Il 1°
gennaio 2021 entreranno in vigore le modifiche introdotte dal D.lgs. 3
settembre 2020, n. 116 (c.d. Decreto Rifiuti) agli articoli 183, comma
1, lettera b-ter) e 184, comma 2, oltre che agli allegati L-quater e
L-quinquies del D.lgs. 152/2006 (c.d. Testo Unico in materia
ambientale, di seguito “TUA”).
Nel merito, con le suddette modifiche normative è stata inserita ex
novo nel TUA la definizione di rifiuti urbani (art. 183, comma 1,
b-ter) e – coerentemente – è stato rivisto l’elenco dei rifiuti
speciali (art. 184, comma 3); sempre con riferimento alla
classificazione dei rifiuti, nell’articolo 184 è stata inserita la
previsione secondo la quale: “La corretta attribuzione dei Codici dei
rifiuti e delle caratteristiche di pericolo dei rifiuti è effettuata
dal produttore sulla base delle Linee Guida redatte, entro il 31
dicembre 2020, dal Sistema Nazionale per la protezione e ricerca
ambientale e approvate con decreto del Ministero dell’ambiente e della
tutela del territorio e del mare, sentita la Conferenza permanente per
i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e
Bolzano”.
Più in generale, il c.d. Decreto Rifiuti (attuativo di due delle
quattro direttive europee contenute nel c.d. “Pacchetto Economia
Circolare”) ha modificato la Parte Quarta del Testo Unico Ambientale,
rivedendo e ampliando, tra l’altro, la disciplina sulla responsabilità
estesa del produttore (art. 178 bis); prevedendo in un articolo ad
hoc (art. 185 bis) la disciplina del deposito temporaneo prima
della raccolta; modificando l’art. 188; e “confermando” il Registro
elettronico nazionale per la tracciabilità dei Rifiuti (“RenTri”, art.
188-bis) - istituito dal Decreto Legge 14 dicembre 2018, n. 135
(convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12) –
demandando a uno o più decreti (rectius Regolamenti) l’individuazione
delle modalità di compilazione e tenuta dei registri di carico e
scarico e del formulario di identificazione (FIR).
La
procedura di gara indetta nel luglio 2020 per l’acquisto di banchi
scolastici è stata legittimamente effettuata in base alle disposizioni
introdotte dal Decreto Semplificazioni (d. l. n. 76/2020); in
particolare essendo tale procedura caratterizzata dalla necessità di
osservare la massima celerità e flessibilità, in considerazione dei
rilevanti interessi pubblici ad essa sottesi. (Tar Lazio, Sez. I
quater, sent. 9 ottobre 2020, n. 10268)
Non può
ritenersi contrastante con il diritto comunitario l’attuale limite al
subappalto pari al 40% delle opere, previsto dall’art. 1, comma 18,
della legge n. 55/2019 infatti , la Corte di Giustizia dell’Unione
Europea nella sentenza 27 novembre 2019, C – 402/18 e 26 settembre
2019 C – 63/18, pur avendo censurato il limite al subappalto previsto
dal diritto interno nella soglia del 30% dei lavori, non ha escluso la
compatibilità con il diritto dell’Unione di limiti superiori. (Tar
Lazio, Roma, Sez. III quater, sent. 3 novembre 2020, n. 11304).
Con l’art.
17 del Decreto Legge n. 149/2020 (c.d. “Decreto Ristori Bis”, in
vigore dal 9 novembre 2020) sono stati sostituiti e/o modificati gli
Allegati XLVII e XLVIII del Testo Unico per la sicurezza sul lavoro
(D. Lgs. n. 81/08).
Nello specifico, quanto al (nuovo) Allegato XVLII “Indicazioni su
misure e livelli di contenimento” vengono elencate le misure di
contenimento che andranno attuate in base alla natura delle attività,
alla valutazione del rischio per i lavoratori e alla natura
dell’agente biologico considerato, modulando i livelli di intervento a
seconda dei livelli di contenimento; in esso, inoltre, viene indicato:
(i)
in quali casi il luogo di lavoro debba essere sigillato in modo tale
da consentirne la fumigazione;
(ii)
che si dovranno adoperare superfici facili da pulire non unicamente
per i banconi ma anche per i pavimenti;
(iii)
che lo stoccaggio debba sempre avvenire in condizioni di sicurezza, a
qualunque livello di contenimento.
Nel successivo Allegato XLVIII “Contenimento per i processi
industriali” (modificato nell’intera sua seconda parte) viene indicato
che potrebbe essere opportuno combinare tra loro le prescrizioni di
contenimento delle diverse categorie sulla base di una valutazione del
rischio connesso ad un particolare processo o a una parte di esso.
In entrambi gli Allegati, infine, si precisa che, laddove venga
utilizzato il termine “raccomandato”, in linea di principio la
misura dovrebbe essere applicata, ad eccezione dei casi in cui gli
esiti della valutazione del rischio risultino in contrasto con tale
indicazione.
Una
recente sentenza della Corte di Cassazione penale, sez. IV, (6 ottobre
2020, n. 29442) si è pronunciata in tema di responsabilità del
datore di lavoro per omessa cooperazione all’attuazione delle misure
di prevenzione e protezione dei rischi sul lavoro nel caso in cui
siano implicate più imprese e/o lavoratori autonomi che rivestono la
qualità di datore di lavoro (violazione dell’art. 26, comma 2, lett a)
e b) d.lgs. 9 aprile 2008, n. 81).
Il caso affrontato dalla Suprema Corte ha coinvolto tre società, i cui
rappresentanti legali erano imputati nel procedimento penale a loro
carico. In particolare, si trattava (i) di una società che aveva in
gestione un teatro, (ii) un’altra che si occupava della messa in scena
dello spettacolo e (iii) la terza era una società cooperativa che
aveva in subappalto i lavori di facchinaggio necessari per
l’allestimento del teatro (e alle cui dipendenze lavorava il soggetto
offeso). All’interno del teatro, inteso come luogo di lavoro, le tre
società cooperavano, ciascuna nel proprio ruolo, alla messa in scena
dello spettacolo.
Un operaio, dipendente della subappaltatrice addetta ai lavori di
facchinaggio, cadeva dalla passarella che attraversava la buca
d’orchestra mentre trasportava un baule pesante. La scarsa
illuminazione e l’assenza di solidi parapetti a protezione della
passerella rendevano inevitabile la caduta del lavoratore, che
riportava gravi lesioni.
La Corte di Cassazione ha affermato che il sistema di sicurezza
aziendale costituisce un procedimento di programmazione della
prevenzione globale dei rischi. Di conseguenza, in esso va ricompresa
anche la gestione dei rischi in caso di affidamento di lavori a
singole imprese appaltatrici o a lavoratori autonomi. Come afferma
inoltre l’ormai consolidato orientamento giurisprudenziale, se i
titolari della posizione di garanzia sono più di uno, ciascun garante
risulta per intero destinatario dell’obbligo di impedire l’evento fino
al momento in cui non si esaurisca il rapporto che ha originato la
singola porzione di garanzia.
Inoltre, secondo quanto stabilito dall’art. 26, comma 2, lett a) e b)
del D.lgs. 81/2008, la prevenzione dei rischi connessi all’attività
lavorativa deve basarsi su:
- una cooperazione
all’attuazione delle misure di prevenzione e protezione dai rischi sul
lavoro e
- un coordinamento degli
interventi di protezione e prevenzione, compiuto mediante la
informazione reciproca anche al fine di eliminare i rischi dovuti alle
interferenze tra i lavori delle diverse imprese coinvolte
nell’esecuzione dell’opera complessiva.
La Cassazione, respingendo i ricorsi e riconfermando le
condanne, ha infine stabilito che quando un obbligo di
intervenire per impedire un evento ricade su più persone che debbono
intervenire in momenti diversi, il nesso di causalità tra la condotta
omissiva o commissiva del titolare di una posizione di garanzia non
viene meno per l’effetto del successivo mancato intervento da parte di
un altro soggetto, destinatario anch’egli di un obbligo di impedire
l’evento, configurandosi un concorso di cause ex art. 41 c.p.
Perimetro
di sicurezza nazionale cibernetica – Regolamento attuativo
Il 5 novembre 2020 entra in vigore il Decreto del Presidente del
Consiglio dei Ministri 30 luglio 2020, n. 131 (di seguito “DPCM”),
pubblicato in Gazzetta Ufficiale il 21 ottobre 2020, con il quale
vengono introdotte disposizioni attuative in materia di perimetro di
sicurezza nazionale cibernetica.
Nel DPCM, da intendersi quale Regolamento “attuativo” del Decreto
Legge 21 settembre 2019, n. 105 (“Disposizioni urgenti in
materia di perimetro di sicurezza nazionale cibernetica), come
convertito dalla Legge 18 novembre 2019, n. 133:
> è contenuta la definizione di “pregiudizio per la sicurezza
nazionale” (art. 1, comma 1, lett. f) e quella di “bene ICT”
(identificato all’art. 1, comma 1, lettera m) quale “un insieme di
reti, sistemi informativi e servizi informatici, o parti di essi, di
qualunque natura, considerato unitamente ai fini dello svolgimento di
funzioni essenziali dello Stato o per l’erogazione di servizi
essenziali);
> sono indicati come “soggetti che esercitano funzioni
essenziali e servizi essenziali” coloro ai quali l’ordinamento ha
attribuito compiti “rivolti ad assicurare la continuità dell’azione
del Governo e degli Organi Costituzionali, la sicurezza interna ed
esterna e la difesa dello Stato, le relazioni internazionali, la
sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la
funzionalità dei sistemi economico e finanziario e dei trasporti”
(art. 2, comma 1, lettera a). Oltre ad essi, si considerano “soggetti
che esercitano funzioni essenziali e servizi essenziali” i soggetti
(pubblici o privati) che prestano un servizio essenziale “per il
mantenimento delle attività civili, sociali o economiche fondamentali
per gli interessi dello Stato” (articolo 2, comma 1, lettera b) e gli
Organi Costituzionali (articolo 2, comma 2);
> all’articolo 3 del DPCM vengono individuati i settori di
attività interessati dalla normativa relativa al perimetro di
sicurezza cibernetica (governativo, interno, difesa, spazio e
aerospazio, energia, telecomunicazioni, economia e finanza, trasporti,
servizi digitali, tecnologie critiche, enti previdenziali/lavoro);
> è previsto che le pubbliche amministrazioni che agiscono
nei singoli settori di attività di cui sopra contribuiscano ad
individuare – mediante un successivo atto amministrativo che sarà
emanato dal Presidente del Consiglio dei Ministri, su proposta del
Comitato Interministeriale per la Sicurezza della Repubblica (CISR) –
i soggetti inclusi nel perimetro di Sicurezza nazionale cibernetica.
L’individuazione di detti soggetti verrà loro comunicata dal
Dipartimento delle informazioni per la sicurezza della Presidenza del
Consiglio dei ministri (DIS) entro trenta giorni dall’iscrizione nel
relativo elenco; in detta comunicazione verrà specificato il servizio
essenziale in forza del quale è avvenuta la loro individuazione.
Gli enti interessati dalla normativa in commento dovranno predisporre
e aggiornare annualmente l’elenco dei beni ICT, fornendo l’indicazione
delle reti, dei sistemi informativi e dei servizi informatici
(articolo 7 del DPCM); la descrizione dell’architettura e della
componentistica dei beni ICT, inoltre, andrà effettuata in conformità
al modello che verrà predisposto dal Dipartimento delle informazioni
per la sicurezza della Presidenza del Consiglio (art. 8 del DPCM).
Infine, l’art. 9 del DCPM prevede che, entro sei mesi dalla ricezione
della comunicazione dell’iscrizione nell’elenco, i soggetti inclusi
nel perimetro di sicurezza nazionale cibernetica dovranno trasmettere
alla struttura della Presidenza del Consiglio competente per
l’innovazione tecnologica e la digitalizzazione e al Ministero dello
sviluppo economico gli elenchi dei beni ICT, unitamente alla
descrizione effettuata in conformità alle disposizioni contenute
nell’art. 8 del medesimo DPCM.
(Conversione in legge, con modificazioni, del decreto- legge 14 agosto
2020, n. 104, recante misure urgenti per il sostegno e il rilancio
dell’economia): disposizioni in materia societaria.
Il 13 ottobre 2020 è stata pubblicata in Gazzetta Ufficiale, Serie
Generale n. 253, la legge n. 126 di conversione del decreto- legge 14
agosto 2020, n. 104, recante misure urgenti per il sostegno e il
rilancio dell’economia.
In essa è stata confermata la disposizione introdotta all’art. 71, la
quale prevede che - per quanto concerne le modalità di svolgimento
delle assemblee delle società per azioni, delle società a
responsabilità limitata, delle società cooperative e delle mutue
assicuratrici convocate entro il 15 ottobre 2020 - continueranno ad
applicarsi le previsioni stabilite all’art. 106, commi dal 2 al 6, del
d. l. 18/2020, convertito dalla legge n. 27/2020.
Nello specifico, fino a tale data, con l’avviso di convocazione delle
assemblee ordinarie o straordinarie di tali società, sarà possibile
stabilire la possibilità che il voto venga espresso in via elettronica
o per corrispondenza, oltre alla possibilità di intervenire e
partecipare alla riunione attraverso mezzi di telecomunicazione.
Inoltre le assemblee potranno svolgersi esclusivamente tramite mezzi
di telecomunicazione, sempre che sia possibile l’identificazione dei
partecipanti e venga garantito il loro diritto al voto in conformità
alle disposizioni del codice civile, senza la necessità che il
presidente, il segretario o il notaio si trovino nello stesso luogo.
Infine, le società a responsabilità limitata possono consentire che il
voto venga espresso attraverso consultazione scritta o per consenso
per iscritto, in deroga a quanto previsto all’art. 2479, quarto comma,
cod. civ.
Con una
recente ordinanza (3 settembre 2020 n. 18288) la seconda Sezione della
Corte di Cassazione Civile ha affermato il principio del cumulo
materiale delle sanzioni amministrative previste dagli artt. 162,
comma 2-bis, e 164-bis, comma 2, del D.lgs. 30 giugno 2003, n. 196 (di
seguito il “Codice Privacy”), disposizioni comunque abrogate dal
D.lgs. 101/2018, adottato a seguito dell’entrata in vigore del
Regolamento UE 2016/679 (c.d. “GDPR”).
Nel 2013 il Garante per la protezione dei dati personali ha sanzionato
una società per plurime condotte vietate dal Codice Privacy.
Più precisamente, l’Autorità Garante ha accertato – in primo luogo -
la violazione dell’articolo 162, comma 2-bis, del Codice Privacy, per
non aver la società di cui sopra adottato le misure minime previste
dagli articoli 34 e 35 del predetto Codice per i trattamenti con
strumenti elettronici e per quelli senza l’ausilio di strumenti
elettronici (ovvero, rispettivamente, l’autenticazione informatica,
l’adozione di procedure di gestione delle credenziali di
autenticazione, l’utilizzazione di un sistema di autorizzazione, ecc.
per gli uni; l’aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati o alle unità
organizzative, la previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo svolgimento dei
relativi compiti, ecc. per gli altri) e aver posto in essere, quindi,
un trattamento illecito dei dati.
Secondariamente, è stata accertata l’ulteriore violazione dell’art.
164 del Codice Privacy, non avendo la società tempestivamente
riscontrato la richiesta di informazioni formulata dal Garante;
infine, avendo la Società violato anche le disposizioni dettate con
riferimento a “banche dati di particolare rilevanza o dimensioni”, il
Garante ha ritenuto che fosse stata integrata la fattispecie di cui
all’all’art. 164-bis, comma 2 del Codice Privacy.
A seguito di impugnazione del provvedimento di condanna da parte della
società, il Tribunale di Roma ha annullato la sanzione comminata ai
sensi dell’art. 162, comma 2-bis del Codice Privacy, ritenendola
assorbita da quella prevista dall’art. 164-bis del Codice Privacy;
l’Autorità Garante, però, ha proposto ricorso per cassazione avverso
la sentenza del Tribunale di Roma, sostenendo l’autonomia delle due
fattispecie.
La Corte di Cassazione, con l’ordinanza in commento e accogliendo il
ricorso del Garante per la protezione dei dati personali, ha affermato
il cumulo materiale delle sanzioni amministrative disposte dagli artt.
162, comma 2-bis e 164-bis, comma 2, del Codice Privacy, costituendo
esse figure di illecito tra loro autonome e distinte.
Il Garante
della Privacy, con provvedimento 163 del 17 settembre 2020, si è
espresso favorevolmente in merito alla proposta di modifica del
regolamento recante le modalità per la realizzazione dello SPID
(attuativo dell’art. 4, comma 2, DPCM 24 ottobre 2014) formulata dall’
AgID (Agenzia per l’Italia Digitale) con la nota del 6 luglio 2020,
approvando la nuova modalità per l’identificazione da remoto del
richiedente l’identità digitale.
Tale nuova modalità di identificazione da remoto non richiederà più la
contestuale presenza del richiedente l’identità digitale (SPID) e
dell’operatore del gestore: infatti, il richiedente, dopo aver
eseguito una procedura di registrazione online, effettuerà una
sessione audio- video durante la quale mostrerà i documenti di
riconoscimento e il proprio codice fiscale, confermerà vari dati
precedentemente indicati in fase di registrazione e ribadirà la
volontà di attivare la SPID.
Il procedimento si concluderà con l’esecuzione di un bonifico, con
IBAN italiano, intestato o cointestato al richiedente, nella cui
causale andrà indicato un codice specifico, precedentemente ricevuto,
che consentirà di abbinare il richiedente al pagamento in
questione. Tutte le informazioni e le registrazioni audio-video
verranno poi verificate dagli operatori in back-office al fine del
successivo rilascio dell’identità digitale.
E’ previsto un periodo transitorio di 6 mesi durante il quale l’AgID
trasmetterà al Garante un report circa l’esito delle verifiche
effettuate, al fine di valutare l’efficacia di queste tipologie di
controllo di secondo livello. Inoltre, l’AgID avrà l’obbligo di
inviare al Garante report settimanali nei quali segnalerà i casi di
criticità riscontrati qualificabili come tentativi fraudolenti di
carpire identità digitali. Tali dati potranno essere utili al Garante
che potrà effettuare ulteriori accertamenti e valutare la
necessità di adottare ulteriori misure tecniche e organizzative per
rafforzare il procedimento di identificazione da remoto.
In data 15
Settembre 2020 è stato pubblicato in Gazzetta Ufficiale n. 229, il
Decreto Legislativo n. 122/2020, attuativo della Direttiva UE 2018/957
in materia di distacco transnazionale dei lavori nell’ambito di una
prestazione di servizi, il quale ha apportato modifiche al D. lgs. n.
136/2016 (Attuazione della direttiva 2014/67/UE del Parlamento europeo
e del Consiglio, del 15 maggio 2014, concernente l'applicazione della
direttiva 96/71/CE relativa al distacco dei lavoratori nell'ambito di
una prestazione di servizi e recante modifica del regolamento (UE) n.
1024/2012 relativo alla cooperazione amministrativa attraverso il
sistema di informazione del mercato interno («regolamento IMI»)”.
Fra le principali modifiche introdotte si segnala:
- L’introduzione, all’art.
1, del comma 2- bis il quale ha esteso l’applicazione del D. Lgs. n.
136/2016 anche alle agenzie di somministrazione di lavoro stabilite in
uno Stato membro diverso dall’Italia, le quali, nell’ambito di una
prestazione transnazionale di servizi, abbiano distaccato un
lavoratore presso un’utilizzatrice con sede nel medesimo o in un altro
Stato membro, inviato poi presso una propria unità produttiva o
impresa che ha sede in Italia. In tale circostanza i lavoratori
verranno considerati distaccati in Italia dall’agenzia di
somministrazione. Inoltre le disposizioni del D. Lgs. n.
136/2016 troveranno applicazione anche alle agenzie di
somministrazione di lavoro stabilite in uno Stato membro diverso
dall’Italia, che effettuino il distacco di uno o più lavoratori presso
un’impresa utilizzatrice con sede in Italia, da quest’ultima a sua
volta inviati nel territorio di un altro Stato membro diverso da
quello dell’agenzia di somministrazione. Il lavoratore si considera
altresì distaccato (in virtù della nuova lettera d) aggiunta all’art.
2 comma 1 del D. Lgs. 136/2016) anche qualora in quest’ultimo caso
l’agenzia di somministrazione ha sede in Italia. La normativa, molto
complessa, vuole dare un contributo alla disciplina dei casi di
rapporti di lavoro in cui siano coinvolti tre soggetti (agenzia
interinale, impresa utilizzatrice e terza impresa).
- È stato sostituito
l’intero comma 1 dell’art. 4; ai rapporti fra le imprese e i
lavoratori distaccati si applicano durante il periodo del distacco, se
più favorevoli, le medesime condizioni di lavoro e di occupazione
previste in Italia da disposizioni normative e contratti collettivi,
in alcune specifiche materie, fra cui: periodi massimi di lavoro e
periodi minimi di riposo, durata dei congedi annuali retribuiti,
salute e sicurezza dei luoghi di lavoro, parità di trattamento,
indennità o rimborsi a copertura delle spese di viaggio.
- In materia di rimborso
spese nel distacco è stato introdotto all’art. 4, il comma 1- bis,
secondo cui sono considerate parte della retribuzione le indennità
riconosciute al lavoratore per il distacco che non sono versate a
titolo di rimborso spese di viaggio, vitto e alloggio effettivamente
sostenute a causa del distacco. Qualora la disciplina nazionale non
stabilisca se alcuni elementi delle indennità siano corrisposti a mero
titolo di rimborso spese o se fanno parte della retribuzione, l’intera
indennità percepita dal lavoratore distaccato sarà considerata quale
rimborso spese.
- Infine, il nuovo art. 4-
bis del D.Lgs. 136/2016 introduce il cosiddetto “distacco di
lunga durata” . Posto che la durata massima del distacco - ridotta in
virtù della Direttiva 2018/957 – è di 12 mesi, è prevista la
possibilità di una estensione di ulteriori 18 mesi con notifica
motivata al Ministero del lavoro e delle politiche sociali da parte
del prestatore di servizi. La durata complessiva del distacco
viene ricostruita sommando tutti i periodi di lavoro prestati dal
singolo lavoratore. Ai sensi dell’art. 4-bis, in caso di distacco
superiore ai 12 mesi, oltre alle condizioni di lavoro più favorevoli
di cui all’art. 4, 1 comma, si applicheranno tutte le condizioni di
lavoro ed occupazione previste in Italia da disposizioni normative e
contratti collettivi ad eccezione di quelle inerenti: la
previdenza integrativa di categoria, le clausole di non concorrenza e
le procedure per la conclusione e cessazione del contratto di lavoro.
Il 18
agosto è stato pubblicato in Gazzetta Ufficiale il Regolamento
adottato dall’ANAC con delibera in data 1° luglio 2020, in materia di
“gestione delle segnalazioni e per l’esercizio del potere
sanzionatorio in materia di tutela degli autori di segnalazioni di
illeciti o irregolarità di cui siano venuti a conoscenza nell’ambito
di un rapporto di lavoro di cui all’articolo 54- bis del decreto
legislativo n. 165/2001”.
L’ANAC è, infatti, una delle autorità a cui, ai sensi della Legge 30
novembre 2017 n. 179, possono essere segnalate condotte illecite da
parte del dipendente pubblico, come inteso dal 2° comma dell’articolo
54-bis del D.lgs. 165/2001 (così come modificato dall’art. 1 della
citata L. 179/2017), rientrando quindi in tale definizione anche “i
lavoratori e i collaboratori delle imprese fornitrici di beni o
servizi e che realizzano opere in favore dell’amministrazione
pubblica”.
Il Regolamento, entrato in vigore il 2 settembre 2020, si applica ai
procedimenti avviati successivamente a tale data e disciplina:
- la gestione delle segnalazioni
- l’accertamento di eventuali comportamenti ritorsivi
- l’accertamento del mancato svolgimento da parte del responsabile
delle attività di verifica e analisi delle segnalazioni
- l’accertamento dell’assenza o non conformità di procedure per
l’inoltro e la gestione delle segnalazioni
Ai sensi dell’articolo 4 del Regolamento il potere sanzionatorio,
conferito all’Autorità in materia, potrà essere esercitato d’ufficio
qualora si accerti uno o più delle violazioni indicate e si prevede
che le comunicazioni e le segnalazioni devono essere inoltrate
all’Autorità attraverso il modulo della piattaforma informatica
disponibile sul sito istituzionale dell’ANAC, il quale assicura
adeguati strumenti di crittografia e riservatezza dell’identità del
segnalate e del contenuto della segnalazione.
Con
Circolare n. 22 emessa in data 20 maggio 2020, l’INAIL ha fornito
alcuni importanti chiarimenti in merito alla responsabilità del datore
di lavoro e tutela infortunistica per i casi accertati di infezione da
Coronavirus in occasione di lavoro.
Oltre alla Circolare dell’ INAIL del 13 aprile 2020 sempre in materia,
l’art. 42, comma 2 del decreto-legge 17 marzo 2020, n. 18
(il così detto “Cura Italia”, convertito con legge n. 27 /2020)
aveva chiarito che l’infezione da COVID-19 è tutelata dall’INAIL quale
“infortunio sul lavoro” al pari di ogni infezione da agenti biologici
contratta in occasione di lavoro.
In particolare, la Circolare 22/2020 ( di seguito la “Circolare”) ha
precisato che:
- la causa
“virulenta” viene equiparata alla causa “violenta” propria
dell’infortunio e, quindi, le patologie infettive contratte in
occasione di lavoro sono sempre inquadrate e trattate come infortunio
sul lavoro;
- l’indennità
per inabilità temporanea assoluta comprende anche il periodo di
quarantena o di permanenza domiciliare fiduciaria, sempre che il
contagio sia riconducibile all’attività lavorativa;
- gli oneri
degli eventi infortunistici da contagio sono posti a carico della
gestione assicurativa nel suo complesso e non comportano maggiori
oneri per le imprese.
ACCETAMENTO DELL’INFORTUNIO DA CONTAGIO COVID-19 – RESPONSABILITA’ DEL
DATORE DI LAVORO
Chiarito che sono tutelati tutti i lavoratori assicurati con l’INAIL
che abbiano contratto il contagio in occasione di lavoro, la Circolare
richiama le Linee guida n. 784/1995 per la trattazione delle
malattie infettive che si basano su due principi fondamentali:
1. è considerata causa violenta
anche l’azione di fattori microbiotici e virali contratti nello
svolgimento dell’attività lavorativa;
2. la prova del dell’avvenuto
contagio per motivi professionali può avvenire anche attraverso
presunzioni, per cui l’evento può essere “desunto” come conseguenza
ragionevole, probabile e verosimile secondo un criterio di normalità
(presunzione semplice).
Un concetto fondamentale che l’INAIL ha voluto evidenziare, per
sgombrare il campo dalle recenti interpretazioni allarmistiche, è che
non può desumersi alcun automatismo tra l’ammissione a tutela
dei casi denunziati e la responsabilità del datore di lavoro.
Gli indizi devono essere sempre gravi, precisi e concordanti , ferma
restando la possibilità di prova contraria dell’INPS, che procederà
con verifiche rigorose.
Il riconoscimento dell’origine professionale del contagio non potrà
che fondarsi su:
a) un giudizio di ragionevole
probabilità
b) avulso da ogni valutazione in ordine
all’imputabilità di eventuali comportamenti omissivi in capo al datore
di lavoro che possano aver causato il contagio.
In sostanza, il riconoscimento al diritto alle prestazioni da parte
dell’INAIL non ha alcun rilievo in ordine alle responsabilità in sede
civile e penale del datore di lavoro. Le due cose non sono e non
devono essere collegate. Rimane sempre necessario l’accertamento
della colpa del datore di lavoro per poter determinare eventuali
responsabilità di natura civile o penale.
Pertanto, scrive l’INAIL, “la responsabilità del datore di lavoro è
ipotizzabile solo in caso di violazione della legge o di obblighi
derivanti dalle conoscenze sperimentali o tecniche che nel caso
dell’emergenza epidemiologica da COVID-19 si possono rinvenire nei
protocollo e nelle linee guida governativi e regionali di cui
all’art. 1, comma 14 del D.L. n. 33”.
Ribadisce l’INAIL che, anche per consolidato orientamento
giurisprudenziale della Corte di Cassazione, non è richiesto al datore
di lavoro di garantire un “rischio zero” negli ambienti di lavoro ma
solo l’applicazione puntuale della normativa e dei protocolli si
sicurezza in vigore, permanendo l’indipendenza logico-giurdica
del piano assicurativo da quello di accertamento giudiziario di
eventuali colpe e responsabilità, in sede civile o penale, del datore
di lavoro.
In assenza di una comprovata violazione delle misure di
contenimento del contagio da COVID-19, scrive l’INAIL, sarebbe molto
difficile ipotizzare e dimostrare la colpa del datore di lavoro.
L’INAIL
(Istituto nazionale per l’assicurazione contro gli infortuni sul
lavoro) ha elaborato un documento tecnico in vista della c.d.
Fase 2 - durante la quale dovrebbe avvenire la graduale riapertura
dell’attività produttive e commerciali-, attualmente all’esame
dell’Ufficio di Presidenza del Consiglio dei Ministri.
Il documento si compone principalmente di due parti: nella prima viene
definito l’ambito di rischio di alcuni settori lavorativi (classi di
rischio: “BASSO”; “MEDIO-BASSO”; “MEDIO-ALTO”; “ALTO”) e si individua
in quale di questi ambiti di rischio ricadono i lavoratori dei vari
settori di attività (in base anche ai codici ATECO); nella seconda
parte, invece, vengono dettate alcune linee generali di contenimento
del rischio sui luoghi di lavoro.
La tabella relativa alle classi di rischio elaborata dall’INAIL
(contenuta documento) prende in considerazione tre fattori:
1. l’esposizione (la probabilità di
venire in contatto con fonti di contagio nello svolgimento delle
specifiche attività lavorative);
2. la prossimità (le caratteristiche
intrinseche di svolgimento del lavoro che non permettono un
sufficiente distanziamento sociale per parte del tempo di lavoro o per
la quasi totalità);
3. l’aggregazione (la tipologia di
lavoro che prevede il contatto con altri soggetti oltre ai lavoratori
dell’azienda) e che serve quale fattore di correzione del combinato
disposto dei primi due fattori.
La seconda parte del documento (da pagina 5: “Strategie di
previsione”) contiene numerose e interessanti indicazioni operative,
tra le quali quelle relative a:
- la “necessità di adottare
una serie di azioni che vanno ad integrare il documento di valutazione
dei rischi (DVR) atte a prevenire il rischio di infezione SARS-CoV-2
nei luoghi di lavoro” (cfr. pag. 6) ;
- la gestione degli spazi di
lavoro, che dovranno essere rimodulati per garantire il rispetto della
distanza interpersonale di un metro e che dovranno prevedere la
ventilazione continua; l’organizzazione e l’orario di lavoro (al fine
di prevenire assembramenti all’entrata e all’uscita, anche mediante la
flessibilità di orari); la valorizzazione del lavoro a distanza
(soprattutto per le attività di supporto gestionale/amministrativo);
- le misure di prevenzione e
protezione (soprattutto l’attività di informazione e formazione dei
dipendenti, “con particolare riferimento al complesso delle misure
adottate cui il personale deve attenersi”);
- le misure igieniche e di
sanificazione degli ambienti;
- l’utilizzo di mascherine e
dispositivi di protezione individuali (DPI) per le vie respiratorie;
- la sorveglianza sanitaria
a tutela dei lavoratori fragili (si suggerisce, tra l’altro, di
valutare se introdurre in azienda la c.d. “sorveglianza sanitaria
eccezionale”, da effettuare sui lavoratori con età superiore a 55 anni
o su lavoratori anche più giovani ma che ritengano di rientrare, per
condizioni patologiche, in una situazione di maggior pericolo);
- il reintegro progressivo
dei lavoratori dopo l’infezione da SARS-CoV-2;
- la prevenzione
dell’attivazione di focolai epidemici (mediante, per esempio,
l’adozione di una procedura di controllo della temperatura corporea
sui lavoratori, prima dell’accesso ai luoghi di lavoro e secondo le
modalità contenute nel Protocollo condiviso di regolamentazione delle
misure per il contrasto e il contenimento della diffusione del virus
Covid-19 negli ambienti di lavoro del 14 marzo 2020).
Il
D.L. n. 18/2020 (“Misure di potenziamento del Servizio sanitario
nazionale e di sostegno economico per famiglie, lavoratori e imprese
connesse all'emergenza epidemiologica da COVID-1”, c.d. “Decreto
Cura-Italia”) - pubblicato sulla Gazzetta Ufficiale Serie Generale n.
70 del 17 marzo 2020 e in vigore dal giorno stesso – ha introdotto
alcune novità normative in materia di diritto societario.
Nello specifico, l’art. 106 del Decreto Cura Italia prevede che, in
deroga all’art. 2364, comma 2, c.c. (dettato in materia di società per
azioni) e all’art. 2478-bis c.c. (dettato in materia di società a
responsabilità limitata), l’assemblea ordinaria dei soci per
l’approvazione del bilancio sia convocata entro 180 giorni dalla
chiusura dell’esercizio.
Inoltre, il comma 2 dell’art. 106 del Decreto Cura Italia precisa che,
con l’avviso di convocazione delle assemblee ordinarie o
straordinarie, “le società per azioni, le società in accomandita per
azioni, le società a responsabilità limitata, e le società cooperative
e le mutue assicuratrici possono prevedere, anche in deroga alle
diverse disposizioni statutarie, l’espressione del voto in via
elettronica o per corrispondenza e l’intervento all’assemblea mediante
mezzi di telecomunicazione”.
Le società di cui sopra, inoltre,
possono prevedere che l’assemblea si svolga, anche esclusivamente,
mediante mezzi di telecomunicazione che garantiscano comunque (i)
l’identificazione dei partecipanti, (ii) la loro partecipazione e
(iii) l’esercizio del diritto di voto, senza la necessità che si
trovino nello stesso luogo, ove previsti, il presidente, il segretario
o il notaio.
Tali disposizioni si applicano alle assemblee convocate entro il 31
luglio 2020 (ovvero entro la data, se posteriore, fino alla quale sarà
in vigore lo stato di emergenza dichiarato lo scorso 31 gennaio 2020 e
relativo al “rischio sanitario connesso all’insorgenza della epidemia
da COVID-19”).
Avv. Francesca Caporale
In data
14 marzo 202 è stato adottato un Protocollo condiviso di
regolamentazione per il contrasto ed il contenimento della diffusione
del virus Covid-1 negli ambienti di lavoro, firmato il 14 marzo u.s.
con particolare riferimento agli ingressi in azienda del personale.
Il Protocollo ha come obiettivo quello di fornire indicazioni e
raccomandazioni volte ad incrementare le misure precauzionali
adottate dal Governo, da ultimo con DPCM dell’11 marzo u.s., per il
contenimento del così detto Coronavirus.
Tra le tante indicazioni contenute dal Protocollo vi sono utili
disposizioni sulla questione relativa alla possibilità per il datore
di lavoro di controllare la temperatura corporea dei dipendenti in
ingresso in azienda. Infatti, a fronte del recente parere del Garante
privacy che aveva ritenuto illegittima tale procedura in assenza di un
provvedimento legislativo che lo consentisse (e quindi in assenza di
una base giuridica di tale trattamento di dati sanitari), il
Protocollo contiene regole specifiche relative alle modalità di
ingresso in azienda.
In particolare:
- sarà possibile procedere
al controllo della temperatura corporea del personale prima
dell’accesso in azienda;
- qualora la temperatura
dovesse superare i 37.5 ° non sarà consentito l’accesso ai luoghi di
lavoro;
- non sarà necessario
registrare tutte le rilevazioni ma solo quelle positive;
- occorrerà adottare tutte
le cautele del caso per garantire la massima riservatezza del personal
anche ai fini del Reg. UE 2016/679, tra cui:
o un’apposita informativa sul trattamento dei dati
sanitari in questione, in cui sarà possibile omettere i dati già
conosciuti dall’interessato; è preferibile che tale informativa, che
può essere anche orale, venga fatta per iscritto (ad esempio
apponendola all’ingresso dell’azienda); tra le finalità del
trattamento potrà essere indicata la prevenzione del Coronavirus,
mentre la base giuridica è l’implementazione dei protocolli di
sicurezza anti-contagio ai sensi del DPCM dell1 marzo 2020;
o nomina di autorizzati incaricati al trattamento di tali
dati;
o in caso di isolamento temporaneo per superamento della
soglia di temperatura, assicurare modalità tali da garantire la
riservatezza e la dignità del lavoratore;
- il datore di lavoro
informa preventivamente il personale e chi intende fare ingresso in
azienda, del divieto di accesso per coloro che negli ultimi 14 giorni
abbiano avuto contatti con soggetti risultati positivi al Coronavirus
o provenga da zone a rischio.
Nel caso di presenza di persona in azienda con febbre e/o
sintomi di infezione respiratoria (quali la tosse), lo si deve
dichiarare immediatamente all’ufficio del personale, procedere al suo
isolamento e l’azienda procede immediatamente ad avvertire le autorità
sanitarie competenti ed i numeri di emergenza COVID-19 forniti dalla
Regione o dal Ministero della salute.
Avv. Grazia Quacquarelli, LL. M.
E’
stata pubblica in G.U. n. 272 del 20 novembre 2019 la Legge 18
novembre 2019, n.133 di “Conversione con modificazioni del Decreto
Legge 21 settembre 2019, n. 105, recante disposizioni urgenti in
materia di Perimetro di sicurezza nazionale e cibernetica”.
La nuova versione del Decreto Legge convertito prevede una serie
di importanti scadenze tra le quali:
- entro il
22 Marzo 2020, con decreto del Presidente del Consiglio dei ministri
verranno individuate le amministrazioni pubbliche, enti ed operatori
pubblici e privati aventi una sede nel territorio nazionale, inclusi
nel perimetro di sicurezza nazionale cibernetica;
- entro il
22 Settembre 2020, tra l’altro:
a) saranno definite le procedure per notificare gli incidenti aventi
impatto sulla sicurezza cibernetica al CSIRT italiano (Gruppo di
intervento per la sicurezza in caso di incidenti);
b) saranno stabilite le misure volte a garantire elevati livelli di
sicurezza delle reti sulla base degli standard UE ed internazionali
riguardo alle politiche di sicurezza, alla protezione dei dati,
all'integrità delle reti.
“Criterio
del blocco unitario”
È legittima la scelta della stazione appaltante, operata in sede di
indizione di una gara pubblica per l’affidamento di un appalto di
lavori secondo il criterio del minor prezzo ex art. 96 c. 4, D. Lgs.
n. 50 del 2016, di non applicare il c.d. “criterio del blocco
unitario”, alla stregua del quale, ai fini del calcolo della soglia di
anomalia, le offerte aventi identico ribasso percentuale sono
considerate come un’unica offerta, e, quindi, di considerare ogni
singola offerta, ove l’Amministrazione si sia avvalsa del sistema di
sorteggio ex art.97, comma 2, d. lgs. n. 50 del 2016 e, segnatamente,
abbia sorteggiato quello previsto dalla lett. b) della stessa norma.
Infatti, la scelta dell’amministrazione di non avvalersi del criterio
del c.d. “blocco unitario”, oltre a non trovare alcun ostacolo
normativo nel D. Lgs. n. 50 del 2016, risulta chiaramente esplicitata
e motivata nella stessa lex specialis di gara.
Entro il
giorno 16 del mese successivo, il committente deve effettuare un
controllo e verificare la congruità tra l’ammontare complessivo degli
importi ricevuti (da appaltatori, affidatari e/o subappaltatori) e le
trattenute effettuate dalle imprese. A tal fine queste ultime
trasmettono via PEC al committente (e le imprese subappaltatrici anche
all’appaltatrice):
- elenco
nominativo dei lavoratori impiegati nel mese precedente per
l’esecuzione dei lavori e/o dei servizi (identificati con codice
fiscale), con dettaglio ore lavoro prestate, ammontare della
retribuzione corrisposta e dettaglio delle ritenute fiscali eseguite
nel mese precedenti;
- dati utili per
compilare le deleghe di pagamento volte al versamento di quanto
dovuto;
- dati del
bonifico effettuato.
Versamento diretto delle imprese esecutrici
In alternativa, il Decreto fiscale prevede la possibilità per le
imprese esecutrici di provvedere al versamento diretto delle ritenute
qualora sussistano i requisiti indicati nel Decreto stesso (tra cui
essere in attività da almeno 5 anni, non avere subito accertamenti
esecutivi per tributi e contributi previdenziali superiori a €
50.000,etc.).
Sono
accessibili gli atti posti in essere dalle SOA nell’ambito
dell’attività di certificazione
Le SOA, pur avendo natura giuridica di società per azioni di diritto
speciale, svolgono una funzione pubblicistica di certificazione, che
sfocia nel rilascio di un’attestazione con valore di atto pubblico,
sicché la loro attività configura un “esercizio privato di pubblica
funzione” e le attestazioni di qualificazione, risultato dell’attività
di certificazione delle SOA, sono peculiari atti pubblici, destinati
ad avere una specifica efficacia probatoria. Ne discende che gli atti
posti in essere nell’ambito della suddetta attività sono certamente
accessibili.
Una
recente sentenza del Tribunale di Padova (550/2019 del 16 luglio
2019), che si inserisce nel filone della sentenza sui così detti
riders, si è pronunciata in materia di genuinità e regolarità
dell’appalto laddove le direttive sono impartite da un software del
Committente.
Il caso ha riguardato alcuni dipendenti di una cooperativa che
svolgevano la mansione di picker, ossia di addetti al prelievo e
movimentazione della merce.
Secondo questi dipendenti (ricorrenti) le istruzioni di lavoro erano
ricevute direttamente dal committente, sia attraverso un
terminale mobile in dotazione ai lavoratori, sia , in un successivo
momento, a voce, tramite collegamento mediante cuffie e
microfono. Tale sistema combinato consentiva al committente di
conoscere in tempo reale le operazioni svolte dal singolo lavoratore e
la durata di ciascuna di esse.
I ricorrenti hanno chiesto l’accertamento di un rapporto di lavoro
direttamente in capo al committente con il versamento delle differenze
retributive, chiedendo in subordine il riconoscimento della
responsabilità solidale della Cooperativa con il Committente, ai sensi
dell’Art. 29 del D. Lgs. 276/2003.
Il Tribunale di Padova è stato, dunque, chiamato a decidere chi fosse
il reale datore di lavoro, ossia chi “presiedeva all’organizzazione
del lavoro nel magazzino e chi quindi esercitava la direzione sui
lavoratori che vi erano addetti”.
Il concetto di subordinazione deve, secondo il Tribunale di Padova,
tener conto dell’evoluzione tecnologica che ha reso per molti settori
obsoleta la relazione tra “superiore” e “subordinato”, soprattutto
laddove è rimesso alle macchine guidare il processo produttivo. I
software ed il sistema di riconoscimento vocale dei singoli dipendenti
della cooperativa messi a disposizione dalla Committente hanno posto
quest’ultima nella posizione di poter controllare e dirigere le
operazioni di lavoro, oltre a trattare dati di soggetti terzi senza
aver dato evidenza dell’esistenza di pre-autorizzazioni in tal senso.
Tali circostanze sono state considerate ritenute dal Tribunale di
Padova elementi utili a ritenere che il Committente abbia
esercitato i poteri del datore di lavoro. Infatti, il governo
complessivo dell’attività aziendale e la direzione del lavoro dei
singoli addetti possono essere intesi come elementi di un
rapporto informatizzato con l’apparente committente.
Il Tribunale, accogliendo il ricorso, ha quindi accertato che la
cooperativa dovesse intendersi come mera “interposta” nei rapporti di
lavoro facenti capo alla Committente; pertanto, i ricorrenti sono
stati ritenuti dipendenti di quest’ultima con inquadramento adeguato
al c.c.n.l. applicato dalla stessa.
Consorzi
stabili – obbligo di indicazione quote di esecuzione dei consorziati –
esclusione – inammissibile
La sentenza ha ad oggetto il provvedimento con cui è stato escluso da
una gara pubblica un consorzio stabile che non aveva ottemperato
all’obbligo previsto da disciplinare di gara - in asserita
applicazione dell’art. 48, comma 4, d.lgs. 50/2016 - di indicare la
quota parte del servizio che avrebbe svolto ciascun consorziato.
Secondo il TAR Lombardia, l’esclusione è illegittima, poiché l’art.
48, comma 4, d.lgs. 50/2016 si applica ai raggruppamenti temporanei di
imprese ed ai consorzi ordinari, non ai consorzi stabili, che invece
costituiscono un’autonoma struttura organizzativa, cui imputare
integralmente la prestazione da eseguirsi, della quale il consorzio
stabile risponde in proprio, senza dover specificare la quota di
esecuzione di ciascun consorziato..
Con
Decreto Legge n. 105 del 21 settembre 2019 sono state emanate
“Disposizioni urgenti in materia di Perimetro di sicurezza nazionale
cibernetica” .
Il D.L. in questione prevede, al fine di assicurare un livello
elevato di sicurezza delle reti e dei sistemi informativi ed
informativi delle amministrazioni pubbliche e degli enti nazionali,
pubblici e privati, che svolgono una funzione essenziale dello
Stato o prestano un servizio essenziale per il
mantenimento di attività fondamentali per gli interessi dello
Stato, l’istituzione di un perimetro di sicurezza nazionale
cibernetica.
Entro 4 mesi dall’entrata in vigore della relativa legge di
conversione verrà predisposto, con Decreto del Presidente del
Consiglio, un elenco dei soggetti, pubblici e privati,
interessati dalla nuova normativa e tenuti al rispetto delle
misure e degli obblighi in essa previsti.
Nei successivi 10 mesi, sempre con Decreto del Presidente del Consigli
, verranno inoltre:
- definite le
procedure di notifica degli incidenti di data breach che impatteranno
sui sevizi informativi al nuovo Gruppo di intervento per la sicurezza
informatica in caso di incidente (CSIRT- Cyber Security incident
response team), il quale inoltra poi tali segnalazioni al Dipartimento
delle informazioni per la sicurezza ed in ultimo al Ministero
dell’interno;
- stabilite le
misure volte a garantire livelli di sicurezza delle reti (tra cui le
politiche di sicurezza, la mitigazione e gestione degli incidenti e
loro prevenzione, integrità delle reti etc.).
Il Decreto Legge 105/2019, inoltre, menziona espressamente
la tecnologia 5G e la necessità di prevenire attacchi informatici,
assicurando così l’integrità dei sistemi di comunicazione a banda
larga destinata ad una sempre maggiore diffusione.
La normativa in commento vuole rappresentare un adeguamento
dell’Italia agli standard internazionali di sicurezza informatica,
rinviando poi alla normativa di secondo livello il dettaglio
della disciplina in oggetto.
CORTE DI GIUSTIZIA U.E., SEZ. V – sentenza 26 settembre 2019 (causa
C‑63/18)
Limite subappalto al 30% – incompatibilità con diritto comunitario
Nella sentenza in esame, la Corte di Giustizia Europea, tra l’altro,
si è pronunciata sul tema della conformità al diritto comunitario
della disciplina nazionale italiana sui contratti pubblici nella parte
in cui fissa il limite massimo subappaltabile al 30% dell’importo
contrattuale.
Come riporta la Corte, il Governo italiano ha giustificato tale
limitazione alla luce di particolari circostanze rilevanti in Italia,
dove il subappalto è sempre setato uno dei meccanismi utilizzati per
perseguire intenti criminali.
La Corte di Giustizia ha rilevato che la normativa italiana proibisce,
in termini generici ed astratti, il ricorso al subappalto che superi
una percentuale fissa dell’appalto pubblico, che si applica
indipendentemente dal settore economico interessato dall’appalto di
cui trattasi, dalla natura dei lavori o dall’identità dei
subappaltatori. Un siffatto divieto generale, ha ritenuto la Corte,
non lascia alcuno spazio a una valutazione caso per caso da parte da
parte dell’ente aggiudicatore.
Peraltro, come già rilevato dalla Commissione europea, misure meno
restrittive sarebbero idonee a raggiungere l’obiettivo perseguito dal
legislatore italiano, come nel caso di quelle previste
dall’articolo 71 della direttiva 2014/24 e richiamate nella sentenza.
D’altronde, come indica il giudice del rinvio, il diritto italiano già
prevede numerose attività interdittive espressamente finalizzate ad
impedire l’accesso alle gare pubbliche alle imprese sospettate di
condizionamento mafioso o comunque collegate a interessi riconducibili
alle principali organizzazioni criminali operanti nel Paese.
La Corte di Giustizia ha quindi ritenuto che il limite al ricorso del
subappalto come quella indicato non può essere ritenuta compatibile
con la Direttiva 2014/24, la quale deve essere interpretata nel senso
di precludere alle legislazioni nazionali che limitino al 30% la quota
del contratto che l’appaltatore può subappaltare a terzi.
Consiglio di Stato, SEZ. V – sentenza 4
ottobre 2019 n. 6698
Revisione tariffe concessione raccolta e smaltimento rifiuti –
esercizio poteri autoritativi - giurisdizione amministrativa
Il Consiglio di Stato si è pronunciato in merito alla questione di
giurisdizione sussistente in materia di revisione delle tariffe di una
concessione per la raccolta e lo smaltimento dei rifiuti delle navi
scalanti.
Il Collegio afferma la sussistenza della giurisdizione amministrativa
alla luce dell’art. 133, comma 1, lett. c) c.p.a., che, nel
circoscrivere le materie di giurisdizione esclusiva del giudice
amministrativo, assegna al giudice ordinario le controversie “di
contenuto meramente patrimoniale, ovvero inerenti quantificazione e
pagamento dei corrispettivi in questione”, sempreché non siano con
esse posti in discussione i poteri discrezionali dell’amministrazione
concedente.
La revisione delle tariffe richiede l’esercizio di poteri
amministrativi di carattere discrezionale, mediante i quali vengono
determinate autoritativamente le tariffe applicate all’utenza, con il
necessario contemperamento delle ragioni dell’utenza di accesso al
servizio con quelle del gestore di mantenimento dell’equilibrio
economico del contratto.
La giurisdizione ordinaria sussisterebbe invece nel diverso caso di
controversia relativa alle somme dovute – solitamente in aggiunta alle
tariffe praticate nei confronti dell’utenza - dall’amministrazione
concedente al concessionario nel rapporto bilaterale, e solo ove si
controverta della mera quantificazione, di tali indennità, canoni o
corrispettivi.
CDS, SEZ. V, 27 settembre 2019, n. 6490.
Omessa dichiarazione di una precedente esclusione per irregolarità
fiscale – Necessità che le informazioni risultino, comunque, dal
Casellario informatico dell’ANAC.
Una precedente espulsione da una gara pubblica per irregolarità
fiscale non può assumere rilievo, quale motivo di esclusione, in
termini di grave illecito professionale e, quindi, di circostanza da
dichiarare, posto che diversamente opinando, si realizzerebbe
un’indefinita protrazione di efficacia, “a strascico”, delle
violazioni relative all’obbligo di pagamento di debiti per imposte e
tasse, laddove l’art. 80, comma 4, riconosce efficacia escludente alla
partecipazione alla gara solamente sino al momento in cui il
concorrente non provveda alla regolarizzazione della propria
posizione.
Inoltre, per potersi ritenere integrata la causa di esclusione di cui
all’art. 80, comma 5, lettera c) è necessario che le informazioni di
cui si lamenta la mancata segnalazione risultino, comunque, dal
Casellario informatico dell’ANAC in quanto solo rispetto a tali
notizie potrebbe porsi un onere dichiarativo ai fini della
partecipazione alle procedure di affidamento; eventuali esclusioni da
precedenti procedure, per quanto accertate dal giudice amministrativo,
assumono pertanto rilevanza solo se e fino a quanto risultino iscritte
nel Casellario, qualora l’ANAC ritenga che emerga il dolo o la colpa
grave dell’impresa interessata, in considerazione dell’importanza e
della gravità dei fatti.
CDS, SEZ. III, 25 settembre 2019, n.
6433.
Onere dichiarativo di risoluzione contrattuale sub judice.
Nel caso di precedenti risoluzioni contrattuali sub judice –
quantunque sia stata eliminata dall’attuale lettera c-ter) dell’art.
80, comma 5, del D.lgs. 50/2016, la connotazione della
risoluzione contrattuale rilevante come “non contestata in giudizio
ovvero confermata all’esito di un giudizio” – con la sentenza in
commento, il Consiglio di Stato, in linea con i più recenti
orientamenti dell’Anac ha ritenuto che ove gli eventi che avrebbero
dovuto essere dichiarati non risultino dal Casellario informatico
dell’ANAC la relativa omissione non può considerarsi idonea
all’applicazione di una sanzione automaticamente espulsiva. In tal
senso, infatti, l’esclusione dell’operatore per omessa dichiarazione
sarebbe sproporzionata e lesiva del legittimo affidamento suscitato
anche da atti interpretativi dell’Autorità di settore.
TAR Lazio, Roma, Sez. III, sentenza 3
ottobre 2019, n. 11522
Natura giuridica di Trenitalia – Sussistenza di una “rete”
nell’attività di trasporto AV/AC – Nozione della “gestione della
rete” destinata a fornire un servizio al pubblico nel campo del
trasporto (ferroviario)
La natura giuridica di Trenitalia va accomunata a quella della sua
holding, Ferrovie dello Stato italiane s.p.a., succeduto all’Ente
Ferrovie dello Stato nella qualità di concessionario ex lege del
servizio ferroviario ed ente geneticamente preposto ad un servizio
pubblico essenziale di trasporto
2. L’attività di trasporto ad alta velocità, ancorché liberalizzata,
non esula dal concetto di “rete” di cui all’art. 118 del D.lgs. n.
50/2016, i cui presupposti si concretizzano nei rilevanti compiti che
il d.lgs. 112/15 attribuisce al gestore dell’infrastruttura (quale è
Rete Ferroviaria Italiana RFI) in relazione alla individuazione (a
titolo esemplificativo) delle tratte, degli orari, della frequenza e
della capacità di trasporto.
Rientrano nell’ambito di applicazione dell’art. 118 del D.lgs. n.
50/2016 – e, qualora riconducibili al novero degli “enti
aggiudicatori”, soggiacciono quindi alle regole dell’evidenza pubblica
per l’affidamento di attività strumentali – anche i “vettori
ferroviari”; questi ultimi vanno ricompresi a pieno titolo tra i
soggetti incaricati della “gestione della rete” (che ricomprende
qualsiasi attività svolta da un’impresa ferroviaria, consistente nel
fornire servizi di trasporto al pubblico esercitando un diritto di
utilizzo della rete ferroviaria – v. Corte di Giustizia dell’unione
Europea, sent. 2019, C – 388/17 – Konkurrensverket contro SJ AB).
CDS, Sezione V, 20 settembre 2019, n.
6251
Il termine per impugnare scatta solo con la piena conoscenza
dell’aggiudicazione
In materia di appalti, ai fini della decorrenza del termine per
impugnare gli atti di gara, la comunicazione dell’aggiudicazione da
parte della stazione appaltante resta la via esclusiva che non può
essere surrogata da altre forme di pubblicità legali, quali la
pubblicazione all’albo pretorio del Comune o sul profilo della
committente e neppure dalla pubblicazione sulla Gazzetta Ufficiale
dell’Ue. Lo afferma è il Consiglio di Stato accogliendo il ricorso di
una società estromessa da un appalto per il trasporto scolastico,
aggiudicato alla società concorrente dopo una ulteriore verifica dei
requisiti, resa necessaria per la presenza di alcune anomalie in un
primo momento. La ricorrente non aveva ricevuto alcuna comunicazione e
solo dopo l’accesso agli atti era riuscito a conoscere l’esito della
procedura, impugnandola secondo i giudici di primo grado tardivamente.
Per il Consiglio di Stato, invece, non è possibile desumere la
cosiddetta piena conoscenza dell’aggiudicazione «da un elemento
indiziario», dovendo il termine per impugnare decorrere da quando il
concorrente abbia acquisito piena contezza del nominativo
dell’aggiudicatario e del carattere definitivo dell’aggiudicazione.
CORTE DI GIUSTIZIA UE, SEZ. V, 18 settembre 2019 (Causa C-526/17)
Illegittimità proroga concessione lavori pubblici
Secondo la Corte di Giustizia, avendo l’Italia con convenzione del
2009 prorogato dal 31 ottobre 2028 al 31 dicembre 2046 la concessione
di lavori pubblici di un’autostrada senza pubblicare alcun bando di
gara è venuta meno agli obblighi previsti dall’art. 2 della direttiva
2004/18/CEE, che impone il rispetto dei principi di parità di
trattamento, non discriminazione e trasparenza in tema di appalti
pubblici, e l’art. 58 che stabilisce che “le amministrazioni
aggiudicatrici che intendono procedere alla concessione di lavori
pubblici rendono nota tale intenzione mediante un bando”.
Tale proroga, infatti, ad avviso della Corte di Giustizia costituisce
“una modifica sostanziale delle condizioni della concessione”.
CDS, SEZ. II, 30 settembre 2019, n. 6534
Ammissibilità della memoria di replica.
Con la pronuncia in esame, il Consiglio di Stato ha chiarito che le
memorie di replica, previste e regolate dall’art. 73, comma 1, c.p.a.,
hanno fine esclusivo di consentire di rispondere alle deduzioni
contenute nelle nuove memorie depositate dalle controparti in vista
dell’udienza di discussione.
Da ciò ne segue che la replica è inammissibile qualora controparte non
abbia depositato memoria conclusionale e che il suo oggetto deve
restare, comunque, contenuto nei limiti della funzione di contrasto
alle difese svolte nella memoria conclusionale avversaria, onde
evitare che si traduca in un mezzo per eludere il termine per il
deposito delle memorie conclusionali, proponendo tardivamente
argomenti che avrebbero dovuto trovare posto nella memoria per
l’udienza di discussione.
CASSAZIONE N. 15724, 11/06/2019
Consecuzione tra procedure concorsuali: la traslazione dall’una
all’altra procedura consente di trasferire la precedenza derivante
dalla prededuzione (articolo 69bis l.f.).
La consecuzione è un fenomeno generalissimo, consistente nel
collegamento tra procedure concorsuali di qualsiasi tipo, volte a
regolare una coincidente situazione di dissesto dell’impresa, che
trova nell’articolo 69-bis della legge Fallimentare una sua
particolare disciplina, nel caso in cui esso si atteggi a consecuzione
tra una o più procedure minori e un fallimento finale. Il fenomeno
della consecuzione funge elemento di congiunzione tra procedure
distinte e consente di traslare dall’una all’altra procedura la
precedenza procedimentale in cui consiste la prededuzione, facendo sì
che la stessa valga non solo nell’ambito in cui è maturata, ma anche
nell’altro che alla prima sia conseguito.
CASSAZIONE, SEZIONE III, ORDINANZA 7 MARZO 2019 N. 6590
Necessità di reiterazione delle istanze istruttorie in sede di
conclusioni.
La parte che si sia vista rigettare dal giudice di primo grado le
proprie richieste istruttorie ha l’onere di
reiterarle al momento della precisazione delle conclusioni
poiché, diversamente, le stesse debbono intendersi rinunciate e non
possono essere riproposte in appello, non potendosi ritenere assolto
tale onere attraverso il richiamo generico al contenuto dei precedenti
atti difensivi, atteso che la precisazione delle conclusioni deve
avvenire in modo specifico, coerentemente con la funzione sua propria
di delineare con precisione il “thema” sottoposto al giudice e di
porre la controparte nella condizione di prendere posizione in ordine
alle richieste, istruttorie e di merito, definitivamente
proposte.
CASSAZIONE, SEZIONE VI, ORDINANZA 6
MARZO 2019 N. 6444
L’accordo transattivo a seguito del ricorso in cassazione comporta
la cessazione della materia del contendere. Differenza tra
rinuncia agli atti e rinuncia all’azione sul piano della
definizione del processo.
Nell’ipotesi in cui nel corso del giudizio di legittimità le parti
raggiungano un accordo che definisce la controversia, si deve
dichiarare cessata la materia del contendere, con conseguente venir
meno dell’efficacia della sentenza impugnata, non essendo
riconducibile la situazione a una delle tipologie di decisione di cui
agli articoli 382, terzo comma, 383 e 184 c.p.c., né risultando
configurabile un sopravvenuto disinteresse delle parti alla decisione
del ricorso, cioè una sopravvenuta inammissibilità del ricorso stesso.
Si veda anche: Tribunale di Roma n. 1206/2018 del 18/01/2018: “A
differenza della rinuncia agli atti del giudizio – atto processuale
indipendente dalle cause e dalle finalità, che produce l’effetto
tipico di estinguere la fase processuale nella quale interviene – la
transazione – atto stragiudiziale di definizione della lite – non
incide direttamente sul processo, determinandone l’estinzione, ma sul
diritto sostanziale che ne forma oggetto, comportando cessazione della
materia del contendere (ex plurimis Cass. 23.4.1999, n. 4035; Cass.
27.2.1998, n. 2197). Mentre la rinuncia agli atti priva la parte del
potere di ottenere una pronuncia di merito e, corrispondentemente, il
giudice del potere – dovere di emetterla, lasciando impregiudicata la
situazione sottostante, di tal che la domanda può essere riproposta in
altro processo, diversamente avviene nella transazione, che, appunto,
perché pone fine al contrasto insorto tra le parti mediante un nuovo
regolamento di interessi, incide sul diritto sostanziale e preclude la
proposizione di una nuova domanda sul medesimo oggetto” (in tal senso,
ex plurimis, Cass. Civ., Sez. III, 21 febbraio 2003, n. 2647).
Con
provvedimento n. 157 in data 30 luglio 2019 il Garante privacy
ha indicato alcune prescrizioni di natura tecnica per coloro che hanno
necessità di notificare al Garante stesso la violazione di dati
personali, ai sensi dell’art. 33 del Regolamento GDPR UE 2016/679 sul
trattamento dei dati personali (il così detto data breach).
In particolare, il Garante ha messo a punto un modulo rinvenibile sul
sito istituzionale dell’Autorità stessa, che dovrebbe facilitare
i titolari di trattamento oggetto di data breach nell’adempiere
all’obbligo di notifica nel più breve tempo possibile – e
comunque non oltre le 72 ore dall’evento– dall’avverarsi di un
episodio di data breach, ossia di violazione della sicurezza che
comporta, accidentalmente o in modo illecito, la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai
dati personali trasmessi, conservati o comunque trattati .
Il Titolare del trattamento dati, quindi, ha adesso un modulo
formulato dal Garante privacy che dovrebbe facilitare la trasmissione
delle informazioni richieste dal Regolamento 2016/679, avendole
identificate il Garante stesso. Tale modulo dovrà essere trasmesso al
Garante mediante i sistemi telematici indicati sul sito
istituzionale del Garante. Il provvedimento peraltro ha chiarito che
con riferimento ai termini temporali, al contenuto e alle modalità
delle comunicazioni delle violazioni dei dati personali indicati in
precedenti provvedimenti (tra cui quelli ion tema di biometria del
204, in materia di informazioni bancarie del 2011, in materia di
Dossier sanitario del 2015) si intendono eliminati e sostituiti da
quelli di cui al Provvedimento in commento, in conformità con il
Regolamento 2016/679.
Il Provvedimento n. 157/2019 si aggiunge alla restante documentazione
in materia di data breach , tra cui si rammentano le “Linee guida
sulla notifica delle violazioni dei dati personali ai sensi del
Regolamento (UE) 2016/679 “ del Gruppo di Lavoro art. 29 del 2017
aggiornate, modificate e fatte proprie dal Comitato Europeo per
la protezione dei dati con provvedimento del 25 maggio 2018; nonché la
Opinion 5/2019 on the interplay between the ePrivacy Directive and the
GDPR, adottata dal Comitato europeo per la protezione dei dati in data
12 marzo 2019.
Infine, si fa presente che il Garante Privacy ha fatto partire in data
23 settembre u.s. il "Privacy Sweep 2019", un’indagine a
carattere internazionale dedicata quest’anno alla gestione dei data
breach da parte di soggetti pubblici e privati. Allo Sweep (indagine a
tappeto) del 2019 partecipano, oltre a quella italiana, altre 17
Autorità garanti della privacy di vari Paesi del mondo.
Il Garante per la protezione dei dati personali concentrerà la sua
attività sul settore dell’e-commerce attraverso l’analisi di un
campione significativo di aziende italiane.
Si informa
che il 26 giugno 2019 è entrato in vigore il Regolamento
(UE) 2019/881 del Parlamento europeo del Consiglio del 17 aprile 2019,
pubblicato sulla Gazzetta Ufficiale UE del 7 giugno u.s., relativo
all’ENISA (European Union Agency for Network and Information
Security) - l’Agenzia dell’Unione europea per la cibersicurezza
- e alla certificazione della cibersicurezza per le tecnologie
dell’informazione e della comunicazione, che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).
Il Regolamento ha il duplice obiettivo, da un lato, di rinforzare il
ruolo dell’Agenzia europea sulla cibersicurezza (ENISA) e, dall’altra,
di creare le base per una certificazione uniforme a livello europeo
per la sicurezza informatica dei prodotti ITC e dei servizi digitali.
Si tratta di un Regolamento importante emanato nel solco della
normativa comunitaria in materia di protezione dei dati personali
(GDPR Regolamento UE 2016/679) nonché della direttiva UE 2016/1148,
recante misure per un livello comune elevato di sicurezza delle reti e
dei sistemi informativi nell’Unione , recepita in Italia con Decreto
Legislativo n. 65 del 18 maggio 2018.
Obiettivo del Regolamento è quello di creare una disciplina comune che
garantisca un elevato standard di sicurezza dei dispositivi telematici
e un uso sicuro dei servizi TlC.
Compito dell’ENISA sarà quello di conseguire un elevato livello comune
di cibersicurezza nell’Unione sostenendo attivamente gli Stati membri,
le istituzione, gli organi e gli organismi dell’Unione Europea.
Inoltre, obiettivo dell’ENISA sarà quello di promuovere l’uso della
certificazione europea della cibersicurezza a livello Europeo, per
evitare la frammentazione del mercato interno.
Quanto sopra è una primissima informativa a cui seguiranno
approfondimenti ulteriori sul Regolamento UE 2019/881.
“In data
17 giugno 2019 è stata pubblicata in Gazzetta Ufficiale la legge di
conversione 14 giugno 2019, n. 55 che ha convertito il decreto-legge
18 aprile 2019, n. 32 recante: «Disposizioni urgenti per il rilancio
del settore dei contratti pubblici, per l'accelerazione degli
interventi infrastrutturali, di rigenerazione urbana e di
ricostruzione a seguito di eventi sismici.»
Si riportano qui di seguito, sinteticamente, le principali modifiche
apportate dal citato provvedimento al Codice Appalti (D.Lgs. 50/2016
s.m.i.).
·
Regolamento di attuazione: entro 180 giorni
dall’entrata in vigore del decreto dovrà essere emanato il regolamento
di esecuzione, attuazione e integrazione del codice. Le Linee Guida e
i decreti adottati in attuazione delle previgenti disposizioni
rimarranno in vigore e o resteranno efficaci fino alla data di entrata
in vigore del regolamento.
·
Limite del 40% al subappalto: fino al 31 dicembre 2020 il
limite massimo subappaltabile sarà pari al 40% dell’importo
complessivo del contratto. Tuttavia, sarà la Stazione Appaltante ad
indicare nel bando, per ogni gara, la quota di lavoro o servizi
subappaltabili; inoltre, non sarà obbligatorio indicare la terna dei
subappaltatori.
·
Procedura negoziata fino a 1 milione di euro:
1) nelle
gare di importo compreso tra 40 mila euro e 150 mila euro per i
lavori, o fino alle soglie comunitarie (221 mila euro) per i servizi e
le forniture si procederà con affidamento diretto previa
consultazione, ove esistenti, di almeno 3 operatori economici per i
lavori e di almeno 5 operatori per i servizi e le forniture;
2) nelle gare di importo compreso tra
150 mila euro e 350 mila euro si procederà con procedura negoziata
previa consultazione, ove esistenti, di almeno 10 operatori economici;
3) per gli affidamenti di importo
compreso tra 350 mila euro e 1 milione di euro, si utilizzerà la
procedura negoziata previa consultazione, ove esistenti, di almeno 15
operatori economici;
4) per importi superiori a 1 milione di
euro per i lavori, o alle soglie comunitarie per i servizi e le
forniture, si dovrà ricorrere alle procedure ordinarie.
Viene inserita una disciplina di dettaglio per gli affidamenti
"sottosoglia", per le indagini di mercato e per la formazione e
gestione degli elenchi degli operatori economici, stabilendosi
l'utilizzo del criterio del "minor prezzo" come alternativa sempre
possibile all'OEPV per l'aggiudicazione dei contratti "sottosoglia”.
·
Affidamenti a terzi da parte dei
concessionari: viene differito al 31 dicembre 2020 il termine
entro il quale i titolari di concessioni già in essere devono
adeguarsi alla percentuale di affidamento a terzi mediante procedure
ad evidenza pubblica (80% - o 60% nel caso dei concessionari
autostradali - dei contratti di lavori, servizi e forniture).
·
Appalto integrato: fino al 31
dicembre 2020, nei casi in cui l'elemento tecnologico o innovativo
delle opere oggetto dell'appalto sia nettamente prevalente rispetto
all'importo complessivo dei lavori, sarà consentito l’affidamento
congiunto della progettazione esecutiva ed esecuzione dei lavori. La
legge di conversione prevede che i requisiti minimi per lo svolgimento
della progettazione siano previsti nei documenti di gara nel rispetto
del Codice e del nuovo regolamento di attuazione.
· Lavori di manutenzione sulla base del progetto
definitivo: fino al 31 dicembre 2020, i lavori di
manutenzione ordinaria e straordinaria potranno essere affidati sulla
base del progetto definitivo e l'esecuzione potrà essere avviata a
prescindere dall'avvenuta redazione e approvazione del progetto
esecutivo, a meno che detti lavori non prevedano il rinnovo o la
sostituzione di parti strutturali delle opere o di impianti. Il
progetto definitivo dovrà avere un contenuto minimo prestabilito.
·
Commissari di gara: fino al 31 dicembre 2020 non vi sarà
l'obbligo di servirsi in fase di gara di commissari indipendenti
nominati all'interno di un albo gestito dall'ANAC (mai peraltro
avviato).
·
Esame offerte: fino al 31 dicembre 2020 sarà consentito alla
Stazione Appaltante (ove specificamente previsto nel bando di gara o
nell'avviso con cui si indice la gara) - limitatamente alle procedure
aperte - espletare l'operazione di esame delle offerte prima
dell'operazione di verifica dei requisiti degli offerenti.
·
Criteri di aggiudicazione:
viene eliminato l'obbligo di affidare i lavori di importo fino a 5,5
milioni di euro secondo il criterio del massimo ribasso. La Stazione
Appaltante potrà scegliere in autonomia il criterio e, nel caso in cui
ne scelga uno diverso da quello del prezzo più basso, non dovrà
fornire nessuna giustificazione.
·
Certificati e cause di esclusione:
i documenti e le certificazioni degli operatori avranno una durata di
sei mesi. Per i certificati e i documenti (tranne il Durc), già
acquisiti ma scaduti da meno di 60 giorni, per i quali sia in corso la
procedura di rinnovo, la Stazione Appaltante potrà verificare
direttamente presso gli enti certificatori l’eventuale presenza di
cause di esclusione. Se gli enti non risponderanno entro 30 giorni, si
riterrà confermato il contenuto dei certificati scaduti.”
Il
Parlamento europeo ha approvato una nuova Direttiva, ancora non
pubblicata sulla GUCE, per proteggere a livello europeo
gli informatori che rivelano violazioni del diritto comunitario in
settori quali appalti pubblici, servizi finanziari, riciclaggio di
denaro, sicurezza dei prodotti e dei trasporti, sicurezza nucleare,
salute pubblica, protezione dei consumatori e dei dati.
Canali sicuri di comunicazione
Per garantire gli informatori e la loro riservatezza questi
potranno comunicare le segnalazioni attraverso più canali di
comunicazione: all’interno dell’ente interessato (es. azienda),
direttamente alle autorità nazionali competenti, agli organi e alle
agenzie competenti dell’UE. Quindi le aziende e le autorità nazionali
dovranno creare tali canali di comunicazioni. In assenza di tali
canali sicuri, il segnalante sarà comunque protetto qualora decidesse
di divulgare pubblicamente le informazioni.
Saranno esentati da tali obblighi le piccole aziende e i piccoli
comuni.
Salvaguardia contro le ritorsioni
La Direttiva vieta rappresaglie e introduce nuove tutele per evitare
che chi denuncia possa essere sospeso, declassato o si trovi ad
affrontare forme di ritorsione. Stessa tutela viene estesa per chi
assiste gli informatori (ad es. colleghi e parenti).
Gli Stati membri garantiranno accesso gratuito alle informazioni
riguardanti i mezzi di ricorso possibili, l’assistenza legale durante
i procedimenti. Gli informatori potranno ricevere durante i
procedimenti sostegno finanziario e psicologico.
Prossime tappe
La legge dovrà essere approvata formalmente anche dai Ministri UE e
successivamente alla pubblicazione sulla GUCE, gli Stati membri
avranno due anni per implementare la Direttiva.
Provvedimento del Garante Privacy del 4 aprile 2019 n. 9101974
In un recentissimo provvedimento (in
data 4 aprile u.s.) il Garante privacy si è pronunciato, a seguito di
molteplici segnalazioni anche da parte di privati cittadini, in
merito ad un caso di Data Breach che ha coinvolto la piattaforma
Rousseau ed altri siti web connessi al Movimento 5 stelle.
Come noto, il Regolamento 2016/679 in materia di trattamento dei dati
personali prescrive all’art. 33 un obbligo di notificare al Garante,
entro 72 ore dall’evento e/o dal momento in cui si viene a conoscenza
dello stesso, casi di violazione dei dati personali (ad esempio
episodi di intrusione in un sistema informatico e violazione dei
sistemi di sicurezza per l’appropriazione illegittima dei dati
contenuti su un server ovvero casi di crittografia dei file
tramite malware con contestuale richiesta di riscatto con pagamento in
criptovalute).
La vicenda in esame prende le mosse nel 2017 quando, a seguito di
istruttoria, il Garante privacy ha emesso un primo provvedimento (in
data 21 dicembre 2017 n. 7400401) indicando specifiche azioni di
miglioramento delle piattaforme in questione, avendo rilevato numerose
aree di criticità, dal punto di vista informatico, che ne
compromettevano la sicurezza anche ai fini di accessi non autorizzati
alle piattaforme stesse, con evidente violazione della normativa sulla
tutela dei dati personali (l’allora vigente Codice privacy D.Lgs.
163/1996 e numerosi Provvedimenti Generali del Garante). Tra le
preliminari misure necessarie prescritte nel 2017 il Garante
privacy ha richiesto, tra l’altro, anche:
- l’adeguamento della lunghezza minima della password di accesso
al sistema;
- l’adozione di protocolli di rete https per garantirne una maggiore
sicurezza;
- l’adozione di algoritmi crittografici robusti per la garantire
efficacemente le password degli utenti;- misure di auditing per
la verifica della liceità dei trattamenti dei dati con
riferimento al sistema di e-voting tramite le piattaforme in
questione, mediante tenuta dei registri degli accessi degli
amministratori di sistema e delle operazioni compiute (log) sul
data base della Piattaforma Rousseau (in conformità con un
Provvedimento generale del Garante privacy del 2008 in tema di
amministratori di sistemi); nonché
- miglioramento delle informative agli interessati ai sensi
dell’allora vigente art. 13 del D.lgs. 196/2013.
Nel provvedimento veniva, peraltro, dichiarata l’illiceità dei
trattamenti dei dati degli utenti da parte dei titolari dei siti
riconducibili al Movimento 5 stelle, in ragione della comunicazione a
soggetti terzi (Wind Tre spa e ITNET srl) dei dati medesimi in
mancanza di idoneo presupposto.
A fronte di tali preliminari
prescrizioni, il Garante privacy ha effettuato la
necessaria ulteriore istruttoria per accertare se e come
fossero state implementate le misure prescritte nel 2017.
All’esito di tali verifiche
- e dopo due provvedimenti di proroga dei termini a seguito di
richiesta dall’Associazione Movimento 5 Stelle e dalla Piattaforma
Russeau - ed una volta effettuati gli accertamenti
di natura tecnica volti a verificare in concreto la robustezza dei
sistemi di sicurezza adottati rispetto alle criticità rilevate
dall’Autorità Garante della privacy nel 2017, sono emerse ancora delle
inadempienze che hanno condotto, il Garante ad irrogare una sanzione
amministrativa all’associazione Rousseau, in qualità di Responsabile
del trattamento dati del Movimento 4 Stelle, pari a € 50 mila, in
conformità a quanto previsto dall’art. 58 del Regolamento 2016/679
(GDPR), per essere emersa una conclamata violazione dell’art. 32 del
GDPR (Sicurezza del trattamento).
Tra le maggiori violazioni alla
normativa in materia di tutela dei dati personali emerse a seguito
degli accertamenti del Garante privacy (Provvedimento del 4 aprile
u.s.) si segnalano le seguenti:
- obsolescenza
di alcune componenti software dei siti web (il distributore del
software Csm in questione non rilascia infatti più aggiornamenti dal
2013);
- a fronte
dell’adozione di un sistema di tracciatura dell’attività compiuta, il
sistema in uso alle Piattaforme non consente di tracciare
adeguatamente gli accessi (lettura e/o modifica) al database da
parte degli Amministratori di Sistema dell’Associazione Rousseau che
possono compiere operazioni, ad esempio, sui dati degli utenti senza
che il loro operato possa essere adeguatamente tracciato., per cui non
è possibile effettuare l’auditing informatico richiesto dal Garante,
esponendo i dati personali presenti sulle Piattaforme a rischi di
violazione elevati;
- le misure
adottate non hanno eliminato la possibilità di alterare , sopprimere o
estrarre copie offline dei risultati delle operazioni di e-voting
sulla piattaforma: in sostanza, non è garantita l’integrità,
l’autenticità e la segretezza delle espressioni di voto
(caratteristiche delle operazioni di e-voting) da parte di coloro che
svolgono la funzione di Data Base Administrator (sul punto il Garante
così si pronuncia “In questo senso sussistono forti perplessità sul
significato da attribuire al termine “certificazione” riferito dal
titolare del trattamento all’intervento del notaio o di
altro soggetto terzo di fiducia in una fase successiva alle operazioni
di voto con lo scopo di asseverare gli esiti […] stante
l’impossibilità di svolgere alcuna significativa verifica sui dati che
sono, per loro natura e modalità di trattamento, tecnicamente
alterabili in pressoché ogni fase del procedimento di votazione e
scrutinio antecedente la c.d. “certificazione”);
- infine,
utilizzo della medesime credenziali di autenticazione assegnate
ad incaricati dotati di elevati privilegi per la gestione delle
piattaforme applicative a supporto dei siti www.movimento5stelle.it e
rousseau.movimento5stelle.it; tale circostanza impedisce di attribuire
le azioni compiute in un sistema informativo ad un determinato
incaricato, con pregiudizio anche per il titolare, privato della
possibilità di controllare l’operato di tali figure tecniche
rilevanti.
Unitamente alla sanzione amministrativa, il Garante privacy ha
assegnato termini ben precisi per l’adeguamento ed il miglioramento
delle piattaforme in questione, ordinando all’ Associazione Movimento
5 stelle, quale titolare del trattamento, e all’Associazione
Rousseau, quale responsabile del trattamento, di procedere altresì con
la valutazione di impatto sulla protezione dei dati con specifico
riferimento alla funzionalità di e-voting delle piattaforme.
Avv. Grazia Quacquarelli, LL. M.
Il
16 marzo 2019 sono entrate in vigore alcune norme contenute nel
D.lgs. 12 gennaio 2019, n. 14 (c.d. “Codice della crisi d'impresa e
dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”),
che si compone di 391 articoli (molti dei quali entreranno in vigore
nell’agosto del 2020) e pubblicato sulla Gazzetta Ufficiale n. 38
del 14 febbraio 2019.
Tra le norme in vigore dal 16 marzo u.s. - come puntualmente
indicato dall’art. 389, comma 2, del D.lgs. 14/2019 (di seguito
anche “Codice della Crisi”) – ne segnaliamo alcune più rilevanti e
che modificano il Codice Civile.
A. Art. 375 del Codice della Crisi
Modifica l’art. 2086 del codice civile (e la relativa rubrica),
introducendo un secondo comma che impone all’imprenditore che opera
in forma societaria o collettiva di istituire “un assetto
organizzativo, amministrativo e contabile” adeguato alla natura e
alle dimensioni dell’impresa, “anche in funzione della rilevazione
tempestiva della crisi d’impresa e della perdita della continuità
aziendale”.
Si prevede anche l’obbligo, per l’imprenditore, di attivarsi senza
indugio per l’adozione e per l’attuazione di “uno degli strumenti
previsti dall’ordinamento per il superamento della crisi e il
recupero della continuità aziendale”.
Il legislatore ha inteso, quindi, responsabilizzare maggiormente
l’imprenditore, obbligandolo a dotarsi di una struttura interna
adeguata ed idonea a rilevare tempestivamente la crisi d’impresa e,
conseguentemente, ad attivarsi per tentare di recuperare la
continuità aziendale.
B. Art. 377 del Codice della Crisi
Modifica gli artt. 2257, 2380-bis, 2409-novies e 2475 del codice
civile (dettati, rispettivamente, in tema di società semplici,
società per azioni e società a responsabilità limitata), imponendo
l’adozione di assetti organizzativi societari adeguati e ribadendo
che l’amministrazione della società spetta esclusivamente agli
amministratori, i quali compiono le operazioni necessarie per
l’attuazione dell’oggetto sociale.
C. Art. 379 del Codice della Crisi
Modifica l’art. 2477 del codice civile, prevedendo, per le società a
responsabilità limitata, l’obbligo di nominare l’organo di controllo
(sindaco unico o collegio sindacale) o il revisore se:
I.
la società è tenuta alla redazione del bilancio consolidato;
II.
la società controlla una società obbligata alla revisione legale dei
conti;
III.
la società ha superato per due esercizi consecutivi almeno uno dei
seguenti limiti: 1) totale dell’attivo dello stato patrimoniale: 2
milioni di euro; 2) ricavi delle vendite e delle prestazioni: 2
milioni di euro; 3) dipendenti occupati in media durante
l’esercizio: 10 unità.
Secondo quanto previsto dal quinto comma dell’art. 2477 cod. civ.
l’obbligo di nomina dell’organo di controllo o del revisore deve
essere adempiuto, da parte dall’assemblea dei soci, entro 30 giorni
dall’approvazione del bilancio in cui vengono superati i limiti
sopra indicati; in caso di inerzia da parte dell’assemblea, alla
nomina provvede il tribunale, su richiesta di qualsiasi interessato
o “su segnalazione del conservatore del registro delle imprese”
(come introdotto dal Codice della Crisi).
Infine, le società a responsabilità limitata e le società
cooperative - se ricorrono i requisiti di cui all’art. 2477, comma
1, del codice civile – dovranno nominare gli organi di controllo o
il revisore e, se necessario, uniformare l’atto costitutivo e lo
statuto alle novità normative in commento entro nove mesi dalla data
del 16 marzo u.s. (quindi entro il 16 dicembre 2019).
Con
D.L. 87/2008, convertito in Legge n. 96/2018, è stato reintrodotto
il reato di somministrazione fraudolenta (ex art. 38 bis D.lgs.
81/2015) che si configura nei casi in cui “la somministrazione di
lavoro è posta in essere con la specifica finalità di eludere
norme inderogabili di legge o di contratto collettivo applicate al
lavoratore”. La sanzione penale prevista è quella dell’ammenda pari
ad € 20 per ciascun lavoratore, per ciascun giorno di
somministrazione.
L’Ispettorato del Lavoro, con circolare n 3/2019, ha fornito
interessanti indicazioni in merito alle varie declinazioni di tale
ipotesi di reato, che può configurarsi:
- attraverso la figura dell’appalto illecito, volto cioè ad eludere
l’applicazione di norme inderogabili di legge o di CCNL con
conseguente risparmio per il committente sul costo del lavoro;
oppure
- attraverso il coinvolgimento di agenzia per il lavoro, laddove il
datore di lavoro licenzi un proprio dipendente per riutilizzarlo
tramite agenzia di somministrazione, violando le norme di legge o di
CCNL; infine,
- attraverso distacchi transnazionali “non autentici”, nella
misura in cui il distacco sia funzionale all’elusione di
disposizioni dell’ordinamento interno e/o del CCNL applicato dal
committente italiano.
Oltre alle sanzioni di natura pecuniaria, l’Ispettorato del lavoro
dovrà adottare provvedimenti prescrittivi volti, ad esempio,
all’assunzione dei lavoratori alle dirette dipendenze
dell’utilizzatore per tutta la durata del contratto.
L’Ispettorato del lavoro, infine, ha indicato tra gli elementi
a supporto dell’esistenza di una volontà fraudolenta (oltre
all’elusione delle normative inderogabili), la sussistenza di
condizioni di sofferenza economica dell’impresa che potrebbe
assumere rilevanza in considerazione dell’impossibilità di sostenere
i costi del personale, a fronte del fatturato annuo.
In data 16 gennaio 2019 è stata pubblicata in Gazzetta
Ufficiale (GU n. 13 del 16 gennaio 2019) la Legge 9 gennaio 2019, n.
3, recante “Misure per il contrasto dei reati contro la pubblica
amministrazione, nonche' in materia di prescrizione del reato e in
materia di trasparenza dei partiti e movimenti politici”, che
entrerà in vigore il 31 gennaio 2019.
Il provvedimento contiene rilevanti novità in tema di
prevenzione e contrasto della corruzione nella Pubblica
Amministrazione e, più in generale, in ambito di diritto penale.
Più precisamente, viene tra l’altro modificato lo spazio edittale
dei delitti di corruzione (le parole “da uno a sei anni” vengono
modificate con “da tre a otto anni”) e appropriazione indebita (le
parole “con la reclusione fino a tre anni e con la multa fino a euro
1.032” sono sostituite da “con la reclusione da due a cinque anni e
con la multa da euro 1.000 a euro 3.000”); per il reato di
corruzione impropria, inoltre, la pena è aumentata da un anno a tre
anni di reclusione (nel minimo) e da sei a otto anni (nel massimo).
Infine, i condannati per reati contro la Pubblica Amministrazione
(tra cui peculato, corruzione e concussione) non potranno più
beneficiare delle pene alternative alla detenzione, come i permessi
premio e l’assegnazione di lavoro esterno. Ogni condanna per tali
reati, ove commessi in danno o a vantaggio di un’attività
imprenditoriale, o comunque in relazione ad essa, comporta – a
titolo di pena accessoria - l’interdizione dai pubblici uffici e
l’incapacità di contrarre con la P.A. L’interdizione e l’incapacità
possono essere perpetue (salvo che per ottenere le prestazioni di un
pubblico servizio) o temporanee, ove la reclusione comminata sia
inferiore a un dato periodo di tempo o ricorrano specifiche
circostanze attenuanti.
Con la legge Anticorruzione viene modificato anche il D.lgs. 8
giugno 2001, n. 231, sia innalzando i termini di durata massima
delle sanzioni interdittive a carico degli enti in conseguenza di
delitti di corruzione, sia introducendo il traffico di influenze
illecite (art. 346 bis c.p.) nel catalogo dei reati presupposto.
Si
segnala un’ interessante sentenza della Corte Suprema di
Cassazione (Cass. Pen., Sez. V, n. 565/2019, depositata in
cancelleria l’8 gennaio 2019) in materia di accesso abusivo a un
sistema informatico.
La vicenda processuale tra origine dal comportamento di un
lavoratore dipendente di una banca che, utilizzando l’account di
posta elettronica aziendale concessogli in uso, ha inviato due
e-mail alla casella di posta elettronica di un collega (privo
dell’autorizzazione a ricevere quei dati specifici), allegando un
file excel contenente informazioni bancarie riservate (nominativi
dei correntisti e saldo di conto corrente), oltre ad inviare altre
due e-mail (di contenuto analogo) che il destinatario ha girato al
proprio indirizzo di posta personale.
La banca, scoperto quanto accaduto, decideva di denunciare i
dipendenti, in considerazione della circostanza che il secondo
dipendente, destinatario delle email e che aveva sollecitato le
stesse, non aveva alcuna credenziale e/o autorizzazione ad accedere
a tali dati; la Corte di appello di Milano, con sentenza del 10
luglio 2017 , confermava la responsabilità (accertata e dichiarata
in primo grado) anche del destinatario delle e-mail, considerandolo
concorrente nel reato previsto e punito all’art. 615 ter c.p.
(“accesso abusivo a un sistema informatico o telematico”). L’apporto
concorsuale dell’imputato, più precisamente, sarebbe consistito
nell’avere istigato il collega a commettere il reato, chiedendogli
di trasmettere i dati di cui sopra, pur non essendo autorizzato a
prenderne visione.
Avverso la pronuncia della Corte di Appello il dipendente ha
proposto ricorso per cassazione, deducendo, tra l’altro, violazione
di legge e vizio di motivazione in ordine alla ritenuta sussistenza
del reato di cui all’art. 615 ter cod. pen., sul presupposto che “il
semplice invio di una e-mail da un collega all’altro, tramite la
propria casella di posta elettronica, non possa integrare il profilo
oggettivo del delitto in rassegna”.
La Corte Suprema di Cassazione, tuttavia, ha ritenuto la relativa
censura infondata, ribadendo il principio di diritto contenuto in
Cass. SS.UU. n. 41210 del 18 maggio 2017, secondo cui “è illecito e
abusivo qualsiasi comportamento del dipendente che si ponga in
contrasto con i suddetti doveri [di fedeltà e di lealtà, n.d.a.]
manifestandosi in tal modo la ontologica incompatibilità
dell’accesso al sistema informatico, connaturata ad un utilizzo
dello stesso estraneo alla ratio del conferimento del relativo
potere”.
Ne consegue, pertanto, che anche trattenersi in un sistema
informatico per un tempo maggiore rispetto a quello consentito e/o
per compiere un’attività vietata - ossia la “trasmissione della
lista a soggetto non autorizzato a prenderne cognizione” - configura
la condotta prevista e punita dall’art. 615 ter cod. pen.; come
detto, inoltre, può concorrere nel reato de quo anche il dipendente
che chieda al collega di trasmettergli determinati dati di cui il
primo non è autorizzato a prendere visione.
Sulla
Gazzetta Ufficiale Serie Generale n.290 del 14 dicembre 2018 è stato
pubblicato il Decreto Legge 14 dicembre 2018, n. 135
“Disposizioni urgenti in materia di sostegno e semplificazione per le
imprese e per la pubblica amministrazione” (di seguito “Decreto
semplificazioni”), che è entrato in vigore il 15 dicembre 2018. Tra le
novità contenute nel Decreto Semplificazioni segnaliamo che, con
l’art. 6 del menzionato provvedimento, a far data dal 1° gennaio 2019
è stato soppresso il sistema di controllo della
tracciabilità dei rifiuti (SISTRI), previsto dall'articolo
188-ter del decreto legislativo 3 aprile 2006, n. 152 (T.U. ambiente).
Conseguentemente, dall’inizio del prossimo anno e fino alla
definizione di un nuovo sistema di tracciabilità dei rifiuti - il
quale, secondo quanto previsto dal comma 3 dell’art. 6 del Decreto
Semplificazioni, sarà organizzato e gestito direttamente dal Ministero
dell’ambiente e della tutela del territorio e del mare -, i soggetti
tenuti alla tracciabilità dei rifiuti continueranno ad adempiere ai
propri obblighi attraverso i moduli cartacei, compilando i registri di
carico e scarico e i formulari di identificazione dei rifiuti.
© Copyright 2018. Caporale, Carbone, Giuffrè. All rights reserved. Powered by MODICIA
