche che agiscono fisicamente o meccanicamente per la rimozione dello sporco (materiale organico o inorganico), esercitando un’azione di pulizia e/o di igienizzazione delle superfici.

Simona Lavagnini, Camilla Macrì