Leexè

L’esclusione del socio. Il caso delle S.r.l.: Specificità e Giusta Causa.

Commento alla sentenza del Tribunale di Napoli n. 27141/2022 del 23/03/2022 e pubblicata il 14/04/2022

Con sentenza del 23 marzo 2022, la Sezione specializzata in materia di Impresa del Tribunale di Napoli in persona del Giudice Dottoressa Livia De Gennaro, ha ritenuto fondata la questione sollevata da un socio di una S.r.l., il quale adiva all’autorità giudiziaria per sentire dichiarare nulla la delibera assembleare con la quale lo stesso era stato escluso, nonché nulla la clausola statutaria per l’esclusione del socio nella parte in cui questa prevedeva, quale giusta causa, le gravi inadempienze del socio riferite alle obbligazioni del contratto sociale.

La vicenda posta allo scrutinio del Tribunale partenopeo ha avuto ad oggetto la condotta del socio, il quale avrebbe celato all’altro socio (pari quota del 50%), quest’ultimo anche amministratore della stessa società, la pendenza di un decreto ingiuntivo dal quale sarebbe derivata l’instaurazione di un contenzioso (ancora in corso di definizione) che avrebbe, nella prospettazione di parte resistente, recato un pregiudizio alla società. A seguito di ciò, l’assemblea deliberava l’esclusione del socio dalla compagine avendo rilevato la scorrettezza del suo comportamento, non avendo questi dato conoscenza del decreto all’amministratore, privandolo così della possibilità di proporre una tempestiva opposizione.

La fondatezza della questione è stata esaminata dal Tribunale di Napoli, il quale facendo ricorso ai principi che regolano l’esclusione del socio da s.r.l., ha valutato la loro compatibilità rispetto alla fattispecie concreta.

La pronuncia in esame è di notevole interesse nella misura in cui, compatibilmente alle recenti pronunce (tutte) conformi, si sofferma sulla ratio della disciplina oggetto di interesse, evidenziando i profili di differenza e incongruenza rispetto alla disciplina delle società di persone.

In particolare, l’articolo 2473-bis c.c. – nell’ambito della disciplina delle S.r.l. – prevede espressamente che “L’atto costitutivo può prevedere specifiche ipotesi di esclusione per giusta causa del socio. In tal caso si applicano le disposizioni del precedente articolo, esclusa la possibilità del rimborso della partecipazione mediante riduzione del capitale sociale”. Tale disposizione è stata introdotta con la riforma del 2003, la quale ha introdotto l’istituto dell’esclusione per le s.r.l.

Tale istituto, dapprima ritenuto incompatibile con le società a base capitalistica, ha fatto il proprio ingresso nel panorama giuridico in considerazione di una più marcata caratterizzazione personalistica delle s.r.l. rispetto alle altre società di capitali.

Tuttavia, l’operatività della disposizione non può essere considerata assoluta, né perfettamente aderente alla disciplina dell’esclusione nelle società di persone, per le quali l’art. 2286 c.c. prevede la mera contestazione di gravi inadempienze alle obbligazioni derivanti dalla legge o dal contratto sociale.

Lo stesso tenore letterale della norma informa circa la necessaria sussistenza di due requisiti.

Il primo tra questi, (i) la specificità, per la quale è necessario che la clausola statutaria disciplini adeguatamente gli aspetti sostanziali e procedurali. Ad esempio, la clausola per essere operativa dovrà individuare con esaustiva specificità l’organo competente ad assumere la decisione, le maggioranze necessarie e l’eventuale termine entro il quale il socio potrà fare opposizione.

Per quanto, invece, riguarda la nozione (ii) giusta causa sarà necessario che la clausola identifichi un grave inadempimento agli obblighi sociali specificamente (e, dunque, mai genericamente) descritti nella stessa.

La ratio della norma risponde all’esigenza di circoscrivere l’applicazione dello strumento di esclusione del socio solo a ipotesi precise e ben delineate anche al fine di educare il socio a tenere una determinata condotta, rendendolo edotto delle conseguenze derivati dal suo mancato adeguamento alla condotta richiesta.

La nozione di giusta causa non si esaurisce, tuttavia, in tutto ciò che intralcia l’esecuzione in buona fede del contratto societario, impedendo così il raggiungimento dello scopo ultimo della sua stessa costituzione, essa ricomprende anche eventi differenti dall’inadempimento pur attinenti alla persona del socio che siano “potenzialmente in grado di influire negativamente sull’attuazione dell’interesse sociale o sulla possibilità per il socio di collaborare proficuamente all’attività comune”.

Dunque, le cause di esclusione potranno anche avere natura soggettiva, in quanto potrebbero derivare dalle qualità precipue della persona del socio; da ciò deriva che, come sottolineato dalla pronuncia in commento, l’organo chiamato a decidere sull’esclusione del socio non potrà procedere ad una valutazione “oggettiva e meramente comparatistica”, bensì dovrà procedere ad un’attenta analisi, calata nel caso concreto “verificando l’idoneità della situazione attuale del socio ad apportare un detrimento al nucleo societario nonché sull’attività da quest’ultimo posta in essere.

Con riferimento alla vicenda in commento, il Giudice ha ritenuto non sussistere i requisiti di legittimità. Infatti, nonostante il socio avesse omesso all’altro socio, nonché amministratore, la pendenza di un decreto ingiuntivo, non è sembrato che questa attività potesse essere qualificata quale grave inadempimento agli obblighi sociali, né tale omissione è stata ritenuta causa di un danno patito dalla società “che ben avrebbe potuto comunque verificarsi anche in conseguenza di esito non vittorioso di un eventuale giudizio di opposizione”.

Inoltre, il Tribunale ha ritenuto la deliberazione di esclusione del socio nulla in quanto la clausola statutaria prevedeva che l’eventuale esclusione avrebbe dovuto essere pronunciata dal Tribunale del luogo della sede sociale della società e non dall’assemblea dei soci, come avvenuto.

Più nel dettaglio, ciò che la Sezione Impresa ha voluto sottolineare con la sua pronuncia, sono state le differenze sussistenti tra i diversi tipi di società nei meccanismi di esclusione del socio e gli elementi di contatto tra le S.r.l. e le società di persone; dunque, in quanto società caratterizzate dall’intuitus personae, e pertanto maggiormente “sensibili” alle cause di inadempienza derivanti dalla legge o da contratto sociale – le quali sarebbero perciò idonee a ledere il rapporto di fiducia tra il singolo e la compagine – il socio della società a responsabilità limitata può essere escluso dalla società, proprio come avviene nelle società di persone, purché tale esclusione venga sorretta dai requisiti richiesti dalla disposizione codicistica.

Il Tribunale infine ha altresì ritenuto nulla la clausola statutaria nella parte in cui questa prevedeva per l’esclusione del socio la giusta causa e faceva coincidere questa con le gravi inadempienze alle obbligazioni derivanti dal contratto sociale, facendo venir meno il requisito della specificità.

In conclusione, la giurisprudenza – forte del dato normativo – è costante nel ritenere illegittime clausole statutarie delle s.r.l. che prevedono l’esclusione del socio, anche gravemente inadempiente alle obbligazioni che derivano dalla legge e dallo statuto sociale, in maniera generica, nonché legittime le clausole che individuano quale giusta causa di esclusione il compimento di gravi irregolarità da parte del socio amministratore specificatamente indicate.

Condividi l'articolo:

Le eccezioni riconvenzionali promosse dal debitore del soggetto fallito sfuggono alla vis attractiva del rito speciale fallimentare

Con la recente ordinanza n. 9787 del 25 marzo 2022, la Corte di Cassazione si esprime nel senso di ritenere improcedibile ovvero inammissibile la pretesa creditoria proposta – in sede ordinaria in via principale e in via riconvenzionale – da chi sia debitore di un soggetto fallito.

Il provvedimento della Suprema Corte si conforma all’orientamento per cui il credito invocato nei confronti del soggetto fallito in via di eccezione riconvenzionale, in quanto diretto a contrastare la pretesa azionata dal curatore per il recupero di un credito contrattuale del soggetto fallito e non alla partecipazione al concorso dei creditori, va esaminato dal giudice della lite.

Il fatto

L’ordinanza in esame origina dalla riunione di due giudizi radicati innanzi al Tribunale di Milano ed aventi ad oggetto un contratto di appalto per lavori di ristrutturazione.

Da un lato l’appaltatore otteneva un decreto ingiuntivo per il pagamento del corrispettivo relativo ai lavori di ristrutturazione, che veniva opposto dal committente deducendo vizi e difetti delle opere commissionate, dall’altro lo stesso committente conveniva in giudizio l’appaltatore per domandare l’accertamento del venir meno del diritto al corrispettivo di quest’ultimo e il risarcimento dei danni subiti.

Al termine del giudizio, il Tribunale di Milano disponeva l’inammissibilità/improcedibilità della domanda con cui il committente aveva fatto valere il proprio credito nei confronti dell’appaltatore – medio tempore fallito – e confermava il decreto ingiuntivo.

La Corte d’Appello di Milano confermava la sentenza di primo grado rilevando come il committente non avesse contestato l’esecuzione dei lavori né l’ammontare del corrispettivo fissato per le opere. 

La Cassazione, su ricorso presentato dalla committente, cassava la sentenza impugnata rinviando la causa alla Corte d’Appello di Milano per un nuovo esame.

La pronuncia della Seconda Sezione della Corte di Cassazione

La Suprema Corte, accogliendo il primo, terzo e quarto motivo di ricorso, tracciava il confine tra il giudizio ordinario e il giudizio di verificazione fallimentare con riferimento al controcredito eccepito in compensazione con il credito del soggetto fallito.

Di regola, per avanzare una pretesa creditoria nei confronti di un soggetto fallito, occorre domandare l’ammissione allo stato passivo al fine di rispettare il concorso dei creditori sul patrimonio del fallito.

In altri termini, è preclusa l’azione di recupero del credito nell’ambito di un ordinario giudizio di cognizione.

Con la pronuncia in esame, la Cassazione statuiva che qualora il terzo convenuto nel giudizio proposto (o proseguito) dal curatore fallimentare abbia dedotto fatti costituenti eccezioni estintive, modificative o impeditive del diritto di credito del fallito ovvero eccepito in compensazione, in via riconvenzionale, l’esistenza di un proprio credito non opera il rito speciale previsto dagli art. 93 e ss. L. n. 267/1942 (di seguito, “L.F.” o “Legge Fallimentare”) per l’accertamento del passivo. Il giudice della lite, non essendo proposta alcuna domanda, si dovrà pronunciare anche sull’eccezione riconvenzionale.

Diversamente, laddove il controcredito nei confronti del soggetto fallito sia oggetto di domanda riconvenzionale, torna ad essere applicabile il rito speciale previsto dalla Legge Fallimentare nel rispetto della par condicio creditorum.

Sulla scorta di tali considerazioni la Cassazione ha rilevato come la Corte d’Appello di Milano, in violazione del principio della corrispondenza tra il chiesto e il pronunciato di cui all’art. 112 c.p.c., non ha valutato le eccezioni sollevate dal committente in ragione dei vizi e dei difetti delle opere eseguite dall’appaltatrice poi fallita, sottostanti al suo esame in quanto dirette esclusivamente a paralizzare la domanda dell’appaltatrice.

La pronuncia della Suprema Corte porta a circoscrivere l’operatività del giudizio di verificazione, posto che l’inesatta identificazione del procedimento con il quale far valere la pretesa comporta l’improcedibilità ovvero l’inammissibilità della domanda di accertamento del controcredito.

Il secondo motivo di impugnazione della pronuncia resa dalla Corte d’Appello è stato rigettato dalla Cassazione sulla scorta del fatto che il credito posto in compensazione dal committente – vantato in qualità di cessionario di un creditore dell’appaltatore – era privo del requisito della certezza in quanto oggetto di contestazione giudiziale e come tale non idoneo ad essere compensato ai sensi dell’art. 56 della L.F.

Il quinto motivo di impugnazione relativo alla mancata detrazione dal corrispettivo dell’appaltatore della somma di denaro pagato in contanti dal committente è assorbito.

La vis attractiva del giudizio di accertamento del passivo

Al fine di cogliere la portata della pronuncia in commento è opportuno tenere in considerazione le peculiarità e le finalità del sistema concorsuale.

L’articolo 52 della Legge Fallimentare delimita, dal punto di vista formale, il concorso dei crediti sul patrimonio del fallito circoscrivendolo a quelli sorti per atti compiuti dal fallito prima della dichiarazione di fallimento. Tale norma va letta in combinato disposto con gli articoli 2740 e 2741 c.c. in tema di concorso sostanziale dei creditori.

Ne derivano la stabilizzazione della consistenza del patrimonio del fallito che si sottrae alle eventuali pretese creditorie sorte in epoca successiva al fallimento e l’esistenza di un rito speciale ed esclusivo di accertamento del passivo dinanzi al tribunale fallimentare.

Non è pertanto possibile procedere ad accertamento giudiziale in sede di cognizione ordinaria dei diritti vantati nei confronti della curatela.

La Cassazione, nella pronuncia in commento, seppur confermando la vis attractiva del rito fallimentare tale per cui: “L’esclusività del giudizio di verificazione vale, peraltro, non soltanto nel caso in cui la domanda avente ad oggetto l’accertamento della pretesa creditoria verso il fallito sia stata proposta, in sede ordinaria, in via principale ma anche nel caso in cui tale domanda si stata introdotta (se del caso nelle forme dell’opposizione al decreto ingiuntivo chiesto ed ottenuto dal creditore poi fallito: Cass. n. 26993 del 2020; Cass. n. 11749 del 2011; Cass. n. 19290 del 2007; Cass. n. 10692 del 2000) in via riconvenzionale”, ne limita la portata applicativa rilevando come: “Le conclusioni esposte, tuttavia, non valgono per il caso in cui il terzo, convenuto nel giudizio proposto o proseguito dal curatore fallimentare, non abbia proposto una domanda riconvenzionale (volta cioè ad ottenere l’accertamento giudiziale, con effetti verso la massa, della pretesa asseritamente maturata nei confronti del fallito) ma si sia, piuttosto, limitato ad invocare (il fatto costitutivo di) tale credito in via di mera eccezione riconvenzionale, vale a dire al solo scopo di ottenere la dichiarazione di compensazione, con il relativo effetto estintivo (artt. 1241 c.c. e segg.), rispetto al credito fatto valere dall’attore poi fallito. In tale ipotesi, invero, il terzo chiede l’accertamento della sua pretesa creditoria verso il fallito non già ai fini della partecipazione al concorso e ai relativi riparti (L. Fall., art. 52) ma soltanto per contrastare la pretesa azionata (o proseguita) dal curatore (Cass. n. 15562 del 2011).”

Ecco allora che nel caso in esame, essendo l’eccezione di compensazione diretta esclusivamente a neutralizzare la domanda attrice e ad ottenere il rigetto, non opera il rito speciale previsto per l’accertamento del passivo dalla Legge Fallimentare.

In senso conforme, sulla portata del giudizio di verificazione per l’accertamento del diritto di credito maturato nei confronti del fallito, si segnalano le recenti pronunce della Corte Suprema, ordinanza n. 38888 del 7 dicembre 2021 e del Tribunale di Bari, sentenza n. 242 del 21 gennaio 2022.

Conclusioni

In conclusione, si può affermare che il controcredito di un debitore del fallito eccepito in compensazione verso il soggetto fallito può essere fatto valere nel medesimo giudizio promosso dal curatore fallimentare senza che sia configurabile una lesione della par condicio creditorum concorsuale e senza che sia pertanto necessario domandare l’ammissione al passivo del fallimento.

Condividi l'articolo:

Durata della società e recesso ad nutum, tra nuove certezze e vecchi dubbi

Con la recente sentenza n. 6280 del 24/02/2022, la Corte di Cassazione torna ad affrontare il tema del recesso del socio dalla società di capitali e a trattare incidentalmente quello del recesso dalla società con termine di durata particolarmente lungo, tale da superare il ragionevole orizzonte temporale della vita umana.

La pronuncia della Suprema Corte si inserisce in quello che sembra essere l’ormai consolidato orientamento della più recente giurisprudenza di legittimità – in contrapposizione al superato (?) orientamento, invero, altrettanto recente (per un approfondimento sul tema si rimanda al seguente articolo) – che fornisce un’interpretazione fortemente restrittiva delle ipotesi di exit accordate ai soci di società di capitali dal legislatore e che esclude l’equiparabilità tra la società con durata eccedente le aspettative di vita del socio e quella con durata indeterminata, limitando di fatto le possibilità di recesso ad nutum a quelle tassativamente previste dalla legge e dallo statuto.

Pronuncia che, tuttavia, a ben vedere, non scioglie ancora definitivamente i dubbi sui limiti al disinvestimento dei soci.

Il fatto

A seguito della delibera con cui l’assemblea di una S.p.A. aveva provveduto a ridurre la durata della società dal 31 dicembre 2100 al 31 dicembre 2040, uno dei soci, che non aveva partecipato all’assemblea e non aveva prestato il proprio consenso a tale delibera, esercitava il diritto di recesso avvalendosi della facoltà riconosciuta dall’art. 2437, comma 1, lett. e), c.c. (secondo il quale “hanno diritto di recedere, per tutte o parte delle loro azioni, i soci che non hanno concorso alle deliberazioni riguardanti […] l’eliminazione di una o più cause di recesso previste dal successivo comma ovvero dallo statuto”), sul rilievo che, a causa della riduzione della durata della società al 2040, era stata compromessa la facoltà del socio di recedere ad nutum ai sensi dell’art. 2437, comma 3, c.c., dovendosi ritenere – in tesi – equiparabile la società con scadenza fissata all’anno 2100 a quella costituita a tempo indeterminato.

Non ritenendo la Società legittimo il recesso esercitato dal socio, la controversia veniva compromessa in arbitri. Il lodo sottoscritto dal Collegio arbitrale veniva poi impugnato dinanzi alla Corte di Appello di Palermo dal socio dissenziente, il quale chiedeva che ne fosse dichiarata la nullità e, conseguentemente, che fosse dichiarata la legittimità del recesso ed accolta la domanda di liquidazione della partecipazione sociale.

La Corte di Appello rigettava le domande del socio, affermando che, pur essendo fondata l’assimilazione tra società costituita con durata a tempo indeterminato e società con durata a tempo determinato eccedente l’ordinaria durata della vita umana, la disciplina del recesso nelle società per azioni – a differenza di quanto sarebbe previsto per le società a responsabilità limitata – deve essere interpretata in senso restrittivo: pertanto, seppur – in tesi – idonea a limitare la facoltà di recesso, la delibera assembleare che abbrevia il termine di durata della società – impedendo di fatto l’esercizio della facoltà di recedere ex art. 2437, comma 3, c.c. – non rientra nel novero di quelle che legittimano il recesso del socio ex art. 2437, comma 1, lett. e), c.c.

Con la sentenza in commento, la Corte di Cassazione ha confermato la statuizione della Corte d’Appello di Palermo, seppur muovendo da considerazioni parzialmente differenti.

La decisione della Corte

A sostegno della propria decisione, la Suprema Corte ripercorre le caratteristiche del diritto di recesso dalle società di capitali. A differenza della Corte di merito, la Cassazione non muove dalla distinzione tra S.r.l. e S.p.A., ma da quella tra società quotate e società non quotate, dove le prime sono soggette a un rigido sistema di exit, mentre nelle seconde il diritto di recesso costituisce uno strumento alternativo e residuale rispetto ad altre forme di disinvestimento.

La Corte richiama inoltre la tradizionale distinzione tra cause di recesso necessarie, in quanto non eliminabili statutariamente, e disponibili, in quanto derogabili o eliminabili statutariamente. Queste ultime attribuiscono a loro volta al socio – laddove siano eliminate statutariamente con delibera assembleare – un autonomo diritto di recesso.

Nonostante la riforma del 2003 abbia esteso le cause di recesso a un catalogo ben più ampio di quello previsto dal legislatore del 1942, le fattispecie per le quali è riconosciuto il diritto di recesso per il socio che non abbia concorso all’approvazione di determinate deliberazioni assembleari devono continuare ad essere interpretate, secondo la Cassazione, in senso restrittivo. Infatti, il diritto di recesso deve intendersi, prevalentemente, come “estremo” strumento di tutela del socio avverso cambiamenti sostanziali dell’operazione cui partecipa, la cui disciplina tiene però conto del principio di stabilità dell’aggregazione societaria e della funzione di garanzia del patrimonio sociale.

Alla luce di tale interpretazione restrittiva, i giudici di legittimità non hanno ritenuto che la riduzione della durata della società rientrasse tra le fattispecie contemplate dall’art. 2437 c.c., laddove l’elemento temporale è astrattamente rilevante ai fini del recesso solo nell’ipotesi di proroga della durata della società (comma 2), e in quella della società costituita a tempo indeterminato (comma 3).

Conseguentemente, nel caso in esame, non essendo stato il recesso esercitato né in ragione della proroga della durata della società, né perché la società aveva una durata a tempo indeterminato (durata che, al contrario, era stata ridotta) né in virtù di clausole statutarie, la Corte lo ha ritenuto illegittimo.

La controversa equiparabilità

Ebbene, se è vero che la Cassazione ha esaurientemente esposto i condivisibili motivi sottesi alla decisione della causa, è altrettanto vero che la Corte ha omesso di pronunciarsi sulla legittimità del recesso ad nutum in caso di società contratta con termine particolarmente lungo, introducendo, anzi, elementi apparentemente antinomici rispetto all’orientamento di legittimità più recente che, come detto, non ne riconosceva l’equiparabilità al caso della società contratta a tempo indeterminato.

La sentenza in commento, infatti, benché incoraggi, secondo un orientamento ormai consolidato, un’interpretazione fortemente restrittiva delle cause di recesso dalla società di capitali, dando rilievo alle esigenze – in particolare dei terzi – di stabilità e di garanzia del patrimonio sociale, al contempo non sconfessa esplicitamente gli assunti della Corte d’Appello di Palermo che nel provvedimento impugnato aveva riconosciuto l’equiparazione della prolungata durata della società alla durata a tempo indeterminato sulla scorta del precedente orientamento giurisprudenziale di legittimità.

Se, da un lato, la Cassazione aggira l’ostacolo affermando che “la questione della equiparazione della prolungata durata della società per azioni alla durata a tempo indeterminato – ravvisata dalla Corte di appello e non costituente oggetto di impugnazione, come osservato dalla ricorrente – è priva di decisività in quanto la disamina qui svolta e la decisione impugnata prescindono da detto tema”; dall’altro, sorprende che la Corte non abbia preso una chiara posizione sul tema, posto che la sentenza impugnata traeva le proprie conclusioni sul predetto assunto e, pertanto, su principi di diritto, in tesi, superati.

Non solo. Ciò che maggiormente colpisce è l’interpretazione dell’art. 2437, comma 3, c.c. fornita dalla Corte nella sentenza in commento, dove afferma che “la previsione dettata dal comma 3, invero, ponendosi in linea con quella che riconosce la facoltà di recesso in caso di proroga della società, è intesa a tutelare il socio, al fine di evitare che questi sia costretto dal vincolo sociale oltre un tempo ragionevole contro la sua volontà”: è evidente, infatti, che se la facoltà di recedere ad nutum dipende dalla concorrenza della volontà del socio e del tempo entro il quale quest’ultimo può essere ragionevolmente tenuto a rispettare il vincolo del contratto sociale, non vi è ragione per ritenere che tale condizione non si verifichi anche in presenza di un termine di durata – appunto – ragionevolmente superiore alle aspettative di vita del socio.

Nemmeno la sentenza in commento ha, pertanto, definitivamente sciolto i profili di dubbio inerenti all’argomento in esame, apparendo ancora – e, forse, più – incerto il perimetro del diritto di recesso ad nutum connesso alla durata della società.

Non è un caso, infatti, che anche la giurisprudenza di merito più recente abbia adottato soluzioni non condivise e non unanimi, sia tra i vari fori che internamente allo stesso ufficio o circoscrizione.

Si considerino, per esempio, le recenti pronunce del Tribunale di Milano (Tribunale Milano, 19/06/2019, n. 5972; Tribunale Milano, 14/07/2020, n. 4186) che, superando il precedente principio di diritto affermato dalla Cassazione con la nota sentenza n. 9662/2013 e precorrendo il nuovo orientamento adottato dalla Suprema Corte con la sentenza n. 4716/2020, hanno escluso la facoltà di recesso ad nutum dalla società di capitali con durata particolarmente lunga.

Pronunce che, tuttavia, contrastano con quelle dello stesso Tribunale di Milano (si veda la sentenza del 30/06/2018, con la quale viene espressamente statuito che “la clausola contenuta nello statuto di una s.p.a non quotata che stabilisce un termine di durata eccessivamente lungo, nello specifico fissato all’anno 2100, è soggetta alla disciplina inderogabile dettata per le società costituite a tempo indeterminato che consente il recesso ad nutum con un preavviso di almeno 180 giorni”) e con quelle della Corte d’Appello di Milano che, seppur aderendo al più recente orientamento, ha avuto modo di affermare, in tema di s.r.l., che “affinché il termine di un’epoca lontana sia considerato come indeterminato, con possibilità di recesso ad nutum di un socio, detto termine deve essere tale da oltrepassare qualsiasi orizzonte previsionale di vita, non solo della persona fisica ma anche di un soggetto collettivo, tenuto conto della ragionevole data di compimento del progetto imprenditoriale” (App. Milano, Sez. spec. Impresa, 27/04/2021, n. 1323).

Ecco, allora, che, per esigenze di certezza e di uniformità ermeneutica, sarebbe opportuno che la giurisprudenza di legittimità provvedesse a delineare con precisione l’ambito di operatività del diritto di recesso ad nutum e, in particolare, determinasse se i principi enunciati si declinano in modi differenti a seconda del tipo di società di capitali. Ciò vale, a maggior ragione, se si considera che la giurisprudenza e la dottrina maggioritarie valorizzano un’interpretazione estensiva del recesso quale tecnica di disinvestimento dalle società a responsabilità limitata, e ciò anche in assenza di una disposizione statutaria che preveda una durata particolarmente lunga della società (si veda, a titolo esemplificativo, la massima n. 53/2015 del Consiglio Notarile dei Distretti Riuniti di Firenze, Prato e Pistoia che, sebbene nelle forme del c.d. “recesso consensuale”, ammette la possibilità per i soci di S.r.l. di svincolarsi ad nutum dal contratto sociale, anche qualora non si sia verificata alcuna causa legale o convenzionale di recesso).

Conclusioni

Concludendo, si può pacificamente affermare che la giurisprudenza, nel solco delle pronunce più recenti, abbia sposato e confermato un orientamento fortemente restrittivo in tema di recesso, inteso a tutelare maggiormente gli interessi dei creditori sociali e la stabilità del patrimonio sociale. Diversamente, non può dirsi altrettanto chiara la posizione in tema di equiparabilità tra società a tempo indeterminato e società con durata particolarmente lunga che, sebbene sia dubbia alla luce del predetto orientamento, non è stata esplicitamente esclusa, ma, anzi, sembra aver ricevuto nuovo apprezzamento con la sentenza in esame.

Sarebbe, pertanto, auspicabile che la giurisprudenza, in particolare quella di legittimità, prenda definitivamente posizione sul punto, alla ricerca di un contemperamento tra l’interesse dei soci al disinvestimento e quello dei creditori alla conservazione della garanzia patrimoniale della società, contemperamento che potrà eventualmente atteggiarsi differentemente a seconda del tipo di società di capitali.

Condividi l'articolo:

L’ “eponimo” del diritto all’oblio e il meccanismo di deindicizzazione delle notizie: profili di competenza e applicabilità.

Commento alla sentenza della Cassazione civile n. 3952 dell’8 febbraio 2022

 

La prima sezione civile della Cassazione, con sentenza n. 3952 dell’8 febbraio 2022, si è pronunciata sul ricorso presentato avverso la sentenza n. 12623/2016 del Tribunale di Milano, con la quale era stato rigettato il ricorso con cui lo stesso ricorrente chiedeva l’annullamento di un provvedimento del Garante della Privacy del 25 febbraio 2016, con il quale era stata accolta l’istanza del richiedente alla rimozione dai risultati delle ricerche internet con l’utilizzazione dei servizi di ricerca di diversi URL, che collegavano il suo nome  ad una vicenda giudiziaria  che asseriva “non interessa più il diritto di cronaca”.

 

Il Giudice di primo grado aveva ritenuto legittima l’emissione di detto provvedimento da parte del Garante dal momento che l’operazione rivolta a rendere consultabili dati personali su una pagina internet andasse considerata come un “trattamento” ai sensi dell’art. 2, lett. b), dir. 95/46/CE.; infine, aveva rilevato che in base alla giurisprudenza della Corte di Giustizia, i diritti fondamentali della persona interessata dovessero prevalere non solo sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse del pubblico a trovare l’informazione in occasione di una ricerca concernente quello stesso soggetto.

 

La decisione del Tribunale diveniva oggetto di impugnazione dinanzi alla Corte di Cassazione in virtù di cinque motivi di doglianza, dei quali, i primi, aventi ad oggetto questioni di rito, sono stati dalla stessa Corte ritenuti infondati.

 

Anche il quarto motivo di impugnazione, pur avendo ad oggetto la censura di violazione e falsa applicazione del D.lgs. 196/2003, art. 154, ha avuto la medesima sorte. A tal proposito, la società ricorrente aveva dedotto che l’Autorità Garante avrebbe avuto competenza per le materie circoscritte alle sole questioni strettamente attinenti al trattamento dei dati personali e, nel caso in esame, non vi era stato alcun trattamento dei dati, i quali sarebbero comparsi negli URL, localizzando in modo automatico il contenuto attraverso la digitazione del nome dell’interessato; pertanto, concludeva, il fornitore di servizi di motore di ricerca offrirebbe un semplice strumento di localizzazione delle informazioni, senza esercitare alcun potere di controllo sulle notizie.

Il principio accolto dalla Cassazione al fine di giungere ad una statuizione sul merito è quello secondo il quale la deindicizzazione (anche, “delisting”) è un’attività consistente nell’escludere che il nome di un soggetto compaia tra i risultati di ricerca di un motore di ricerca in esito ad una interrogazione del medesimo, pertanto la deindicizzazione permetterebbe una particolare modalità di ricerca del dato, che rimane (pur sempre) presente in rete e che, dunque, continua ad essere raggiungibile dagli utenti del motore di ricerca con uno sforzo in più.

Con il quinto motivo la ricorrente denunciava violazione e falsa applicazione dell’art. 75 c.p.c., nonché del D.lgs. n.196/2003. Si doleva, in particolare, che l’ordine di rimozione fosse stato rivolto ad una società italiana, contestandone l’assenza di legittimazione passiva, posto che non avrebbe avuto alcun potere di esecuzione dell’ordine emanato.

Sulla base delle argomentazioni offerte dalla ricorrente, il Tribunale avrebbe avallato un’interpretazione del diritto all’oblio eccessivamente sbilanciata in favore dell’interessato “a detrimento di interessi diversi, come quello dei terzi di accedere alle pagine web per finalità diverse di quelle di una verifica giudiziaria delle vicissitudini giudiziarie” dell’interessato. Le stesse hanno evidenziato altresì come un tale orientamento avrebbe come effetto quello di far gravare in capo alle società un eccessivo onere di sorveglianza onde evitare che gli URL già eliminati vengano successivamente re-indicizzati o che non vengano nuovamente messi in circolazione sotto diversi URL.

La censura formulata dal ricorrente ha ad oggetto la dedotta esorbitanza dell’ordine di cancellazione delle copie cache delle pagine web accessibili attraverso gli URL riguardanti la vice che il Garante indirizzava alla società, ordine che era stato oggetti di conferma anche da parte il Tribunale di Milano.

L’esorbitanza, a detta della Cassazione, era da rintracciarsi nella rimozione delle copie cache in questione.

 

Le Sezioni Unite hanno ricondotto la deindicizzazione al diritto alla cancellazione dei dati, dunque come una declinazione del diritto all’oblio, insieme al diritto a non vedere nuovamente pubblicate notizie relative al passato legittimamente diffuse laddove sia trascorso un determinato arco temporale tra la prima e la seconda pubblicazione e all’attualità della notizia.

 

La deindicizzazione guarda all’identità digitale del soggetto, in quanto l’elenco dei risultati che compare in corrispondenza alla digitazione del nome della persona fisica fornisce una rappresentazione dell’identità che quella persona ha in internet; infatti, quando gli utenti svolgono ricerche attraverso la digitazione del nome sul motore di ricerca, ottengono attraverso i risultati una visione complessiva del profilo di una persona, profilo che può essere più o meno dettagliato, incidendo così sui diritti fondamentali alla vita privata e alla protezione dei dati personali.

 

Occorre, dunque, ricercare il giusto equilibrio tra tale interesse e i diritti fondamentali della persona che sembrerebbe raggiunto proprio attraverso il meccanismo della deindicizzazione, espressione del più generale diritto di oblio.

Infatti, attraverso tale soluzione, si realizzerebbe il diritto dell’interessato a essere dimenticato per il coinvolgimento in una vicenda che non gli permette di affermarsi quale persona nuova nelle relazioni sociali e professionali, nonché il diritto di informazione degli utenti, i quali potrebbero pur sempre rintracciare la notizia sul web, attraverso una ricerca più impegnativa, non venendo del tutto escluso la loro possibilità di conoscere gli eventi del passato. Del resto, come asserito dalle Sezioni Unite attraverso il rinvio al principio emanato dalla recente Cassazione del 2020 (sentenza n. 9147 del 19 maggio 2020), la tutela del diritto consistente nel non rimanere esposti senza limiti di tempo ad una rappresentazione non più attuale della propria persona con pregiudizio alla reputazione e alla riservatezza, possa trovare soddisfazione, “nel quadro dell’indicato bilanciamento del diritto stesso con l’interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e quindi di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica – anche nella sola deindicizzazione dell’articolo dai motori di ricerca”.

 

Stante la piena legittimità della deindicizzazione, che non ha costituito oggetto di scrutinio da parte della Corte, la trattazione deve invece essere riferita all’ordine impartito dal Garante di procedere alla cancellazione delle copie cache delle pagine internet attraverso gli URL degli articoli di stampa relativi alla vicenda giudiziaria dell’interessato.

 

In merito a tale circostanza, il Tribunale osservava che la misura adottata dal Garante risultava essere conforme ai principi del Regolamento UE 2016/679 (cd. “GDPR”), il quale prevede il diritto a una cancellazione estesa dei dati personali oggetto di trattamento, postulandosi così una sorta di automatismo tra deindicizzazione della notizia e cancellazione del dato.

 

La Corte ha tuttavia riconosciuto l’inapplicabilità del Regolamento Europeo, il quale seppure all’art. 17 prevede un diritto alla cancellazione, richiama quello presente all’art. 12, lett. b) della Direttiva 95/46/CE., il quale contempla il diritto di ottenere dal responsabile del trattamento la rettifica, cancellazione o congelamento dei dati il cui trattamento non risulti conforme ai principi della direttiva stessa. Pertanto, il diritto dell’interessato di ottenere la cancellazione non opererebbe nella misura in cui questi siano necessari all’esercizio del diritto di libertà di espressione e di informazione.

Ne deriva che, pur nella vigenza del GDPR, è necessario ponderare la sussistenza delle circostanze che rendono concreta l’esigenza di bilanciamento tra gli interessi contrapposti, per cui la perpetuazione del reperimento della notizia, nonostante lo scorrere del tempo, non è stata ritenuta sufficiente a giustificare un provvedimento perentorio qual è quello della cancellazione dei dati cache.

Dunque, la Corte ha ritenuto che il giudizio del Tribunale avrebbe dovuto verificare la sussistenza dell’interesse a continuare ad essere informati sulla vicenda di cronaca nel suo complesso, anche attraverso parole chiave diversa dal nome dell’interessato.

 

Per tutte queste ragioni, la Corte ha cassato la sentenza del Tribunale in accoglimento della censura di cui al quinto motivo di impugnazione e ha rinviato al Tribunale di Milano che, in diversa composizione, dovrà fare applicazione del principio indicato in motivazione.

Condividi l'articolo:

Google Analytics e trasferimento dati personali USA: violato il GDPR secondo l’autorità di controllo austriaca.

Commento alla Decisione D155.027 GA emessa il 22 dicembre 2021 e pubblicata il 14 gennaio 2022

L’Autorità di controllo austriaca (“Datenschutzbehorde” o anche “DSB”) si è pronunciata su uno dei numerosi reclami presentati da Noyb – European Center for Digital Rights, la ONG non-profit fondata dall’avvocato Max Schrems, attivista in ambito privacy, in ordine alla questione inerente al trattamento dei dati personali da parte delle aziende statunitensi che, nonostante i recenti interventi giurisprudenziali, non hanno adottato misure di sicurezza tecniche e organizzative idonee a poter ritenere “attività legittima” il trasferimento dei dati dei cittadini europei, assicurando le garanzie previste per il trattamento dei dati personali all’interno dello Spazio Economico Europeo.

Nello specifico, la decisione è rivolta al titolare di un portale web dedicato alla divulgazione di tematiche di carattere sanitario, il quale si serviva del tool Google Analytics, di Google LCC, i cui server per il trattamento dei dati sono ubicati prevalentemente in Europa, ma anche negli USA.

Google Analytics è uno strumento che permette di misurare le proprietà del traffico sul web, onde capire il comportamento dei visitatori ed eseguire valutazioni statistiche generali del loro comportamento e del loro modo di interagire, senza individuare nello specifico il singolo utente, mantenuto anonimo.

Il provvedimento reso dall’Autorità austriaca è di estrema rilevanza alla luce di quanto affermato nella recente sentenza della Corte di Giustizia dell’Unione europea “Schrems II”, che invalidando l’accordo tra gli Stati Uniti e l’Unione Europea per il trasferimento dei dati personali dei cittadini UE negli USA (cd. Privacy Schield), sulla base della macroscopica assenza di tutele per la sicurezza dei dati trattati, ne costituisce il necessario antefatto.

Il quadro normativo americano da prendere in considerazione, costituito essenzialmente dalla sezione 702 del Foreign Intelligence Surveillance Act (di seguito, anche “FISA“) e dall’executive order n. 12.333, impone ai “fornitori di servizi di comunicazione elettronica” – qual è Google LLC – la comunicazione dei dati personali degli utenti ad autorità pubbliche e governative (es. servizi di intelligence), senza il consenso dell’interessato.

In tale contesto, il trasferimento di dati personali verso gli USA, oltre a fondarsi su una legittima base giuridica, può essere operato solo in casi in cui le aziende garantiscano particolari misure di protezione dei dati personali oggetto di tale operazione di trattamento.

Il provvedimento della DSB si rivolge a due convenuti, il titolare della piattaforma e Google LLC. L’approccio dell’Autorità di controllo si è risolto in maniera differente per questi, dal momento che ha ritenuto fondato il reclamo nei confronti del primo convenuto, in qualità di responsabile dell’implementazione della propria piattaforma del tool Google Analytics, mentre ha rigettato il reclamo nei confronti del secondo, anticipando l’intenzione di una futura indagine d’ufficio separata e autonoma rispetto alla decisione in esame.

Secondo quanto ritenuto dall’Autorità di controllo, le clausole contrattuali standard utilizzate dal proprietario della piattaforma e da Google non avrebbero garantito un adeguato livello di protezione, così come richiesto dal Regolamento UE 2016/679 (di seguito, anche “GDPR”), sotto molteplici punti di vista.

In primo luogo, il DSB sottolinea come Google sia soggetto “a monte” alla sorveglianza da parte delle agenzie di intelligence degli Stati Uniti ai sensi della sezione 702 del FISA e che, in ogni caso, le ulteriori clausole standard integrative adottate non sarebbero state efficaci ad eliminare la possibilità di controllo e di accesso ai dati personali degli utenti da parte delle agenzie e dei servizi segreti americani.

Peraltro, chiarisce che il proprietario della piattaforma non avrebbe dovuto basare la trasmissione dei dati personali degli utenti verso gli Stati Uniti unicamente su clausole contrattuali standard, essendo a conoscenza dell’impatto avuto dalla sentenza Schrems II sul trasferimento di dati personali verso tale paese.

Su questi presupposti l’Autorità di controllo conclude che la trasmissione dei dati personali extra UE viola gli artt. 44 e ss. del GDPR.

Sia i convenuti che il denunciante hanno offerto diversi pareri all’Autorità volti ad evidenziare vari elementi di carattere tecnico, giuridico e meramente fattuale.

Nello specifico, il denunciante esponeva (con Parere del gennaio 2021) che l’anonimizzazione dei dati personali degli utenti della piattaforma avveniva successivamente al trasferimento negli Stati Uniti oltre a sottolineare come i dati trasferiti non riguardassero solo l’indirizzo IP, ma anche altri dati personali, quali quelli relativi ai cookie.

Le contestazioni del ricorrente sono state avversate dai resistenti constatando che l’utilizzo, come nel caso di specie, della versione gratuita di Google Analitycs avrebbe, per impostazione predefinita raccolto i dati degli utenti in forma anonimizzata e che quindi non vi sarebbe stato trasferimento di dati personali.

Sotto un profilo più squisitamente giuridico, l’Autorità non ha meramente indagato il rispetto dei principi di cui agli 44 e ss. del GDPR, bensì ha qualificato la liceità del trattamento come un diritto soggettivo, in quanto avente ad oggetto la protezione della vita privata e delle libertà fondamentali dell’individuo.

La possibilità di tutelare una posizione giuridica individuale laddove vi sia una violazione capace di recare un danno all’interessato è certamente confermata per il solo fatto che gli indirizzi IP e gli identificatori online costituiscono veri e propri dati personali ai sensi dell’art. 4.1 del GDPR, in quanto permettono, con una ragionevole probabilità, di identificare l’interessato, a nulla rilevando che altri elementi possano essere in possesso di una terza parte.

Inoltre, l’identificabilità deve essere intesa in concreto, nel senso che sarà necessario considerare non solo tutti i dati posseduti, ma anche i mezzi di cui si dispone, le risorse economiche e di tempo che un determinato soggetto è in grado di affrontare, altresì tenendo conto delle tecnologie e degli sviluppi tecnologici al momento del trattamento. Il parametro deve pertanto essere rintracciato nello “sforzo giustificabile e ragionevole”.

Sulla base di queste considerazioni, secondo l’Autorità di controllo, Google avrebbe le capacità e l’organizzazione tale da rendere possibile l’identificazione precisa dell’utente (nel caso di specie, il ricorrente).

Il titolare della piattaforma per non incorrere nel richiamo dell’Autorità di controllo avrebbe dovuto fornire un adeguato livello di protezione o garanzie adeguate alla tutela dei dati personali degli utenti dimostrando l’implementazione di misure tecniche ed organizzative tali da prevenire l’accesso ai dati personali da parte delle agenzie di intelligence statunitensi. Infatti, le clausole contrattuali standard ex se non possono, in alcun modo, vincolare le autorità rispetto ai programmi di sorveglianza.

Le garanzie adeguate per la tutela degli interessati variano in relazione alle concrete operazioni di trattamento poste in essere e dunque anche del Paese terzo di riferimento richiedendo un particolare raccordo con gli elementi tecnici ed organizzativi. Tali misure dovrebbero in ogni caso risultare effettive, ossia capaci di colmare le lacune giuridiche del Paese terzo e, ove non effettive, il trattamento dei dati da parte in tali Paesi dovrebbe immediatamente cessare.

Tali adeguamenti non sarebbero stati efficacemente applicati dal titolare del trattamento. Infatti, secondo l’Autorità di controllo austriaca le misure che sono state adottate non hanno eliminato il pericolo di accesso ai dati personali degli utenti della piattaforma da parte dei servizi di intelligence statunitensi.

Il provvedimento del Garante austriaco non ha senz’altro rimosso il gap normativo, ma ha evidenziato la portata del disallineamento normativo tra Europa e USA.

Nell’era del “digitalismo”, sarebbe auspicabile la negoziazione di misure e strumenti – tra l’Europa e i Paesi terzi – idonei a tutelare le libertà fondamentali dell’individuo nello sviluppo tecnologico.

Condividi l’articolo:

Proctoring e GDPR. Perché il garante ha bocciato l’esame a distanza dell’Università Bocconi

Il Garante per la Protezione dei Dati Personali con provvedimento del 28 settembre 2021 ha ingiunto all’Università Commerciale Luigi Bocconi di Milano il pagamento di 200.000,00 euro a titolo di sanzione amministrativa per le ripetute violazioni delle disposizioni del Regolamento (UE) 2016/679.

La condotta illecita è stata portata all’attenzione dell’Autorità da uno studente inglese, il quale alla fine di aprile 2020 si è trovato a sostenere gli esami scritti con l’uso da parte dell’Università di un software di monitoraggio e controllo a distanza rilevandone dei profili di presunta illiceità sottoposti al vaglio dell’Autorità garante. 

Respondus e il sistema di “proctoring”  

Nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata predisposta dall’Università Bocconi una modalità alternativa di svolgimento degli esami scritti, idonea a mantenere le medesime garanzie previste dagli esami in presenza, avvalendosi di un servizio software erogato dall’azienda statunitense Respondus Inc. il quale, attraverso un sistema di cd. proctoring, come accertato dall’Autorità, è in grado di acquisire e trattare dati biometrici.

L’accertamento della sussistenza di un illecito nella condotta dell’Università concretizzatasi nella conduzione degli esami ricorrendo all’ausilio del suddetto servizio software ha richiesto un’approfondita disamina delle caratteristiche tecnico-funzionali del servizio software, dell’informativa sul trattamento dei dati degli esaminati quale resa dall’Università Bocconi agli studenti, dei chiarimenti e delle precisazioni fornite nel corso dell’istruttoria dall’Università Bocconi.  

Oltre a inibire specifiche funzionalità dei dispositivi in uso agli studenti durante lo svolgimento della prova scritta, attraverso la funzione cd. “LockDown Browser”, il Garante ha accertato che Respondus attraverso la webcam acquisisce immagini ritraenti lo studente ed ha, altresì, visione del suo schermo indentificando e contrassegnando con un flag i comportamenti insoliti o sospetti dello stesso studente (quali: sguardo non rivolto verso il monitor, volto parzialmente assente, volto mancante) mediante registrazioni video e istantanee scattate a intervalli casuali.  

Al termine della prova d’esame, il sistema elabora una Review Priority, affinché il docente esaminatore possa rilevare condotte invalidanti o meno la prova d’esame nell’esercizio dei suoi poteri discrezionali. 

A seguito della segnalazione, compiuta l’attività istruttoria, il Garante ha notificato all’Ateneo l’avvio del procedimento per l’adozione dei provvedimenti aventi ad oggetto diverse presunte violazioni. 

Nel ravvisare in capo all’Università Bocconi – nella sua qualità di titolare del trattamento dei dati degli studenti esaminati – un trattamento dei dati non conforme ai principi di limitazione della conservazione e minimizzazione, nonché un’omessa valutazione sugli impatti derivanti dall’utilizzo del software, il Garante ha accertato nella propria Ordinanza diversi comportamenti illeciti dell’Università forieri di diverse violazioni del Regolamento. 

Il difetto di informativa 

In primis, la violazione degli artt. 5, par.1, lett. a) e 13 del Regolamento. 

È noto che il titolare del trattamento di dati personali debba fornire all’interessato l’informativa “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.”

Dall’attività istruttoria compiuta è emerso che l’informativa sul trattamento dei dati fornita agli studenti non riportasse tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente.  

È stato rilevato che la stessa facesse riferimento “a titolo esemplificativo e non esaustivo” solo al trattamento di alcuni dati dello studente, omettendo di informarlo sul tracciamento del comportamento durante la prova e le successive profilazioni. Inoltre, non vi era menzione né della fotografia al documento di identità fornito all’inizio della prova né, tantomeno, alle riprese all’ambiente circostante che veniva chiesto allo studente prima dell’inizio della prova.

Nessuna informazione veniva fornita in ordine ai tempi di conservazione dei dati, limitandosi a prevedere “per un tempo strettamente necessario al perseguimento delle finalità indicate”, mancando di fissare i diversi periodi in ordine alle diverse finalità. 

Altresì, la correttezza e la trasparenza risultano lese nella misura in cui, sebbene il sistema Respondus non sia assimilabile ai sistemi di intelligenza artificiale, i quali si distinguono in relazione al processo decisionale totalmente automatizzato, pur non rilevando alcuna violazione legata alla comprensione all’algoritmo di funzionamento dell’IA, al pari non si conoscono (e non venivano esplicitati) i meccanismi del sistema di supervisione, i quali portavano alla profilazione dell’interessato. 

Il difetto di adeguata base giuridica del trattamento di dati biometrici 

Altresì, il Garante ha rilevato, a danno degli studenti, la violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento. 

Il Regolamento prevede espressamente che “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” 

Bisogna precisare che, affinché il trattamento del dato di immagine possa essere qualificato come biometrico, è necessario che il confronto per il riconoscimento avvenga attraverso l’utilizzo di hardware o software, in ogni caso attraverso un trattamento tecnico specifico.  

Tale circostanza, pure se pacificamente ammessa e inserita nell’informativa, non è stata ritenuta sorretta da un’adeguata base giuridica, di cui all’art. 6 del Regolamento.

Il trattamento dei dati biometrici, finalizzato ad una profilazione dello studente, sarebbe avvenuto in assenza di un’idonea base giuridica e di una specifica esigenza giustificativa. Tali presupposti, come riportato dal Garante, sono presupposti indefettibili di liceità del trattamento di dati biometrici che, in virtù della loro stretta relazione con l’identità personale, richiedono tutele e presupposti maggiori rispetto ad altri.  

Nello specifico, la base giuridica era stata rintracciata dall’Università nel consenso preventivamente richiesto agli studenti.  

Tuttavia, laddove per consenso deve intendersi, ai sensi dell’art. 4 del Regolamento, una “manifestazione di volontà libera”, questo non potrebbe sussistere tutte le volte in cui si abbiano relazioni in disequilibrio, quali quelle intercorrenti tra Università e professore su un fronte e studente sull’altro, tale per cui possa ingenerarsi nello studente uno stato di pressione psicologica di poter essere destinatario di un trattamento sfavorevole in sede d’esame in caso di rifiuto a che lo stesso potesse svolgersi a distanza con l’ausilio del software Respondus.

Data l’impossibilità di far ricorso al consenso quale base giuridica del trattamento, il trattamento dei dati biometrici sarebbe stato concesso soltanto ove si fosse ritenuta sussistente una previsione normativa idonea a specificare oltre all’interesse pubblico rilevante, i tipi di dati, le operazioni eseguibili, nonché le misure appropriate per la tutela degli interessati.

Il trasferimento di dati all’estero 

Ulteriore elemento emerso durante l’istruttoria e che ha determinato l’ingiunzione all’Università Bocconi è stato quello relativo alla violazione degli artt. 44 e 46 del Regolamento, relativo al trasferimento internazionale dei dati personali. 

L’innovativo sistema, infatti, veniva fornito da Respondus Inc., società con sede negli Stati Uniti, responsabile del trattamento, in virtù dello specifico accordo tra le parti, ai sensi dell’art. 28 del Regolamento. 

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo sia riconosciuta da una decisione della Commissione; in assenza di detta decisione, è necessario che il titolare del trattamento fornisca garanzie adeguate ed effettive agli interessati. 

Il Garante ha cura di evidenziare che, per quanto riguarda i trasferimenti verso gli Stati Uniti d’America, la Corte di Giustizia dell’UE ha ritenuto che gli Stati Uniti non garantissero un livello di tutela equivalente a quello europeo e non riconosce agli interessati diritti azionabili nei confronti delle autorità statunitensi. 

Nonostante l’accordo intervenuto tra l’Ateneo e Respondus Inc. prevedesse espressamente tale tutela, le misure tecniche e operative non sono sembrate idonee a soddisfare il requisito di sicurezza dei trasferimenti, dal momento che non erano state puntualmente e accuratamente descritte e non potendo a queste sopperire la pseudominizzazione dei dati oggetto di trasferimento. 

Tale violazione è stata ritenuta ancor più rilevante per la natura dei dati (biometrici, come si è visto) oggetto trasferimento all’estero. 

In conclusione, sebbene il Garante abbia rilevato la prontezza dell’Ateneo nel fronteggiare le problematiche derivanti dal contesto emergenziale, avendo operato scelte e adottato misure tecniche e organizzative in tempi rapidi, nel rispetto della continuità didattica, lo stesso ha condannato l’ateneo applicando – altresì – la sanzione accessoria della pubblicità del provvedimento, pubblicità che rappresenta un contributo fondamentale in punto bilanciamento degli interessi di titolare e interessato nelle scelte di trattamento dei dati personali, anche in considerazione della peculiarità dei dati trattati e delle finalità perseguite dal titolare per alcuni versi innovative, che confermano il primato dell’adeguata informazione e del libero consenso dell’interessato sull’interesse imprenditoriale del titolare.

 
Condividi l'articolo:

Decreto semplificazioni bis. nuove regole per gli appalti pubblici e per l’affidamento dei contratti pubblici PNRR

È stato pubblicato nella Gazzetta Ufficiale n. 26 del 30 luglio 2021, il testo del decreto-legge 31 maggio 2021, n. 77 o decreto semplificazioni con il quale sono state introdotte disposizioni in materia di Governance per il Piano nazionale di ripresa e resilienza e alcune misure in tema di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure.

Nella prima parte del decreto viene stabilita l’articolazione della Governance incentrata sull’istituzione di una Cabina di regia, presieduta dal Presidente del Consiglio dei ministri, alla quale partecipano volta per volta i Ministri e i Sottosegretari competenti, in ragione delle materie affrontate in ogni seduta.

La seconda parte del decreto, sempre in relazione ai settori oggetto del PNRR, prevede delle misure volte dare un impulso agli investimenti accelerando l’iter di realizzazione delle opere, snellendo le procedure di affidamento e rafforzando la capacità amministrativa della P.A.

Le novità in tema di appalti

– Appalti sotto soglia

Il nuovo decreto ha apportato delle modifiche al D.L 76/2020 che prevede una disciplina derogatoria temporanea dovuta all’emergenza epidemiologica per accelerare le procedure di affidamento degli appalti sotto soglia valida fino al 31 dicembre 2021.

L’intervento prevede solamente due tipologie di affidamento di appalti sotto soglia a fronte delle cinque introdotte dal decreto c.d. sblocca cantieri ( D.L. 32 del 18 aprile 2019).

Su queste due categorie si inserisce l’articolo 51 del D.L. 77/2021 che ha modificato i presupposti per l’accesso alle diverse procedure di affidamento andando a modificare le lettere a) e b) dell’articolo 1, comma 2 del d.l n. 76/2020, prorogando inoltre sino al 30 giugno 2023 i termini della disciplina transitoria che prevedeva:

 • lett. a) l’affidamento diretto per servizi e forniture, ivi compresi i servizi di ingegneria e architettura e l’attività di progettazione, di importo inferiore a 75.000 euro;

lett. b) la procedura negoziata, senza bando, di cui all’articolo 63 del d.lgs. n. 50 del 2016, previa consultazione di almeno cinque operatori economici, ove esistenti, nel rispetto di un criterio di rotazione degli inviti, che tenga conto anche di una diversa dislocazione territoriale delle imprese invitate, individuati in base ad indagini di mercato o tramite elenchi di operatori economici, per l’affidamento di servizi e forniture di importo pari o superiore a 75.000 euro e fino alle soglie di cui all’articolo 35 del decreto legislativo n. 50 del 2016

Ad oggi invece è previsto l’affidamento diretto per servizi e forniture di importo inferiore a 139.000 euro, potendo quindi la stazione appaltante procedere anche senza consultazione di più operatori economici ma tenendo fermo i principi sanciti dall’articolo 30 del codice dei contratti pubblici (d.lgs 50/2016).

Mentre, in caso di affidamento di servizi e forniture di importo pari o superiore a 139.000 € e fino alle soglie di cui all’articolo 35 del decreto legislativo numero 50 del 2016, è prevista la procedura negoziata senza bando previa consultazione di almeno cinque operatori economici individuati in base ad indagini di mercato, o tramite elenchi di operatori economici, tenendo conto non solo del principio di rotazione degli inviti ma anche di una diversa dislocazione territoriale delle imprese.

Per quanto riguarda la disciplina degli appalti sopra soglia l’articolo 2 del D.L. 76/2020 ha introdotto alcune modifiche per le procedure di gara prevedendo la procedura aperta, ristretta o, previa motivazione sulla sussistenza dei presupposti previsti dalla legge della procedura competitiva con negoziazione di cui agli articoli 61 e 62 del decreto legislativo n. 50 del 2016, per i settori ordinari, e di cui agli articoli 123 e 124, per i settori speciali, prevedendo in tali casi l’applicazione di termini ridotti di cui all’articolo 8, comma 1, lettera c).

Questa disciplina, comprese le deroghe per gli appalti sopra soglia, si applica alle procedure di cui i bandi e avvisi di indizione della gara sono stati pubblicati dopo l’entrata in vigore del D.L 77/2021 (1° giugno 2021), mentre per le procedure avviate prima di tale data si continuerà ad applicare la disciplina prevista dal D.L. 76/2020.

– Subappalto

In tema di subappalto due sono le principali novità introdotte dall’art. 49 del D.L 77/2021:

• viene introdotto un regime temporaneo che abroga quanto previsto nel c.d decreto sblocca cantieri (convertito nella l. 55/2019) secondo cui fino al 31 ottobre 2021 il subappalto non può superare la quota del 50% dell’importo complessivo del contratto di lavori, servizi o forniture.

• prevede, a partire dal 1° novembre 2021 la rimozione di ogni limite quantitativo generale e predeterminato al subappalto, con la modifica del comma 2 dell’art. 105 del D.lgs 50/2016.

Le stazioni appaltanti, previa motivazione nella determina a contrarre ed eventualmente dopo essersi avvalsi del parere delle Prefetture competenti, potranno indicare nei documenti di gara le prestazioni o le lavorazioni oggetto del contratto di appalto da eseguire a cura dell’aggiudicatario in ragione:

– delle specifiche caratteristiche dell’appalto, ivi comprese quelle delle categorie superspecialistiche di opere (di cui all’articolo 89, comma 11 del codice dei contratti pubblici);

– dell’esigenza, tenuto conto della natura o della complessità̀ delle prestazioni o delle lavorazioni da effettuare, di rafforzare il controllo delle attività di cantiere e più in generale dei luoghi di lavoro e di garantire una più intensa tutela delle condizioni di lavoro e della salute e sicurezza dei lavoratori;

– dell’esigenza di prevenire il rischio di infiltrazioni criminali, a meno che i subappaltatori siano iscritti nelle cosiddette white list (ex comma 52 dell’art. 1 della legge 6 novembre 2012, n. 190), ovvero nell’anagrafe antimafia (ex art. 30 del decreto-legge 17 ottobre 2016, n. 189, convertito in legge 15 dicembre 2016, n. 229).

È stata inserita l’espressa previsione secondo cui, il subappaltatore, per le prestazioni affidate in subappalto, deve garantire gli stessi standard qualitativi e prestazionali previsti nel contratto di appalto e riconoscere ai lavoratori un trattamento economico e normativo non inferiore a quello che avrebbe garantito il contraente principale, inclusa l’applicazione dei medesimi contratti collettivi nazionali di lavoro, qualora le attività oggetto di subappalto coincidano con quelle caratterizzanti l’oggetto dell’appalto ovvero riguardino le lavorazioni relative alle categorie prevalenti e siano incluse nell’oggetto sociale del contraente principale.

Inoltre, sempre ai sensi dell’art. 49 del decreto legge in esame, le amministrazioni competenti assicurano la piena operatività della Banca Dati Nazionale dei Contratti Pubblici di cui all’articolo 81 del d.lgs. n. 50 del 2016, adottano il documento relativo alla congruità dell’incidenza della manodopera, di cui all’articolo 105, comma 16, del codice dei contratti pubblici e dell’art. 8, comma 10- bis, del d.l. 16 luglio 2020, n. 76 e adottano entro novanta giorni dalla data di entrata in vigore del D.L in commento il regolamento di cui all’art. 91, comma 7, del d.lgs. 6 settembre 2011, n. 159 (che individua le diverse tipologie di attività suscettibili di infiltrazione mafiosa nell’attività di impresa).

È stato inoltre emendato il comma 7 dell’art. 105 del codice dei contratti pubblici, che disciplina in modo più puntuale la presentazione della dichiarazione del subappaltatore dell’assenza dei motivi di esclusione e quella relativa al possesso dei requisiti richiesti per l’esecuzione del subappalto e la loro verifica da parte della stazione appaltante. 

In particolare, la legge di conversione ha previsto che, al momento del deposito del contratto di subappalto presso la stazione appaltante, l’affidatario trasmette la dichiarazione del subappaltatore attestante l’assenza dei motivi di esclusione di cui all’articolo 80 del codice degli appalti e il possesso dei requisiti speciali di cui agli articoli 83 (Criteri di selezione e soccorso istruttorio) e 84 (Sistema unico di qualificazione degli esecutori di lavori pubblici) del medesimo codice degli appalti.

La stazione appaltante verifica le dichiarazioni tramite la Banca dati nazionale dei contratti pubblici prevista dall’art. 81 dello stesso codice degli appalti.

Suddette modifiche assumono particolare rilevanza alla luce dei recenti interventi della CGUE (decisioni 26 settembre 2019 – C63/18; 27 novembre 2019 – C402/18; 30 gennaio 2020, C395/18) che hanno sancito l’incompatibilità della previsione di limiti massimi per il subappalto con il dirittoeurounitario, palesando quindi l’esigenza di un intervento normativo nazionale. Le pronunce della CGUE hanno riguardato anche il divieto, anch’esso previsto nell’art. 105 del codice, di affidare le prestazioni in subappalto con un ribasso non superiore al venti per cento rispetto ai prezzi unitari risultanti dall’aggiudicazione.

Semplificazione degli acquisti di beni e servizi informatici strumentali alla realizzazione del PNRR e in materia di procedure di e-procurement e acquisto di beni e servizi informatici.

L’articolo 53 del D.L. 77/2021 prevede alcune semplificazioni con riguardo agli acquisiti di beni e servizi informatici strumentali alla realizzazione del PNRR al fine di assicurare che gli acquisti di tali beni e servizi possa avvenire in maniera rapida ed efficace.

È previsto il ricorso al solo affidamento diretto per tutti gli appalti volti all’approvvigionamento di tali beni e servizi fino al raggiungimento della soglia comunitaria confermando quanto disposto dal D.L 76/2020 e modificato dal D.L in esame.

Mentre, in caso di superamento della soglia comunitaria, è prevista la possibilità di ricorrere alla procedura negoziata senza pubblicazione di bando ex art. 63 del D.L 50/2016 per i settori ordinari in relazione agli affidamenti aventi ad oggetto l’acquisto di beni e servizi informatici, in particolare basati sulla tecnologia cloud, nonché servizi di connettività, finanziati in tutto o in parte con le risorse previste per la realizzazione dei progetti del PNRR, la cui determina a contrarre o altro atto di avvio del procedimento equivalente sia adottato entro il 31 dicembre 2026, anche ove ricorra la rapida obsolescenza tecnologica delle soluzioni disponibili tale da non consentire il ricorso ad altra procedura di affidamento.

Il ricorso a tale procedura, in considerazione proprio della rapida obsolescenza tecnologica delle soluzioni disponibili consente alle amministrazioni di stipulare immediatamente il relativo contratto previa acquisizione di un’autocertificazione dell’operatore economico aggiudicatario attestante il possesso dei requisiti.

Al fine di consentire al Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri di coordinare gli acquisti ICT strettamente finalizzati alla realizzazione del PNRR, viene attribuito al Dipartimento stesso la possibilità di rendere pareri obbligatori e vincolanti sugli elementi essenziali delle procedure di affidamento, potendo indirizzare le amministrazioni aggiudicatrici con prescrizioni riguardanti l’oggetto, le clausole principali, i tempi e le modalità̀ di acquisto.

Tutte le informazioni che costituiscono gli atti delle amministrazioni aggiudicatrici e degli enti aggiudicatori relativi alla completa e corretta all’esecuzione di lavori, opere, servizi e forniture di appalti pubblici, di concorsi pubblici di progettazione, di concorsi di idee e di concessioni, compresi quelli tra enti nell’ambito del settore pubblico sono gestite e trasmesse tempestivamente alla Banca Dati Nazionale dei Contratti pubblici dell’ANAC attraverso le piattaforme telematiche ad essa interconnesse.

Nel fascicolo virtuale dovranno quindi essere presenti i dati necessari alla verifica dell’assenza di motivi di esclusione, l’attestazione SOA per i soggetti esecutori di lavori pubblici, nonché i dati e i documenti relativi ai criteri di selezione che l’operatore economico è tenuto a caricare per la partecipazione alle singole gare.

Condividi l'articolo:

Le nuove linee guida dell’EDPB tra puntuali chiarimenti ed efficaci esemplificazioni

Il Comitato Europeo per la protezione dei dati (European Data Protection Board, EDPB) –  organismo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità di controllo –  ha adottato le linee guida 7/2020 lo scorso 21 luglio 2021 all’esito di una consultazione pubblica, fornendo una definizione uniforme non solo di responsabile e titolare del trattamento ma anche del rapporto di contitolarità del trattamento.

Le nuove Linee Guida sostituiscono le precedenti linee guida del gruppo di lavoro 29 (cosiddetto Working Party 20) del febbraio 2010.

 

Le linee guida 7/2020 sono articolate in due sezioni principali di cui la prima, con riferimento al trattamento dei dati personali, identifica i ruoli di titolare, contitolare, responsabile e terzi/riceventi, e la seconda descrive le principali implicazioni connesse al trattamento.

 

Gli elementi essenziali per la definizione di titolare e di responsabile del trattamento non sono stati sostanzialmente innovati rispetto a quanto previsto nella direttiva 95/46, ma il lavoro dell’EDPB si pone in un’ottica di chiarezza fornendo in apertura due concetti fondamentali da tenere a mente nell’interpretazione dei ruoli: funzionalità e autonomia.

 

Funzionalità nell’intendere il ruolo in relazione alla specifica attività di trattamento svolta e non in modo assoluto e autonomia nel senso di indipendenza da concetti di titolarità formulati in altre aree del diritto evitando così trasposizioni automatiche che potrebbero risultare fuorvianti.

 

Il Titolare del trattamento

 

Il Comitato ha fornito specifici chiarimenti partendo dal ruolo di Titolare del trattamento e prendendo le mosse dal disposto dell’art. 4 n. 7 GDPR per cui Titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

 

Il criterio della funzionalità nell’interpretazione dei concetti viene ribadita al punto 12 delle linee guida dove si specifica che l’allocazione dei ruoli non è negoziabile tra le parti e l’individuazione del titolare deve avvenire o in base all’effettiva influenza esercitata dal soggetto sul trattamento, oppure desunto da una competenza legale quando il titolare o gli specifici criteri per la sua nomina siano stabiliti dalla legislazione dell’Unione Europea o di uno Stato membro.

 

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, sono suscettibili di essere definiti anche dal  responsabile del trattamento.

 

Con riferimento invece all’elemento soggettivo, è confermato che, anche nel caso in cui l’entità titolare del trattamento decida di designare una persona specifica al fine di garantire la compliance con la normativa privacy, questo soggetto non sarà il titolare del trattamento che agisce per conto dell’entità che rimarrà comunque unico titolare del trattamento.  

 

Analogamente non è titolare del trattamento un particolare dipartimento o unità organizzativa cui viene conferita dall’entità la responsabilità operativa di assicurare la conformità per certe attività di trattamento, rispondendo del trattamento concretamente eseguito dal dipartimento o dall’unità l’entità.

 

Così se un dipendente utilizzasse i dati personali acquisiti nell’esercizio della sua funzione aziendale per i scopi estranei a quelli prefissati dall’azienda/entità datrice di lavoro sarà quest’ultima, in quanto titolare del trattamento, a doversi assicurarsi che siano adottate adeguate misure tecniche e organizzative, tra cui ad esempio la formazione e l’informazione dei dipendenti, per garantire il rispetto del GDPR e a rispondere di eventuali trattamenti difformi se non illeciti da parte del dipendente incauto, non istruito, infedele.

 

Il Contitolare del trattamento

 

Il criterio “generale” per l’esistenza di una contitolarità del trattamento è la partecipazione congiunta di due o più soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali: the why and how.

 

Ma non è così semplice risultando spesso complesso nella pratica individuare la sottile linea che corre tra titolarità autonoma e contitolarità.

 

La determinazione congiunta delle finalità e dei mezzi può avvenire o mediante una decisione comune oppure mediante decisioni convergenti ove le decisioni dei contitolari sono tra loro complementari e necessarie per l’esistenza del trattamento stesso, tale che senza l’uno il trattamento non sarebbe possibile e il trattamento di ciascun contitolare è inscindibile e inestricabilmente legato (inexitricably linked) a quello di altro/i contitolare/i.

 

Torna anche qui la distinzione tra mezzi essenziali e non essenziali dovendo il Contitolare del trattamento necessariamente decidere in ordine ai primi potendo lasciare margine di manovra sui secondi al Responsabile del trattamento.

 

Se manca la condivisione della finalità e dei mezzi essenziali non potrà esserci contitolarità ma vi saranno, se del caso, rapporti tra autonomi titolari o tra titolare e responsabile, non essendo sufficiente per qualificarsi come finalità del trattamento, e dunque per configurare contitolarità, la mera esistenza di un beneficio economico o commerciale comune tra le parti (punti 60 e 66 linee guida).

 

Questa ipotesi si verifica ad esempio nel caso di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri.

 

Per comprendere se le decisioni possano essere considerate convergenti occorre chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere sia inseparabile o inestricabilmente legato al trattamento dell’altra parte.

 

Ai sensi dell’art. 26 GDPR i contitolari del trattamento devono redigere un accordo interno (cd. accordo di contitolarità) e nonostante non venga esplicitamente indicata la forma che tale accordo dovrebbe avere (come invece ha prescritto espressamente per la nomina di responsabile del trattamento) l’EDPB raccomanda l’adozione di un atto scritto che vincoli le parti, anche in ossequio al principio di accountability.

 

Come specificato dall’EDPB, l’accordo deve contenere informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati (punto 173 linee guida) nonché le decisioni concordate, anche operative, affinché tutte le fasi del trattamento in contitolarità siano compliant rispetto al GDPR, individuando tra i contitolari, chi ha le competenze per garantire gli adempimenti privacy durante l’intero trattamento.

 

Il Responsabile del trattamento

Il Responsabile del trattamento, soggetto necessariamente distinto dal Titolare del trattamento, è definito all’art. 4 n. 8 del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Anche il ruolo di Responsabile del trattamento, così come per il Titolare, si delinea in base alle attività concrete tenuto conto di uno specifico contesto: l’EDPB precisa quindi che qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il Responsabile potrebbe determinare autonomamente finalità e mezzi, e sarà quindi da considerare quale Titolare del trattamento in questione.

Per quanto riguarda il rapporto fra Titolare e Responsabile del trattamento l’EDPB ricorda come è necessario che il Responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, suggerendo quindi ai Titolari del trattamento di tenere in considerazione l’affidabilità del fornitore del servizio, le conoscenze specifiche e la possibilità di esercitare un sufficiente grado di controllo sull’attività svolta dal Responsabile, equiparando tale verifica preliminare ad una valutazione del rischio.

L’accordo tra il Titolare e il Responsabile deve rispettare i requisiti essenziali di cui all’art. 28 del GDPR e, come suggeriscono le linee guida, adottare clausole standard (par. 7 e 8 art. 28 GDPR) in caso di squilibrio del potere contrattuale fra le due figure non potendo una condizione di questo tipo portare alla cieca accettazione di clausole non conformi alla normativa sulla protezione dei dati.

Condividi l'articolo:

By design e by default, senza dimenticarsi dell’accountability, il garante traccia le nuove linee guida per cookies compliant

Con la predisposizione delle nuove linee guida pubblicate in Gazzetta Ufficiale lo scorso 9 luglio, l’Autorità garante per la protezione dei dati personali si è posta l’obiettivo di rafforzare il potere di decisione degli utenti riguardo alla raccolta e all’uso dei loro dati personali durante la navigazione in rete.

Come annunciato lo scorso 10 luglio nel proprio comunicato dal Garante, nei prossimi sei mesi “i fornitori dei servizi della società dell’informazione di cui all’art. 1, paragrafo 1, punto (b) della Direttiva (EU) 2015/1535, nonché tutti i soggetti che comunque offrono ai propri utenti servizi online accessibili al pubblico attraverso reti di comunicazione elettronica o cui si riferiscano siti web che facciano impiego di cookie e/o altri strumenti di tracciamento” dovranno rendere le loro cookie policy conformi sì da non incorrere in trattamenti di dati personali illeciti passibili di sanzioni da parte dell’Autorità garante.

 

Il contesto normativo

La normativa di riferimento, ad oggi, è costituita dalla direttiva 2002/58/CE (c.d. Direttiva ePrivacy) e successive modifiche, recepita nel nostro ordinamento con il d.lgs. 30 giugno 2003, n. 196 (di seguito il Codice), dal Regolamento (UE) 2016/679 (il GDPR) e dal d.lgs 101/2018 che nel recepire la disciplina del GDPR ha modificato alcune parti del Codice.

L’entrata in vigore del Regolamento ha imposto un coordinamento fra le disposizioni delle varie fonti normative nazionali e comunitarie: per la parte della potenziale sovrapposizione fra norme della direttiva ePrivacy e del Regolamento prevarrà sempre la prima in virtù non solo del rapporto di genus a species sussistente fra le due fonti normative, ma anche alla luce di quanto disposto dall’art. 1, par. 2 della Direttiva stessa.

Viene quindi specificato nelle linee guida che “la disciplina di carattere speciale applicabile alla specie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale”.

 

La funzione dei cookie e gli altri strumenti di tracciamento

È bene ricordare che i cookie sono dei file testuali in grado di tracciare e memorizzare alcune informazioni sull’utente durante la sua navigazione in rete.

I dati raccolti, come ad esempio le attività su un sito, la cronologia di navigazione, gli acquisti e le preferenze, l’indirizzo IP e la posizione geografica dell’internauta vengono “catturati” dai cookie tecnici e dai cookie di profilazione e possono essere utilizzati non solo per finalità di marketing (il c.d. behavioural advertising) ma anche per finalità connesse all’operatività dei siti web.

I cookie sono uno strumento di tracciamento ricompreso nella categoria degli identificatori “attivi” e quanto a quelli di profilazione l’utente deve trovarsi nella piena facoltà di scegliere, prestando o meno il proprio consenso, se sottoporsi all’attività di profilazione prevedendo inoltre la possibilità di rimuovere autonomamente i cookie archiviati all’interno del proprio dispositivo.

L’altra categoria di strumenti di tracciamento, c.d. identificatori passivi, registra le informazioni senza però archiviarle sul dispositivo dell’utente che quindi non è messo nella condizione di poter intervenire autonomamente sulle informazioni raccolte.

Un esempio di tracciamento di questo tipo è il c.d. fingerprinting che permette l’identificazione del dispositivo utilizzato dall’utente tramite la raccolta di tutte o di parte delle informazioni relative alla configurazione specifica del dispositivo adottata dal titolare.

Come appena accennato e come precisato anche nelle nuove linee guida, i cookie vanno distinti per funzionalità, finalità e quindi prescrizioni normative applicative, in cookie tecnici e cookie di profilazione.

Mentre i primi vengono utilizzati solamente al fine di “ effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice), i secondi, tramite la raccolta di specifici dati relativi al tipo di attività svolta sul web, vengono utilizzati per la personalizzazione del servizio erogato dalla piattaforma su cui si trova l’utente.

La distinzione è di particolare rilevanza per l’individuazione degli obblighi gravanti sul titolare del trattamento che nel caso di cookie o altri identificatori puramente tecnici sarà tenuto solamente a fornire l’informativa essendo esentati dal dover raccogliere specifico consenso dell’interessato.

Nel caso invece di strumenti di tracciamento o cookie per finalità diverse da quelle tecniche, i dati dell’utente potranno essere raccolti ed utilizzati esclusivamente previa acquisizione del suo consenso.

Nelle Linee guida si precisa che la categoria di cookie e strumenti di tracciamento di natura “non tecnica” vada intesa nel senso ampio che pervade la normativa di generale proibizione del trattamento dei dati salvo eccezioni restrittivamente codificate.

 

Le novità in tema di “scrolling” e di cookie wall

Nel confermare quanto già previsto in tema di acquisizione del consenso online nelle precedenti linee guida del 2014, il Garante ha ritenuto però di precisarne la disciplina in osservanza del regime di accountability introdotto dall’art. 5, par. 2, del Regolamento.

Sul tema rileva il considerando 32 del Regolamento secondo cui il consenso “dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.

L’European Data Protection Board (EDPB) è già intervenuto in materia con il parere n. 5/2020 precisando che il semplice scrolling – condotta usuale di un utente che approdi su una pagina web e che voglia “scorrerla” in visione – non è mai idoneo di per sé ad esprimere la manifestazione di volontà dell’interessato all’accettazione di cookies non tecnici.

Nel fare suo tale rilievo, il Garante ha stabilito che il semplice “scroll down” del cursore al fine di navigare sull’intera pagina web non è adatto alla raccolta, da parte del titolare, di un consenso idoneo all’installazione di cookies di profilazione o di altri strumenti di tracciamento non potendo escludere però che tale azione se inserita come parte di una più ampia sequenza possa portare ad una manifestazione consapevole dell’accettazione all’uso di cookie.

Conclusione a cui il Garante arriva anche in ossequio al predetto principio di accountability per cui viene riconosciuto al titolare del trattamento autonomia nell’identificazione delle soluzioni più appropriate per adeguarsi al dettato normativo che prevede necessariamente che il consenso prestato dall’utente non corrisponda ad un evento informatico equivoco.

Il c.d. cookie wall – il meccanismo per cui l’utente viene obbligato ad esprimere il proprio consenso per poter accedere al sito – secondo le nuove Linee guida è da ritenersi tendenzialmente illecito poiché contrastante con quanto previsto all’art. 4, punto 11 del Regolamento cioè il requisito della “libertà del consenso” che però fa salva la possibilità di verificare caso per caso se il titolare del trattamento mette a diposizione all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalente senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.

 

La reiterazione della richiesta di consenso

Sempre partendo dalla constatazione delle prassi fin qui adottate dagli utilizzatori di cookie, il Garante ha concentrato le sue mire censorie anche contro la riproposizione eccessiva del banner per l’acquisizione del consenso all’uso dei cookie di profilazione, malgrado l’utente l’abbia in precedenza negato, laddove è suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire liberamente nella navigazione.

L’indicazione generale correttiva prescritta dal Garante prevede, quindi, che la scelta dell’utente (di diniego o di consenso alla profilazione tramite cookie) dovrà essere debitamente registrata e la prestazione del consenso non più reiteratamente richiesta all’utente ad ogni accesso o con cadenza ravvicinata se non in tre casi:

–        nell’eventualità di mutamento significativo delle condizioni di trattamento;

–        quando sia impossibile per il gestore del sito web avere memoria delle preferenze già espresse in occasione in una successiva visita da parte dell’utente (un esempio è il caso in cui l’utente decida di cancellare dal proprio dispositivo i cookie legittimamente installati);

–        nel caso in cui siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

Modalità di acquisizione del consenso

Viene confermato il meccanismo di acquisizione del consenso così come descritto nelle precedenti Linee guida con qualche specificazione.

Per impostazione predefinita, al momento del primo accesso dell’utente, nessun cookie o altro strumento di tracciamento, ovviamente diverso da quelli tecnici, deve essere posizionato all’interno del dispositivo con il chiaro divieto di utilizzare tecniche di tracciamento passivo.

Ciascun titolare del trattamento potrà poi scegliere le modalità che ritiene più idonee a raccogliere il consenso, tuttavia, il Garante suggerisce l’adozione di un modello condiviso che prevede, al momento del primo accesso, la visualizzazione da parte dell’utente di un banner evidente ma non invasivo che permetta l’espressione di un’azione positiva nella quale si deve sostanziare la manifestazione del consenso dell’interessato.

Qualora l’utente scelga di mantenere le impostazioni di default sarà quindi sufficiente chiudere il banner cliccando su una X posizionata in alto a destra del banner medesimo che oltre detto segno grafico dovrà contenere un’informativa minima sull’utilizzo dei cookie, il link alla privacy policy, un comando per l’espressione del consenso al posizionamento dei cookie e il link ad un area dedicata nella quale selezionare solamente le funzionalità e i cookie al cui utilizzo si intende acconsentire.

Gli utenti dovranno inoltre esse messi nella condizione di poter modificare le scelte compiute in ogni momento e in maniera di immediata comprensione prevedendo inoltre la possibilità di inserire nel footer di qualsiasi pagina web un’apposita area per la funzione “rivedi le tue scelte”.

 

I cookie analytics

Per quanto riguarda l’utilizzo di cookie per la valutazione dell’efficacia di un servizio, il Garante aveva già precisato che possono essere ricompresi nella categoria di quelli tecnici e quindi essere utilizzati in assenza della previa acquisizione del consenso dell’interessato sempre che si ricorra a misure, come ad esempio l’utilizzo dei cookie analytics ad opera di “terze parti” che prevedano la possibilità che lo stesso cookie sia riferibile a più dispositivi tale da creare incertezza sull’identità informatica dell’utente.

In quest’ottica le nuove Linee Guida impongono ai soggetti terzi, che forniscono al publisher il servizio di web measurement, di non combinare i dati, anche così minimizzati, con altre elaborazioni né trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente.

Inoltre, “È tuttavia possibile reputare lecito il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale”.

 

Novità in materia di informativa

Nell’ottica di semplificare il reperimento di informazioni sul trattamento dei dati, il Garante propone la possibilità di sviluppare un modello di informativa dislocata su più livelli che quindi possa essere divulgata tramite più canali e modalità quali ad esempio interazioni vocali, chatbot e assistenti virtuali.

Infine, il Garante conclude sul rilievo della mancanza di un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento auspicando al raggiungimento di tale obiettivo.

Al fine di fornire ai soggetti tenuti all’osservanza degli obblighi di legge quali meglio articolati nelle sue modalità pratico-operative il Garante ha approntato un efficace schema di sintesi dei punti salienti delle nuove Linee Guida.

Condividi l'articolo:

Di rating reputazionale e di algoritmi: il richiamo della Cassazione sulla necessità del consenso libero e ben informato.

Il ricorso sempre più sistematico ai sistemi di intelligenza artificiale per l’elaborazione ed il trattamento di dati personali impone l’osservanza delle prescrizioni in ambito privacy.

L’intelligenza artificiale, infatti, si esplica attraverso il ricorso ad algoritmi il cui funzionamento, essendo altamente complesso, rende altamente probabile che l’utente, interessato dal trattamento dei propri dati personali, possa non avere le competenze e le corrette ed esaustive informazioni per comprendere le implicazioni.

La non conoscibilità del tipo di trattamento dei dati personali, declinandosi nella lesione del principio della trasparenza da osservarsi per il trattamento dei dati, non può che determinare l’illiceità stessa del trattamento.

A tal proposito si è recentemente espressa la Suprema Corte di Cassazione, I sezione civile, con ordinanza n. 14381/2021 del 24 marzo 2021 e pubblicata lo scorso 25 maggio.

La questione posta al vaglio della prima sezione della Suprema Corte dall’Autorità Garante per la protezione dei dati personali (il Garante della Privacy) ha ad oggetto i requisiti di liceità del consenso prestato dall’utente in relazione a servizi di cd. rating reputazionale, ossia al ricorso ad un algoritmo che permette di acquisire e riunire sistematicamente informazioni dettagliate su onestà, abilità, competenze e meriti di una persona fisica o giuridica.

In sintesi, attraverso il rating reputazionale si misura il grado di fiducia meritato da una persona, sia essa fisica o giuridica.

Il Garante della Privacy ha proposto ricorso avverso la decisione del Tribunale di Roma che aveva parzialmente accolto il ricorso di una ONLUS per l’annullamento di un provvedimento con il quale lo stesso Garante aveva disposto il divieto di qualunque operazione di trattamento dei dati personali effettuata dalla Onlus per servizi aventi il fine di contrastare fenomeni basati sulla creazione di profili cd. “fake”, dunque artefatti e comunque inveritieri, calcolandone il cd. rating.

Il Tribunale accoglieva parzialmente il ricorso della Onlus, annullando il provvedimento del Garante della Privacy, non condividendo le ragioni di illiceità del trattamento della piattaforma ravvisate dal Garante stante l’assenza di una idonea cornice normativa, pur essendo tale sistema di rating potenzialmente idoneo ad incidere sulla rappresentazione economica e sociale di un’ampia categoria di soggetti.

Lo stesso Tribunale faceva tuttavia salva l’efficacia del divieto nella parte in cui l’attività di riferiva a dati personali di soggetti terzi, non associati alla Onlus.

I motivi per i quali il Garante ha impugnato la statuizione resa dal Tribunale di Roma riguardavano essenzialmente la non conoscibilità da parte dei soggetti titolari dei dati personali trattati dell’algoritmo utilizzato per l’assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza funzionale a rendere consapevole il consenso prestato dall’interessato.

La Corte ha precisato che, ai fini della liceità del trattamento basato sul consenso, ai sensi dell’art. 23 D. Lgs. 196/2003 (il Codice Privacy), tale consenso non sia da intendersi sic et simpliciter quale espressione di autonomia del privato, bensì quale consenso validamente prestato.

Tale consenso può dirsi tale solo se espresso liberamente e specificamente rispetto ad un trattamento “chiaramente individuato”.

Nel caso di specie, la liceità del trattamento basato sulla serietà della manifestazione del consenso avrebbe dovuto coincidere con la conoscibilità del meccanismo di funzionamento dell’algoritmo di rating. La scarsa trasparenza di quest’ultimo, seppur individuata nelle argomentazioni del Tribunale, non era stata adeguatamente valorizzata, sulla base della considerazione che “spetterebbe al mercato stabilire l’efficacia e la bontà del risultato, ovvero del servizio prestato dalla piattaforma”, in virtù della bontà del risultato o del servizio prestato.

Deve rilevarsi il diritto dell’individuo a non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato che produce effetti giuridici che lo riguardano in modo significativo, come sancito dall’art. 22 del GDPR. Questa disposizione, pur riferendosi alla profilazione, definita a grandi linee all’art. 4 del GDPR quale forma di elaborazione dei dati volta a “valutare alcuni aspetti personali relativi a un individuo, in particolare per analizzare o prevedere questioni riguardanti le prestazioni lavorative, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, il luogo o i movimenti di quell’individuo” deve ritenersi espandibile anche al rating reputazionale, salvo opportuni adattamenti.

La sentenza del Tribunale di Roma è stata cassata con rinvio indicando il principio di diritto secondo il quale in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato.

Il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.

L’intelligenza artificiale, quantomeno laddove tratti dati personali, deve quindi essere preventivamente intellegibile nelle sue implicazioni dall’intelligenza umana di chi è chiamato a prestare il consenso al trattamento dei suoi dati personali.

Condividi l'articolo: