Diritto della protezione dei dati

La normativa in materia di protezione dei dati è recentemente diventata sempre più importante negli affari di tutti i giorni. In ogni divisione – rapporti con la clientela, relazioni con i fornitori, marketing online e marketing diretto, prevenzione delle frodi e in relazione ad ogni circostanza che concerne i dipendenti – viene in considerazione la normativa in materia di protezione dei dati. Anche in pubblico e nelle relazioni con i partner contrattuali il tema della protezione dei dati come aspettativa nei confronti dell’azienda ha acquisito un proprio valore – e ciò non soltanto per le procedure di grande impatto sull’opinione pubblica atte ad imporre sanzioni.

In questo modo, la normativa in materia di protezione dei dati è diventata una componente obbligatoria di ogni organizzazione aziendale e di ogni strategia di conformità e deve essere presa in considerazione nelle decisioni e nei progetti aziendali.

Il 25.05.2016 è entrato in vigore il cosiddetto Regolamento UE sulla protezione dei dati. Entro il 25.05.2018 qualsiasi trattamento di dati personali deve essere reso conforme con i requisiti del Regolamento sulla protezione dei dati - un compito di particolare importanza in vista del significativo aumento delle sanzioni per le violazioni delle norme sulla protezione dei dati.

Abbiamo quindi fatto della normativa in materia di protezione dei dati uno dei focus dei nostri servizi di consulenza e vi offriamo consulenza ed assistenza legale complete. Abbiamo quindi la possibilità di riunire in base alle vostre richieste le nostre competenze in diritto del lavoro, bancario, societario, commerciale, fallimentare, del mercato dei capitali, penale, di distribuzione e della concorrenza con il diritto sulla protezione dei dati. Vi offriamo una consulenza legale ritagliata sulle vostre esigenze.

I nostri servizi di consulenza in dettaglio:

  • controllo di conformità alla normativa in materia di protezione dei dati
  • adattamento del trattamento dei dati nella vostra azienda ai requisiti del Regolamento UE sulla protezione dei dati
  • pareri e valutazioni per provare la conformità dei trattamenti dei dati da voi effettuati alla normativa sulla protezione dei dati e per elaborare nuove idee aziendali e modelli di business
  • assistenza nell’approntare e nell’implementare attività di marketing offline e online, compresi i sistemi di marketing guidato dai dati (Data Driven Marketing) e i sistemi di gestione delle relazione con i clienti (CRM)
  • protezione dei dati in internet e configurazione conforme alla privacy di siti web, negozi online e portali online
  • supporto per progetti nel contesto di Industria 4.0, Machine2Machine Communication e Internet of things
  • creazione e utilizzo dei servizi cloud - soprattutto transfrontalieri-, in particolare da "Infrastructure as a Service" a "Communication / Collaboration as a Service" sino a "Business Process as a Service"
  • consulenza sulla normativa in materia di protezione dei dati nell’ambito dell’outsourcing e della vendita di aziende, in particolare nella vendita di rami di azienda
  • consulenza specifica sulla privacy nei settori delle telecomunicazioni e bancario
  • formazione sulla protezione dei dati per la vostra azienda in base alle esigenze della vostra azienda e / o formazione su tematiche specifiche
  • coaching e supporto ai responsabili interni ed esterni della protezione dei dati
  • supporto ai curatori fallimentari in questioni di privacy
  • rappresentanza e tutela dei vostri interessi in caso di quesiti, richieste di informazioni e ispezioni da parte dell’Autorità garante della protezione dei dati
  • supporto interno nelle attività per affrontare le indagini dell’Autorità garante della protezione dei dati

I Vostri Avvocati

News

14 Mär
2019

Recesso dal contratto di agenzia durante il periodo di prova: va pagata l’indennità di fine rapporto

Un agente può avere diritto all’indennità di fine rapporto ...

leggi di più

Un agente può avere diritto all’indennità di fine rapporto, anche quando il contratto viene terminato durante il periodo di prova.

Della problematica si è recentemente occupata la Corte di Giustizia UE. Nella fattispecie specifica, un agente che lavorava il Francia aveva un periodo di prova di 12 mesi. Il contratto è stato terminato dopo sette mesi e il preposto si è rifiutato di pagare l’indennità.

La Corte Europea ha deciso che nonostante la risoluzione del contratto di agenzia durante il periodo di prova, all’agente spetta l’indennità di fine rapporto. Il periodo di prova non esclude il diritto alla indennità. I casi in cui il pagamento è escluso vengono disciplinati dall’art. 18 della Direttiva concernente gli agenti di commercio del 1986. Sebbene la sentenza riguardi una fattispecie che ha avuto luogo in Francia, la decisione riguardante la cessazione del rapporto di agenzia ha rilevanza anche per la Germania e l’Italia. In entrambi i paesi è stata recepita la direttiva.

Le norme nazionali che disciplinano i casi in cui l’indennità di fine rapporto non è dovuta riportano i casi previsti dalla direttiva (§ 89 b comma 3 codice di commercio tedesco ed art. 1751 comma 2 cc). Pertanto, le norme nazionali vanno interpretate in conformità con la direttiva concernente gli agenti di commercio.

Questo significa che in caso di recesso dal contratto di agenzia durante il periodo di prova, anche il giudice italiano o tedesco dovrà seguire le indicazione della Corte Europea.

Un ulteriore precisazione della Corte sul recesso dal contratto di agenzia durante il periodo di prova

La Corte ha aggiunto, inoltre, un’altra cosa. Anche mediante un accordo contrattuale non è lecito escludere il diritto all’indennità di fine rapporto a seguito del recesso dal contratto di agenzia per il periodo di prova perché renderebbe maggiormente gravoso il diritto dell’agente a ricevere l’indennità. Come, tra l’altro previsto anche dall’art. 1751 c.c. e dal § 89 b codice del commercio tedesco.

Pertanto, il preposto deve prepararsi a pagare l’indennità di fine rapporto anche in caso di risoluzione del contratto di agenzia durante il periodo di prova.

(Corte di Giustizia UE, Quarta Sezione, sentenza 19 aprile 2018, causa C-645/16)

Avvocato Manuela Ferrari

dmp.milano@derra.it

Data 03/2019

Un agente può avere diritto all’indennità di fine rapporto, anche quando il contratto viene terminato durante il periodo di prova.

Della problematica si è recentemente occupata la Corte di Giustizia UE. Nella fattispecie specifica, un agente che lavorava il Francia aveva un periodo di prova di 12 mesi. Il contratto è stato terminato dopo sette mesi e il preposto si è rifiutato di pagare l’indennità.

La Corte Europea ha deciso che nonostante la risoluzione del contratto di agenzia durante il periodo di prova, all’agente spetta l’indennità di fine rapporto. Il periodo di prova non esclude il diritto alla indennità. I casi in cui il pagamento è escluso vengono disciplinati dall’art. 18 della Direttiva concernente gli agenti di commercio del 1986. Sebbene la sentenza riguardi una fattispecie che ha avuto luogo in Francia, la decisione riguardante la cessazione del rapporto di agenzia ha rilevanza anche per la Germania e l’Italia. In entrambi i paesi è stata recepita la direttiva.

Le norme nazionali che disciplinano i casi in cui l’indennità di fine rapporto non è dovuta riportano i casi previsti dalla direttiva (§ 89 b comma 3 codice di commercio tedesco ed art. 1751 comma 2 cc). Pertanto, le norme nazionali vanno interpretate in conformità con la direttiva concernente gli agenti di commercio.

Questo significa che in caso di recesso dal contratto di agenzia durante il periodo di prova, anche il giudice italiano o tedesco dovrà seguire le indicazione della Corte Europea.

Un ulteriore precisazione della Corte sul recesso dal contratto di agenzia durante il periodo di prova

La Corte ha aggiunto, inoltre, un’altra cosa. Anche mediante un accordo contrattuale non è lecito escludere il diritto all’indennità di fine rapporto a seguito del recesso dal contratto di agenzia per il periodo di prova perché renderebbe maggiormente gravoso il diritto dell’agente a ricevere l’indennità. Come, tra l’altro previsto anche dall’art. 1751 c.c. e dal § 89 b codice del commercio tedesco.

Pertanto, il preposto deve prepararsi a pagare l’indennità di fine rapporto anche in caso di risoluzione del contratto di agenzia durante il periodo di prova.

(Corte di Giustizia UE, Quarta Sezione, sentenza 19 aprile 2018, causa C-645/16)

Avvocato Manuela Ferrari

dmp.milano@derra.it

Data 03/2019

07 Sep
2017

Ulteriori inasprimenti della normativa sulla protezione dei dati previsti dal Regolamento privacy

Questa seconda parte della nostra serie di articoli è dedicata alla spiegazione dei singoli cambiamenti intervenuti nella normativa sulla protezione dei dati personali apportati del Regolamento privacy.

leggi di più

Questa seconda parte della nostra serie di articoli è dedicata alla spiegazione dei singoli cambiamenti intervenuti nella normativa sulla protezione dei dati personali apportati del Regolamento privacy. Cercheremo di fornire una visone d’insieme dei cambiamenti più rilevanti.

La prassi prevista per le sanzioni non è l’unico inasprimento della normativa sui dati personali previsto dal Regolamento privacy. Il Regolamento apporta ulteriori modifiche che influenzano anch’esse l’applicazione delle sanzioni. In particolare:

-              Obblighi informativi completi e proattivi

In futuro, ogni qual volta vi sarà l’utilizzazione di dati personali, l’interessato dovrà essere informato molto più proattivamente in merito all’utilizzo dei suoi dati. In alcuni casi, dovrà essere indicato il fondamento giuridico che giustifica la raccolta dei dati di una persona. Questo è possibile solo se il responsabile dei dati personali svolge indagini e verifiche in merito al trattamento dei dati.

-              Ampliamento della copertura degli errori sui dati

Nei casi di cosidetto“data breach”, ossia, ogni qual volta si verifichi la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, bisogna notificare lo stesso “data breach” all’autorità di sorveglianza competente e al soggetto protetto. Questa comunicazione da fornire dovrà essere molto più ampia rispetto a quanto avveniva precedentemente e dovrà essere fatta in pochi giorni. L’omissione della notificazione degli errori commessi è di nuovo di per sé sanzionabile.

-              Obbligo di coordinamento con l’autorità di sorveglianza.

Quando vengono trattati dati personali rischiosi è necessario valutare le possibili conseguenze del trattamento e, allo stesso tempo, bisogna consultare l’autorità di vigilanza in merito al trattamento dei dati.

-              Ampliamento della responsabilità

il risarcimento del danno dovuto dal prestatore di servizi, in relazione alla sua responsabilità, verrà incrementato. Figurativamente parlando, per quanto riguarda la sua responsabilità, il prestatore di servizi sarà “sulla stessa barca” di colui che ha conferito l’incarico. In questo caso sarà necessario regolare contrattualmente la limitazione della responsabilità.

-              I nuovi diritti dei soggetti protetti

Le informazioni dovranno essere in futuro rilasciate ai soggetti interessati senza ritardi, in ogni caso entro un mese. In più è previsto anche il diritto alla portabilità, così come il diritto all’oblio dei dati. Sono previste sanzioni se i dati dei soggetti protetti verranno trattati in maniera scorretta. I diritti degli interessanti vengono infatti ampliamente rafforzati, gran parte del Regolamento è dedicato ai singoli diritti degli interessati e alla loro modalità di esercizio. A tal proposito sono stati introdotti numerosi cambiamenti in tema di diritto di limitazione del trattamento, in tema di diritto alla portabilità dei dati e in tema di diritto di opposizione alla profilazione. Il Regolamento privacy prevede inoltre in alcuni casi delle restrizioni all’esercizio dei diritti sopraindicati (ad. es. nei casi di sicurezza nazionale, in quelli in cui diventa rilevante la prevenzione e repressione dei reati, ecc.).

-              Obblighi di organizzazione

Il nuovo Regolamento europeo in materia di protezione dei dati personali obbliga in molti casi, come ad esempio per quanto riguarda la realizzazione dei diritti degli interessati, a costruire strutture organizzative. La sola mancanza di queste strutture è di per sé sanzionabile.

-              Responsabilità

Il nuovo regolamento europeo in materia di protezione dei dati personali definisce esplicitamente un completo e sfaccettato catalogo di principi generali, la cui osservanza - diversamente da prima - è demandata alla sola impresa. Questo significa che, non solo il rispetto della legislazione sulla protezione dei dati personali viene verificato nei singoli casi, ma anche che la compliance sulla protezione dei dati personali viene trasferita nel “campo organizzativo”.

-              Il trasferimento dei dati all’estero

Anche la disciplina sul trasferimento dei dati personali all’estero viene riformulata in maniera innovativa dalla nuova legislazione in materia di privacy.

Il regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di questo tipo, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad es., clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o nel caso ricorrano particolari evenienze.

Il Safe Harbor e lo scudo americano-europeo sulla privacy sono temi che hanno particolarmente colpito l’opinione pubblica e che hanno messo al centro della discussione dei soggetti coinvolti, dell’autorità e dell’opinione pubblica il tema del trasferimento dei dati personali all’estero. Vengono poste domande nuove soprattutto in relazione all’impiego di soluzioni IT da parte dei prestatori di servizi – non solo per il Cloud-Computing - e in relazione al trasferimento dei dati tra aziende collegate fra loro.

-             Scoperta di infrazioni

Le infrazioni interne all’azienda devono essere valutate alla luce della legislazione in materia di protezione dei dati personali. Anche le strutture di compliance aziendali e le azioni da mettere in atto nel caso di infrazioni interne all’azienda– come attualmente è stato reso noto dalla stampa- devono adattarsi alla nuova normativa sul trattamento dei dati personali. Se questi obblighi sono prescritti dalla legge, oppure, se sono autoimposti dall’azienda stessa (per es. Whistleblowing), essi devono essere obbligatoriamente rivalutati prendendo come riferimento il nuovo Regolamento. La compliance relativa alla normativa sulla protezione dei dati deve essere assicurata anche dopo l’entrata in vigore del regolamento privacy.

-              La compliance del trattamento dei dati personali come obbiettivo da perseguire per i mandatari e per i fornitori

Sempre di più, l’azienda stipula contratti, soprattutto nel caso dei contratti di collaborazione, con i quali il mandante viene obbligato contrattualmente al rispetto della protezione dei dati personali. La mancanza di trasposizione nei contratti delle disposizioni del regolamento europeo in materia di protezione dei dati personali porta, in aggiunta alle sanzioni previste dal Regolamento, alla violazione degli obblighi contrattuali.

Multe, Richiami, azione collettiva

Oltre al problema delle sanzioni vi è anche il pericolo di ricevere richiami per attività di concorrenza sleale. È stata infatti introdotta alla fine del 2015 la possibilità di avvalersi dell’azione collettiva nei casi di violazione della normativa sul trattamento dei dati personali. Il regolamento privacy contemplerà ulteriori tipi di azioni legali.

Avvocato Manuela Ferrari

Rechtsanwalt Dr. Jens Eckhardt

Questa seconda parte della nostra serie di articoli è dedicata alla spiegazione dei singoli cambiamenti intervenuti nella normativa sulla protezione dei dati personali apportati del Regolamento privacy. Cercheremo di fornire una visone d’insieme dei cambiamenti più rilevanti.

La prassi prevista per le sanzioni non è l’unico inasprimento della normativa sui dati personali previsto dal Regolamento privacy. Il Regolamento apporta ulteriori modifiche che influenzano anch’esse l’applicazione delle sanzioni. In particolare:

-              Obblighi informativi completi e proattivi

In futuro, ogni qual volta vi sarà l’utilizzazione di dati personali, l’interessato dovrà essere informato molto più proattivamente in merito all’utilizzo dei suoi dati. In alcuni casi, dovrà essere indicato il fondamento giuridico che giustifica la raccolta dei dati di una persona. Questo è possibile solo se il responsabile dei dati personali svolge indagini e verifiche in merito al trattamento dei dati.

-              Ampliamento della copertura degli errori sui dati

Nei casi di cosidetto“data breach”, ossia, ogni qual volta si verifichi la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, bisogna notificare lo stesso “data breach” all’autorità di sorveglianza competente e al soggetto protetto. Questa comunicazione da fornire dovrà essere molto più ampia rispetto a quanto avveniva precedentemente e dovrà essere fatta in pochi giorni. L’omissione della notificazione degli errori commessi è di nuovo di per sé sanzionabile.

-              Obbligo di coordinamento con l’autorità di sorveglianza.

Quando vengono trattati dati personali rischiosi è necessario valutare le possibili conseguenze del trattamento e, allo stesso tempo, bisogna consultare l’autorità di vigilanza in merito al trattamento dei dati.

-              Ampliamento della responsabilità

il risarcimento del danno dovuto dal prestatore di servizi, in relazione alla sua responsabilità, verrà incrementato. Figurativamente parlando, per quanto riguarda la sua responsabilità, il prestatore di servizi sarà “sulla stessa barca” di colui che ha conferito l’incarico. In questo caso sarà necessario regolare contrattualmente la limitazione della responsabilità.

-              I nuovi diritti dei soggetti protetti

Le informazioni dovranno essere in futuro rilasciate ai soggetti interessati senza ritardi, in ogni caso entro un mese. In più è previsto anche il diritto alla portabilità, così come il diritto all’oblio dei dati. Sono previste sanzioni se i dati dei soggetti protetti verranno trattati in maniera scorretta. I diritti degli interessanti vengono infatti ampliamente rafforzati, gran parte del Regolamento è dedicato ai singoli diritti degli interessati e alla loro modalità di esercizio. A tal proposito sono stati introdotti numerosi cambiamenti in tema di diritto di limitazione del trattamento, in tema di diritto alla portabilità dei dati e in tema di diritto di opposizione alla profilazione. Il Regolamento privacy prevede inoltre in alcuni casi delle restrizioni all’esercizio dei diritti sopraindicati (ad. es. nei casi di sicurezza nazionale, in quelli in cui diventa rilevante la prevenzione e repressione dei reati, ecc.).

-              Obblighi di organizzazione

Il nuovo Regolamento europeo in materia di protezione dei dati personali obbliga in molti casi, come ad esempio per quanto riguarda la realizzazione dei diritti degli interessati, a costruire strutture organizzative. La sola mancanza di queste strutture è di per sé sanzionabile.

-              Responsabilità

Il nuovo regolamento europeo in materia di protezione dei dati personali definisce esplicitamente un completo e sfaccettato catalogo di principi generali, la cui osservanza - diversamente da prima - è demandata alla sola impresa. Questo significa che, non solo il rispetto della legislazione sulla protezione dei dati personali viene verificato nei singoli casi, ma anche che la compliance sulla protezione dei dati personali viene trasferita nel “campo organizzativo”.

-              Il trasferimento dei dati all’estero

Anche la disciplina sul trasferimento dei dati personali all’estero viene riformulata in maniera innovativa dalla nuova legislazione in materia di privacy.

Il regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di questo tipo, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad es., clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o nel caso ricorrano particolari evenienze.

Il Safe Harbor e lo scudo americano-europeo sulla privacy sono temi che hanno particolarmente colpito l’opinione pubblica e che hanno messo al centro della discussione dei soggetti coinvolti, dell’autorità e dell’opinione pubblica il tema del trasferimento dei dati personali all’estero. Vengono poste domande nuove soprattutto in relazione all’impiego di soluzioni IT da parte dei prestatori di servizi – non solo per il Cloud-Computing - e in relazione al trasferimento dei dati tra aziende collegate fra loro.

-             Scoperta di infrazioni

Le infrazioni interne all’azienda devono essere valutate alla luce della legislazione in materia di protezione dei dati personali. Anche le strutture di compliance aziendali e le azioni da mettere in atto nel caso di infrazioni interne all’azienda– come attualmente è stato reso noto dalla stampa- devono adattarsi alla nuova normativa sul trattamento dei dati personali. Se questi obblighi sono prescritti dalla legge, oppure, se sono autoimposti dall’azienda stessa (per es. Whistleblowing), essi devono essere obbligatoriamente rivalutati prendendo come riferimento il nuovo Regolamento. La compliance relativa alla normativa sulla protezione dei dati deve essere assicurata anche dopo l’entrata in vigore del regolamento privacy.

-              La compliance del trattamento dei dati personali come obbiettivo da perseguire per i mandatari e per i fornitori

Sempre di più, l’azienda stipula contratti, soprattutto nel caso dei contratti di collaborazione, con i quali il mandante viene obbligato contrattualmente al rispetto della protezione dei dati personali. La mancanza di trasposizione nei contratti delle disposizioni del regolamento europeo in materia di protezione dei dati personali porta, in aggiunta alle sanzioni previste dal Regolamento, alla violazione degli obblighi contrattuali.

Multe, Richiami, azione collettiva

Oltre al problema delle sanzioni vi è anche il pericolo di ricevere richiami per attività di concorrenza sleale. È stata infatti introdotta alla fine del 2015 la possibilità di avvalersi dell’azione collettiva nei casi di violazione della normativa sul trattamento dei dati personali. Il regolamento privacy contemplerà ulteriori tipi di azioni legali.

Avvocato Manuela Ferrari

Rechtsanwalt Dr. Jens Eckhardt

Pubblicazioni

Dr. Jens Eckhardt / Rüpke / v. Lewinski
Verlag C.H. Beck, 2018
Dr. Jens Eckhardt / Kramer / Tausch
TKMmed!a
Dr. Jens Eckhardt / Bergmann / Möhrle / Herb
Boorberg Verlag
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Verlag C. H. Beck München, Mitautor seit 1. Auflage
Mitautor und Leiter der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud Computing“, Trusted Cloud-Initiative des BMWi
Verlag C. H. Beck München, Mitautor seit 4. Auflage, 2013
Dr. Jens Eckhardt / Dr. Brink (Landesbeauftragter für den Datenschutz Baden-Württemberg)
ZD Editorial 1/2015 und ZD 2015, 205 ff.