Federico Aluigi Archives - Studio Legale De Berti Jacchia Franchini Forlani

GDPR, NO AI RISARCIMENTI “FACILI”: I PALETTI DELLA CORTE UE

marketude — Tue, 26 Nov 2024 09:51:27 +0000

La Corte di Giustizia europea restringe i criteri per ottenere indennizzi. Servono prove concrete di pregiudizio, stop a richieste automatiche e risarcimenti per lievi disagi

L’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) ha rappresentato una pietra miliare per la protezione dei dati personali nell’Unione Europea e nel mondo. Oltre a fornire regole rigorose per il trattamento dei dati, il GDPR riconosce infatti ai cittadini europei il diritto di ottenere un risarcimento in caso di violazione delle norme, come sancito dall’articolo 82 del Regolamento. In questo contesto, la Corte di Giustizia dell’Unione Europea (CGUE) continua a giocare un ruolo cruciale nel definire i contorni di tale previsione normativa.

Articolo di Jacopo Piemonte e Federico Aluigi pubblicato su Agenda Digitale.

The post GDPR, NO AI RISARCIMENTI “FACILI”: I PALETTI DELLA CORTE UE appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

LA VIDEOSORVEGLIANZA SUL LUOGO DI LAVORO: UN NUOVO PROVVEDIMENTO DEL GARANTE CONFERMA I PRECEDENTI APPRODI INTERPRETATIVI

marketude — Thu, 18 Jul 2024 14:07:31 +0000

Il quadro normativo generale

Il tema della videosorveglianza sul luogo di lavoro rappresenta un importante punto di intersezione tra il diritto del lavoro e la protezione dei dati personali. Come noto, in tale aerea è infatti richiesto il rispetto dei requisiti posti dall’articolo 4, comma 1, della legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori)^[1], anche per effetto dell’esplicito richiamo all’articolo 114 del Decreto legislativo 30 giugno 2003 n. 196 (Codice della Privacy).

Questa disposizione statuisce che l’utilizzo di impianti audiovisivi e di altri strumenti da cui derivi la possibilità di controllo a distanza dei lavoratori sia giustificato alternativamente da esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale. Inoltre, premessa la presenza di almeno una di queste condizioni, occorre ulteriormente l’accordo con le Organizzazioni Sindacali o l’autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro.

Ancora, ai sensi del terzo comma, affinché le informazioni acquisite con tali strumenti siano utilizzabili “a tutti i fini connessi al rapporto di lavoro”, tra cui quelli disciplinari e giudiziali, è necessario fornire adeguata informazione nei confronti del lavoratore circa le modalità d’uso degli strumenti e di effettuazione dei controlli, nonché il rispetto del disposto del Codice della Privacy.

Il provvedimento del Garante

Coerentemente con tali premesse, è di particolare rilievo un provvedimento del Garante per la Protezione dei Dati Personali (Garante) dell’11 aprile 2024^[2]. Il relativo procedimento veniva instaurato a seguito di una segnalazione da parte di una dipendente di un Comune italiano che lamentava “l’installazione di un sistema di videosorveglianza nella sede del Comune, in prossimità dei sistemi di rilevazione delle presenze e in assenza dell’accordo con le organizzazioni sindacali, nonché l’impiego di tale sistema per l’effettuazione di specifiche contestazioni disciplinari alla dipendente (…)”^[3]. Attraverso l’utilizzo delle immagini registrate, l’amministrazione aveva infatti contestato alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di servizio. Si obiettava nei confronti del Comune altresì di non avere fornito un’idonea informativa sul trattamento dei dati acquisiti tramite tale apparecchiatura, tanto relativamente ai lavoratori quanto agli utenti e visitatori della sede, e di aver proceduto in assenza dell’indicazione di tutti gli elementi richiesti dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (General Data Protection Regulation, GDPR, da ora “Regolamento”).

Il Garante ha effettivamente riscontrato profili di illegittimità con riferimento a tali condotte, e ha comminato al Comune una sanzione amministrativa pari a 3.000 euro ai sensi dell’articolo 83 del GDPR^[4].

Illustreremo di seguito in dettaglio il provvedimento.

La liceità del trattamento dei dati ottenuti senza previa autorizzazione

Il Comune in questione aveva asseritamente installato i c.d. “occhi elettronici” per la tutela del patrimonio comunale e dell’incolumità dei propri dipendenti, in seguito a un’aggressione ai danni di un assistente sociale e di un assessore. L’autorizzazione da parte della sede territoriale dell’Ispettorato del Lavoro era stata però concessa solo in una data successiva all’entrata in funzione del dispositivo. Anteriormente a tal data, a seguito di segnalazioni circa alcune condotte della dipendente-reclamante non conformi al contratto di lavoro (nella specie, appunto, gli orari di ingresso e uscita), il Sindaco aveva esaminato le registrazioni del sistema di sicurezza per verificarne la veridicità, e proprio sulla base di detta verifica erano state avviate le contestazioni disciplinari.

Da queste circostanze, osserva il Garante, ne sarebbe derivato, da un lato, l’illiceità del trattamento dei dati così ottenuti per tutto il periodo precedente all’autorizzazione ex art. 4 nei confronti della generalità dei lavoratori; dall’altro, per ciò che qui interessa, l’impossibilità di utilizzare gli stessi a fini disciplinari.

Il profilo della trasparenza

Il secondo aspetto critico messo in luce dal Garante concerne la trasparenza del trattamento posto in essere. Occorre infatti ricordare che l’utilizzo per fini disciplinari di informazioni raccolte nel rispetto dell’art. 4, commi 1 o 2, dello Statuto dei Lavoratori, non sarebbe di per sé precluso. È però necessaria, oltre alla suddetta autorizzazione, l’ulteriore osservanza del quadro normativo in materia di protezione dei dati, per cui in particolare è necessario “fornire agli interessati ogni necessaria informazione per assicurare ai dipendenti piena consapevolezza degli ulteriori trattamenti che il datore di lavoro si riserva di effettuare”^[5]. Da qui, veniva contestata al Comune l’inadeguatezza dell’informativa di secondo livello sul trattamento dei dati personali fornita agli interessati (tanto lavoratori quanto utenti o visitatori), la quale avrebbe dovuto “contenere tutti gli elementi obbligatori a norma dell’art. 13 del Regolamento”^[6]. Sul punto, il Comune si difendeva sostenendo di aver assolto a detti obblighi con la pubblicazione del regolamento comunale sulla videosorveglianza, approvato nell’anno 2005. Proprio su queste premesse, veniva però evidenziato come tale documento non contenesse tutti gli elementi richiesti dall’art. 13 del Regolamento, essendo stato oltretutto approvato ben prima dell’implementazione dello stesso. Peraltro, ha precisato il Garante, atti e documenti che, come nel caso di specie, sono redatti dal datore di lavoro per assolvere ad obblighi diversi rispetto a quelli derivanti dalla disciplina in materia di protezione dei dati, non possono comunque sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati in merito alle caratteristiche essenziali dello stesso.

L’annosa questione dei ‘’controlli difensivi’’

È significativo, inoltre, l’approfondimento di un tema che emerge da una difesa del Comune che ha richiamato i c.d. ‘’controlli difensivi’’. Tale categoria è di indubbio interesse giurisprudenziale e dottrinale, e, come evidenziato dal Garante stesso, di difficile inquadramento dogmatico.

La figura dei controlli difensivi è stata elaborata dalla giurisprudenza precedentemente alla modifica dell’art. 4 dello Statuto dei Lavoratori derivata dall’art. 23 del d.lgs. n. 151 del 2015 e dall’art. 5 d.lgs. n. 185 del 2016^[7]. La ratio era quella di consentire al datore di lavoro di rispondere a eventuali comportamenti illeciti del personale con controlli, senza azioni preliminari, laddove vi fosse necessità di tutelare il patrimonio e l’immagine aziendale, beni considerati estranei al rapporto di lavoro e per questo motivo non rientranti nel campo di applicazione dell’art. 4 dello Statuto dei Lavoratori^[8].

La questione sull’eventuale “sopravvivenza” dei controlli difensivi successivamente alle modifiche dell’art. 4 non si presta ad interpretazione univoca^[9]. A tal riguardo, la recente giurisprudenza della Corte di Cassazione ha operato una distinzione tra ‘’controlli difensivi’’ in senso lato e ‘’controlli difensivi’’ in senso stretto, ritenendo che questi ultimi non rientrino nel perimetro applicativo dell’art. 4 (e quindi “sfuggano” alla relativa autorizzazione ivi richiesta), in quanto ‘’diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro’’^[10], sebbene ‘’in nessun caso può essere giustificato un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”^[11]. Il giudice, nel bilanciamento degli interessi del lavoratore e del datore di lavoro, deve dunque compiere un apprezzamento di tutte le circostanze del caso concreto, tenendo conto del complesso dei principi espressi nel Codice della privacy e nel Regolamento^[12].

Il Comune tentava di fare leva sulla giurisprudenza citata affermando che ‘’la condotta de quo era (…) diretta ad accertare specifiche condotte illecite lesive dell’immagine dell’Ente…’’ e che ‘’quindi, i dati sono stati trattati in conseguenza di quei ‘’controlli difensivi in senso stretto’’ (…) estranei dal campo di applicazione dell’art 4 dello Statuto dei lavoratori…’’^[13]. Tale difesa non ha però trovato “terreno fertile”. A riguardo, è opportuno osservare che il monitoraggio degli ingressi e delle uscite dal luogo di lavoro non è riconducibile a un controllo su una condotta illecita, ma al contrario costituisce un atto di sorveglianza sull’adempimento dell’obbligazione contrattuale^[14], non potendo quindi rappresentare un controllo difensivo. Inoltre, un ulteriore caposaldo che emerge dalla giurisprudenza è costituito dalla necessità che il controllo avvenga ex post^[15]. In altre parole, la raccolta delle informazioni deve essere effettuata solamente a seguito del fondato sospetto del datore di lavoro circa la commissione di illeciti da parte del dipendente^[16]. Appare evidente come questa circostanza non ricorresse nel caso di specie e come il Garante abbia dunque correttamente respinto tale difesa. Per ultimo, nella totale assenza di trasparenza e del rispetto della normativa sulla privacy, un bilanciamento degli interessi del datore di lavoro e della lavoratrice avrebbe comunque portato alla necessità di tutelare prevalentemente la seconda.

Considerazioni conclusive

Il provvedimento analizzato in questo contributo dimostra come il tema della videosorveglianza nei luoghi di lavoro continui a destare un peculiare interesse, tanto per la società civile nel suo complesso quanto per il contesto lavorativo pubblico e privato: regolamentare con precisione l’installazione di videocamere, risulta ad oggi di imprescindibile importanza per poi garantire la possibilità di utilizzare i dati raccolti attraverso tali sistemi. Emerge dunque l’importanza di rispettare rigorosamente le normative vigenti, garantendo trasparenza e adeguata informazione ai lavoratori.

Download Article

[1] Secondo l’articolo 4 dello Statuto dei Lavoratori ‘’… Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.

La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196 …’’.

[2] Garante per la Protezione dei Dati Personali, Provvedimento dell’11 aprile 2024, doc. web n. 10013356.

[3] Si veda il par. 1 del provvedimento.

[4] Specificamente, la responsabilità dell’ente è stata fatta derivare dalla violazione dell’articolo 114 del Codice della privacy che a sua volta richiama l’articolo 4 dello Statuto dei lavoratori. La cornice edittale in tale caso è stabilita dall’articolo 83 del GDPR.

[5] Si veda il par. 3.3 del provvedimento.

[6] Si vedano “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, nonché il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010; si consultino, da ultimo, le recenti FAQ del Garante in materia di videosorveglianza.

[7] A seguito delle modifiche così introdotte, al comma 2 dell’art. 4 dello Statuto dei Lavoratori si prevede la non applicazione delle causali di installazione agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

[8] Si veda l’Ordinanza della Corte di Cassazione, Sezione Lavoro, del 28 maggio 2018 n 13266: ‘’… appare allora evidente come esorbiti dal campo di applicazione della norma il caso in cui il datore abbia posto in essere verifiche dirette ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell’immagine aziendale: e tanto più se si tratti di controlli posti in essere ex post, ovvero dopo l’attuazione del comportamento addebitato al dipendente, quando siano emersi elementi di fatto tali da raccomandare l’avvio di un’indagine retrospettiva (Cass. 23 febbraio 2012, n. 2722), così da prescindere dalla pura e semplice sorveglianza sull’esecuzione della prestazione lavorativa degli addetti, invece diretta ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati) dagli stessi posti in essere (Cass. 27 maggio 2015, n. 10955) …’’.

[9] Si veda Cassazione Civile, Sez. Lav., 22 settembre 2021, n. 25732, punto 27. Una conferma della sopravvivenza dei ‘’controlli difensivi’’ può essere rinvenuta nella giurisprudenza della Corte Europea dei Diritti dell’Uomo, caso López Ribalda e altri c. Spagna, 17 ottobre 2019, nel quale è stata dichiarata la legittimità di un controllo occulto da parte di un datore di lavoro, compiuto in maniera proporzionata rispetto al fondato sospetto del compimento di gravi illeciti da parte di alcuni dipendenti.

[10] Si veda Cassazione Civile, Sez. Lav., n. 18168 del 26 giugno 2023, punto 2.1, la quale a sua volta cita Cassazione Civile, Sez. Lav., n. 25732 del 22 settembre 2021, punti 31 e 32.

[11] Ibid., punto 2.6, la quale a sua volta cita Cassazione Civile, Sez. Lav., n. 25732 del 22 settembre 2021, punto 37.

[12] Ibid., punto 2.7. In particolare la Corte ha statuito che: ‘’Il rilievo che, per i controlli difensivi in senso stretto, non opera la disciplina speciale dettata dall’art. 4 dello Statuto, come novellato, non significa che, laddove sia comunque riscontrabile un trattamento di dati personali del lavoratore, non occorra rispettare la disciplina generale prevista per la protezione di qualsiasi cittadino dal Codice della privacy, vigente all’epoca dei fatti della presente causa, e, a partire dal 25 maggio 2018, dal Regolamento UE 2016/679 e dallo stesso Codice, come modificato dal D.Lgs. n. 101 del 2018 entrato in vigore il 19 settembre 2018. Se anche nel caso di controlli a distanza attuati nell’osservanza dei commi 1 e 2 dell’art. 4 St. lav., il comma 3 dello stesso articolo pretende il “rispetto di quanto disposto dal D.Lgs. 20 giugno 2003, n. 196”, costituirebbe una ingiustificata aporia del sistema – peraltro priva di base legale – il sottrarre alla disciplina generale della protezione dei dati personali il rapporto del lavoratore con il suo datore. Pertanto, il complesso dei principi espressi nel Codice della privacy e nel Regolamento Europeo 2016/679 (GDPR) deve orientare il giudice nella delicata opera di bilanciamento e di delimitazione del confine tra l’interesse del lavoratore e l’interesse del datore di lavoro, con un contemperamento che non può prescindere dall’apprezzamento di tutte le circostanze del caso concreto. Ancor prima lo stesso datore di lavoro, in sede di iniziativa finalizzata ad attuare un controllo per fini difensivi, è tenuto a compiere una valutazione relativa all’impatto concreto nei confronti della sfera personale dei lavoratori, alla stregua dei principi che regolano, per chiunque, le modalità di trattamento dei dati personali.’’

[13] Si veda il par. 2 del provvedimento.

[14] Conformemente a tale interpretazione: Cassazione Civile, Sez. Lav., n. 25645 del 1° settembre 2023, che ha riformato le decisioni di merito che ritenevano estraneo all’attività lavorativa il controllo di ingressi e uscite dal luogo di lavoro.

[15] A sostegno della diversa tesi secondo cui il controllo ex post sia solo eventuale e che abbia meramente funzione confermativa dell’effettività del controllo difensivo: Cassazione Penale, Sez. 3, n. 3255 del 27 gennaio 2021, punto 4.4, che a sua volta richiama Cassazione Civile, Sez. Lav., n. 13266 del 28 maggio 2018. La natura eventuale di questo presupposto era indiscussa nell’interpretazione del previgente articolo 4 secondo Cassazione Civile, Sez. Lav., n. 25732 del 22 settembre 2021, punti 20-21.

[16] Cassazione Civile, Sez. Lav., n. 25732 del 22 settembre 2021, punti da 40 a 44.

The post LA VIDEOSORVEGLIANZA SUL LUOGO DI LAVORO: UN NUOVO PROVVEDIMENTO DEL GARANTE CONFERMA I PRECEDENTI APPRODI INTERPRETATIVI appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

REGOLAMENTO SULL’INTELLIGENZA ARTIFICIALE: CASI PRATICI PER GUIDARE LE IMPRESE NELL’IMPLEMENTAZIONE – July 10th, 2024

marketude — Wed, 10 Jul 2024 09:58:25 +0000

Partecipa al nostro prossimo evento/breakfast, in collaborazione con Camera di Commercio Italo-Svedese Assosvezia, in tema di Artificial Intelligence!

🗓️ mercoledì 10 luglio 2024,
🕔 a partire dalle ore 09:00

Sarà possibile seguire l’evento:
📍 in presenza presso De Berti Jacchia, ingresso da Via Agnello 6/1, Milano
💻 via webinar | Zoom

I professionisti dello Studio De Berti Jacchia, Alessandro Foti, Jacopo Piemonte, Adriano Garofalo, Giulia Beneduci, Silvia Bolognani e Federico Aluigi, offriranno un approfondimento pratico su come le imprese possono affrontare e implementare l’atteso Regolamento sull’Intelligenza Artificiale.

Attraverso l’analisi di case study concreti, i partecipanti riceveranno preziosi consigli per allinearsi a questo rivoluzionario strumento legislativo.

Inoltre, avremo il piacere di ospitare ReD OPEN – Spin-off Università degli Studi di Milano Bicocca con Massimo V.A. Manzari, che esporrà i prerequisiti organizzativi necessari per la compliance con il Regolamento.

L'evento è stato accreditato presso l'Ordine degli Avvocati di Milano e dà diritto a n. 1 crediti formativi.

REGISTRATI IN PRESENZA

REGISTRATI PER WEBINAR

The post REGOLAMENTO SULL’INTELLIGENZA ARTIFICIALE: CASI PRATICI PER GUIDARE LE IMPRESE NELL’IMPLEMENTAZIONE – July 10th, 2024 appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

IL GARANTE RIDEFINISCE LA GESTIONE DEI METADATI: RIVOLUZIONE NEI SISTEMI DI POSTA ELETTRONICA?

marketude — Tue, 02 Jul 2024 09:47:51 +0000

In data 6 giugno 2024, il Garante per la Protezione dei Dati Personali (“Garante”) ha pubblicato un aggiornamento significativo sul documento di indirizzo riguardante i metadati^[1], nel contesto degli strumenti informatici utilizzati per la gestione della posta elettronica nei luoghi di lavoro. Questo nuovo provvedimento segue il precedente documento emanato il 21 dicembre 2023, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”^[2]. In risposta ai diffusi timori scaturiti dal documento di dicembre^[3] e alle numerose richieste di chiarimento pervenute, il Garante aveva temporaneamente sospeso l’efficacia di quest’ultimo, e avviato una consultazione pubblica^[4], conclusasi solo recentemente. Questo processo ha portato alla revisione e all’adozione di una versione aggiornata delle linee guida, finalizzata a fornire indicazioni più dettagliate sui criteri da seguire per la conservazione dei metadati. In particolare, il nuovo provvedimento mira anche a chiarire l’applicazione delle cautele necessarie per garantire il corretto funzionamento e l’adeguato utilizzo dei sistemi di posta elettronica aziendali.

Cosa si intende per metadati

Immaginando di avere una lettera imbustata tra le mani, potremmo identificare come metadati quelle informazioni che riusciremmo a carpire senza aprire l’involucro, come il nome, cognome e indirizzo del destinatario e/o del mittente. È intuitivo, quindi, come il contenuto della busta, incluso il testo della lettera, non rientri nella definizione di metadato. Applicando il medesimo criterio alle comunicazioni elettroniche, il Garante delinea il campo di applicazione delle nuove prescrizioni, fornendo una precisa definizione di metadati^[5]. Questi sono identificati come l’insieme strutturato di intestazioni tecniche che documentano l’instradamento del messaggio, la sua provenienza ed altri parametri tecnici, che sono automaticamente raccolte nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA) e dalle postazioni terminali durante l’interazione tra i vari server e, se del caso, tra questi e i client (le postazioni terminali che inviano messaggi e permettono la consultazione delle caselle di posta elettronica, definite nei protocolli tecnici come MUA – Mail User Agent). I metadati, pertanto, non devono essere confusi con le informazioni contenute nel corpo delle e-mail o nei loro allegati. È importante sottolineare, quindi, che le linee guida fornite, lungi dal trattare il contenuto dei messaggi di posta elettronica, si concentrano sulle operazioni di invio, ricezione e smistamento dei messaggi, includendo dati come gli indirizzi dei mittenti e dei destinatari, gli indirizzi IP dei server o dei client, gli orari di invio, la ritrasmissione, la ricezione, le dimensioni dei messaggi, la presenza e le dimensioni degli allegati, e, a seconda del sistema di gestione della posta utilizzato, persino l’oggetto del messaggio spedito o ricevuto, senza, però, riguardare mai il contenuto del messaggio stesso.

È arrivata la rivoluzione?

No, nessuna rivoluzione in corso. Il Garante stesso specifica come il provvedimento non rechi nuove prescrizioni, né introduca nuovi adempimenti, ma si limiti a fornire una ricostruzione sistematica delle disposizioni già applicabili in materia, richiamando punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

Il coinvolgimento della disciplina giuslavoristica

Il documento di indirizzo mira a fornire ai datori di lavoro regole specifiche per un utilizzo rispettoso dei sistemi di posta elettronica aziendali, conforme agli articoli 113 e 114 del Decreto Legislativo n. 196 del 30 giugno 2003 (“Codice della Privacy”) e all’articolo 4 della Legge n. 300 del 20 maggio 1970 (“Statuto dei Lavoratori”). Infatti, l’uso di tali dati ha implicazioni significative sul piano della disciplina del diritto del lavoro, poiché i metadati menzionati dal Garante sono registrati automaticamente dai sistemi di posta, e indipendentemente dalla volontà dei lavoratori. Pertanto, è necessario adottare adeguate misure di sicurezza per garantire tre livelli di tutela distinti: i) in primo luogo, circa il contenuto dei messaggi di posta elettronica, che, in quanto forma di corrispondenza in cui è legittima un’aspettativa di riservatezza, viene tutelato ai sensi degli articoli 2 e 15 della Costituzione^[6]; ii) in secondo luogo, sulla gestione delle informazioni che, pur raccolte in ambito lavorativo, potrebbero non essere rilevanti per questi fini. Nel raccogliere e memorizzare i log della posta elettronica, il datore di lavoro deve rispettare le normative che vietano il trattamento di informazioni non pertinenti per la valutazione dell’attitudine professionale del lavoratore o riguardanti la sua sfera privata (articolo 8 dello Statuto dei Lavoratori)^[7]; iii) da ultimo, va considerato il rischio che la raccolta e la memorizzazione dei log della posta elettronica possano comportare controlli a distanza sui lavoratori, violando così quanto previsto dall’articolo 4, comma 1 dello Statuto dei Lavoratori^[8].

Il compromesso prospettato dal Garante: perché è importante limitare la conservazione dei metadati?

Occorre considerare come l’articolo 4, comma 1, dello Statuto dei Lavoratori, individui due prerogative essenziali che permettono al datore di lavoro di utilizzare strumenti di controllo a distanza dell’attività dei lavoratori: l’implementazione di tali sistemi deve rispondere a finalità tassative (esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio) e il controllo deve essere autorizzato da un accordo sindacale o, in assenza di rappresentanze sindacali in azienda, da un provvedimento del competente Ispettorato Territoriale del Lavoro. Lo stesso articolo, al comma 2, specifica che tale norma non si applica agli strumenti utilizzati dai lavoratori per eseguire la prestazione lavorativa, nonché ai sistemi di registrazione delle presenze^[9]. Su queste premesse, il Garante afferma che la raccolta e la conservazione dei metadati/log, pur finalizzata a garantire il corretto funzionamento dei sistemi di posta elettronica, comporta inevitabilmente un monitoraggio dei dipendenti. Pertanto, per garantire la conformità alla normativa, occorre che tale attività venga effettuata per un periodo limitato individuato in un massimo di ventuno giorni^[10]. Per contro, una conservazione per un periodo più lungo può essere effettuata solo previa valutazione della sussistenza di condizioni che ne rendano necessaria l’estensione: è compito del Titolare del trattamento adottare tutte le misure tecniche e organizzative per assicurare il rispetto del principio di limitazione delle finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciabilità degli accessi effettuati. Diversamente, la raccolta generalizzata, nonché la conservazione indiscriminata e superiore ai tempi indicati di tutti i log degli account di posta dei dipendenti potrebbe comportare un controllo a distanza degli stessi, richiedendo quindi le cautele previste dall’articolo 4, comma 1, dello Statuto dei Lavoratori, tra cui la necessità di raggiungere un previo accordo sindacale o un’autorizzazione dell’Ispettorato Territoriale del Lavoro competente. Peraltro, non passa inosservato come, dai dati esteriori delle corrispondenze, possa derivare l’acquisizione di informazioni riferite alla sfera personale o alle opinioni dell’interessato-lavoratore, delineandosi un ulteriore profilo critico circa la conservazione “a oltranza” del metadato^[11].

La palla al Titolare: cosa occorre fare

Il Garante prosegue specificando i compiti del Titolare del trattamento, raccomandando in primis l’adozione di misure che garantiscano la protezione del dato “per impostazione predefinita”^[12], ovvero nella misura necessaria e sufficiente per le finalità del trattamento, come la necessità di garantire la sicurezza dei sistemi informatici aziendali, e per il solo periodo strettamente necessario al raggiungimento di tali scopi. Viene peraltro precisato che, anche quando il datore utilizza prodotti e/o servizi di terzi, questi deve essere attore primario nella verifica della conformità ai principi applicabili al trattamento dei dati, assicurandosi che il fornitore adotti tutte le misure tecniche e organizzative necessarie, e impartendo istruzioni ove necessario. In questo senso, il Titolare dovrà garantire che siano disattivate le funzioni incompatibili con le proprie finalità di trattamento o in contrasto con specifiche norme di settore, ad esempio, commisurando i tempi di conservazione dei dati o chiedendo al fornitore di anonimizzare i metadati raccolti nei casi in cui non sia necessario effettuare una conservazione più prolungata. Infine, viene richiesto agli stessi fornitori un contributo attivo nel verificare che i Titolari del trattamento adempiano concretamente alla protezione dei dati, bilanciando le esigenze di commercializzazione su larga scala dei prodotti con la conformità degli stessi ai principi del GDPR.

Conclusioni

Il Garante conclude statuendo che i datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore. Più particolarmente, spetterà al titolare-datore verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente se prodotti di mercato in modalità cloud o as-a-service^[13] – consentano all’utente-datore di lavoro di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola^[14]. Ciò detto, i fornitori di servizi di posta elettronica sono colossi che operano a livello globale e, pertanto, vien da chiedersi se il titolare del trattamento, che nel tessuto economico italiano è tipicamente un piccolo o medio imprenditore, abbia realmente voce in capitolo rispetto all’adozione di misure tali da conformarsi al provvedimento del Garante. Cambiando argomento, il documento in esame, pur distinguendosi per la “premura” nei confronti della privacy dei lavoratori, e pur dimostrando una maggiore comprensione delle dinamiche aziendali rispetto alla pubblicazione del dicembre 2023, si presenta tuttavia con stringenti vincoli per la gestione dei metadati associati alla posta elettronica aziendale. Il limite di 21 giorni, infatti, rappresenta una sfida significativa per le aziende, poiché tali dati sono essenziali per l’indicizzazione e il recupero delle e-mail, fornendo informazioni cruciali come data, ora, mittente, destinatario, oggetto e dimensione. Tra l’altro la limitazione in oggetto rischia di creare seri problemi per le aziende nel gestire contenziosi, in quanto, una comunicazione elettronica non accompagnata dai relativi metadati, potrebbe senz’altro avere un valore probatorio meno determinante. Resta vero che il Garante propone una soluzione per estendere il periodo di conservazione dei metadati attraverso:

il meccanismo previsto dall’art. 4 dello Statuto dei lavoratori tale per cui si richiede un accordo sindacale o, in assenza di tale accordo, l’autorizzazione dell’Ispettorato del Lavoro;
con riferimento alla normativa applicabile in materia data protection, la conduzione di una previa valutazione d’impatto ai sensi dell’art. 35 del GDPR e la realizzazione di un rigoroso test di bilanciamento dei legittimi interessi del titolare con le esigenze di riservatezza dei dipendenti (cui si aggiunge, in ogni caso, la fornitura di dettagliate informazioni al soggetto assegnatario della casella di posta elettronica).

In definitiva, da un lato, assicurare un’eliminazione di tutti i metadati entro il termine di 21 giorni previsti dal provvedimento potrebbe comportare seri rischi per l’operatività aziendale e quindi, da ultimo, per il business stesso delle aziende; dall’altro, per poter superare il predetto limite temporale tutte le imprese (anche medio/piccole) dovrebbero fronteggiare gli adempimenti sopra elencati, ivi incluso concludere accordi sindacali ex art. 4 dello Statuto dei Lavoratori od ottenere la preventiva autorizzazione dell’Ispettorato Territoriale del Lavoro (ITL), indipendentemente da una reale intenzione della Società di procedere con un successivo controllo dei contenuti della posta elettronica aziendale. Quanto sopra rappresenta di certo un ulteriore e nuovo onere per le aziende, soprattutto per quelle di dimensioni medio/piccole che, sino ad oggi, utilizzavano la posta elettronica aziendale senza rivolgere particolari attenzioni ai metadati e al loro utilizzo nell’ambito di eventuali controlli a distanza. Al tempo stesso, però, questo provvedimento potrebbe rappresentare un’opportunità, intesa nella necessità (forzata dalla legge) di regolamentare (con accordi sindacali o autorizzazioni dell’ITL) non solo la conservazione e la tenuta dei metadati (nonché eventualmente delle relative e-mail), ma anche il loro eventuale controllo da parte dei datori di lavoro, sino ad oggi spesso realizzato di fatto in assenza di specifiche intese/autorizzazioni.

Download Article

[1] Per la consultazione del documento di indirizzo (giugno 2024), si veda il seguente LINK.

[2] Per la consultazione del documento di indirizzo (dicembre 2023), si veda il seguente LINK.

[3] Più particolarmente, Il termine di 7 giorni e le prescrizioni in relazione alla necessità di un accordo sindacale o dell’autorizzazione dell’ispettorato del lavoro competente, ex articolo 4, comma 1, dello Statuto dei lavoratori, avevano allarmato diversi attori nel contesto d’impresa.

[4] Per la consultazione dell’avviso pubblico di avvio della consultazione, si veda il seguente LINK.

[5] In generale, i metadati sono delle descrizioni o informazioni aggiuntive che caratterizzano un dato principale. Un esempio comune di metadati è la scheda di catalogo di una biblioteca, che contiene informazioni dettagliate sul contenuto e sulla posizione di un libro, fornendo quindi dati aggiuntivi che si riferiscono al libro stesso. Altri esempi di metadati includono l’identificazione della fonte o dell’autore dei dati, le modalità di accesso e le eventuali restrizioni.

Più specificamente, nell’ambito degli archivi digitali, i metadati sono quelle informazioni necessarie al documento informatico, al fine di poterlo creare nel modo corretto, di poterlo gestire e conservare nel tempo. Il documento originale (informatico), essendo un documento virtuale, non ha la componente materiale costituita dalla carta e viene così memorizzato in sistemi che contengono tantissimi oggetti digitali.

[6] Si veda il par. 2 del Documento di Indirizzo: “… il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza …”.

[7] Si ricordi che, ai sensi dell’articolo 8 dello Statuto dei Lavoratori, “… È fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore …”.

[8] Si ricordi che, ai sensi dell’articolo 4, comma 1, dello Statuto dei Lavoratori, “… Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi …”.

[9] Per ulteriori informazioni in tema di controlli a distanza, si veda il nostro precedente contributo al seguente LINK.

[10] Si veda il par. 3 del Documento di Indirizzo: “… Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni …”.

[11] Si veda il par. 4.1 del Documento di Indirizzo: “… Sotto tale profilo, si ricorda che, fin dal 1970, al datore di lavoro pubblico e privato è fatto divieto di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore …”.

[12] Con tale terminologia si intende richiamare il concetto di privacy by default (protezione per impostazione predefinita), espresso nell’articolo 25, par.2, GDPR, il quale prevede, appunto, che per impostazione predefinita le imprese trattino solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorrerebbe, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

[13] Con tali terminologie si fa riferimento – nel contesto della posta elettronica – a sistemi di gestione della messaggistica aziendale, sia interna che rivolta verso l’esterno, basati su dati che fanno capo a un server web, quindi dematerializzato e non più localizzato in un server fisico. Dunque, tutti i messaggi, gli allegati, le attività di sincronizzazione e backup sono gestiti a livello centrale, da un provider esterno, e con uno spazio di archiviazione pressoché illimitato (si pensi, fra tutti, a Microsoft Outlook).

[14] Si veda il par. 5 del Documento di Indirizzo.

The post IL GARANTE RIDEFINISCE LA GESTIONE DEI METADATI: RIVOLUZIONE NEI SISTEMI DI POSTA ELETTRONICA? appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

THE ADVENT OF GENERATIVE AI: HOW CAN WE PROTECT OURSELVES FROM MISINFORMATION IN UPCOMING ELECTIONS?

marketude — Tue, 04 Jun 2024 09:29:12 +0000

The rapid and remarkable progress in the capabilities of generative artificial intelligence (AI) to create all kinds of media, such as text, images, audio, and video, in response to specific inputs, known as prompts, continues to astonish us. In a short period of time, AI systems have become so advanced that they can produce content virtually indistinguishable from the reality, especially considering the immediacy with which users often engage with social media.

After the fake news at the dawn of the social media era, the probably even more fearsome phenomenon of deep fakes has thus emerged. Technologies now make it possible to create completely fake videos in which, for example, statements can be falsely attributed to candidates for the elections. This can influence and manipulate the opinions, behaviour, and trends of global society. Hence, there is concern and interest among political leaders, jurists, and legislators in curbing this phenomenon, especially in a record year like 2024, which sees some 2 billion individuals worldwide called to the polls^[1].

A pact to save the elections

The topic was the focus of the technology section at the Munich Security Conference (MSC)^[2], held in February 2024. It is the world’s most important forum for debate and discussion on security and foreign policy, hosting leading figures from the political, legal, military, civil society, and technology fields.

Among the most important outcomes of this year’s MSC is a document titled “A Tech Accord to Combat Deceptive Use of AI in 2024 Elections”, signed by 20 of the most influential multinationals in the IT industry, including Amazon, Adobe, Google, Microsoft, Meta, OpenAI, and IBM. The agreement is aimed at countering the use of generative AI in ways that mislead or deceive voters by creating “AI-generated audio, video, and images that falsify or deceptively alter the appearance, voice, or actions of political candidates, election officials, and other key figures in a democratic election, or that provide false information to voters about when, where, and how they can legitimately vote”^[3].

The multinationals party to the agreement propose, on the one hand, to cooperate in developing detection technologies that certify the authenticity, veracity, and origin of content. On the other hand, in managing their own platforms, the Big Tech companies aim to use these tools to identify and counter the spread of disinformation, such as deep fakes.

Watermarks between innovation and technological limitations

The objective of the MSC is simpler in theory than in practice since, to date, technologies with a sufficient degree of automation and certainty to deal effectively with the problem do not exist.

Among the available technologies, the most promising are so-called watermarks, which consist of a mark capable of unequivocally identifying the provenance of a file, so that the end user can understand its source^[4].

Watermarks can be categorized into two main types: “visible” watermarks and “invisible” watermarks. Visible watermarks are labels or graphics that are overlaid directly on the content, while invisible watermarks are embedded within it in such a way that they cannot be detected by humans. Examples of invisible watermarks include specific information embedded in file metadata, microscopic pixels added to an image, or inaudible sounds in an audio track. Specific software is always required to detect invisible watermarks.

Technical standards have been developed for implementing watermarks, such as those proposed by the Adobe Coalition for Content Provenance and Authenticity (C2PA)^[5]. This group, which includes several major IT companies, requires developers of generative AI software to integrate a reference within the file metadata that is automatically recognizable by the platforms on which the file will later circulate.

However, these technologies are far from being mature and still require further development and improvement. Currently, watermarks can be easily circumvented through actions such as cropping or screenshotting an image, or by using generative AI software that does not adhere to the relevant technical standards. Participation in groups like C2PA is not compulsory, and numerous open-source generative AI software not subject to these constraints are widespread. Consequently, those who wish to disseminate a fake video on the Internet need only avoid adhering to the (non-mandatory) standards mentioned.

Watermark against disinformation: Meta’s approach

The good news, however, lies in the willingness among major market players to self-regulate and act in a virtuous spirit of compliance.

In an attempt to lead on these issues, the well-known multinational Meta adopted initial guidelines in February 2024, stipulating that any content manipulated by means of generative AI would be removed from its platforms. However, Meta itself realized afterwards that it was probably more appropriate to adopt a less strict and more proportionate approach, recognizing that “generative AI is becoming a mainstream tool for creative expression”.

Hence, the revision of the guidelines in April 2024, in which Meta stated that only content violating the platform’s terms of use or considered most dangerous for users would be deleted^[6]. The new guidelines signal the US company’s intention, as of May 2024, to include watermarks on its platforms (i.e., Instagram, Facebook, and Threads) to alert users to content produced by generative AI. Content to be tagged will be automatically identified and flagged by the platform if the generative AI software that produced it adheres to recognized technical standards such as Adobe’s C2PA. Otherwise, Meta specifies that users of its platforms will be asked to self-flag such content.

The race to regulate generative AI

Having said all the above, there is no doubt that there is a growing awareness of the need to regulate and monitor the use of generative AI. Indeed, several regulations on this matter have been implemented in different parts of the world.

The most decisive approach seems to come from China, which, as of August 2023, has imposed by law that anyone programming and making generative AI software available to the public must include, on the one hand, a label indicating the origin of the content and, on the other hand, “implicit” metadata and watermarks^[7].

With less timeliness, US President Joe Biden also recently (October 2023) signed an executive order on AI that requires the administration to develop effective mechanisms for tagging and sourcing content^[8]. There are also calls for Congress to pass legislation on AI-generated content in 2024 to ensure that regulations on watermarking mechanisms are enforced.

The European Union has also intervened on this point with the famous AI Act. Article 50 of this legislation requires providers of generative AI systems to ensure that the file created contains a mark detectable by special software that indicates its origin. Additionally, software users are required to report whether the content they are disseminating or using is a deepfake^[9].

Finally, even the United Nations (UN) has spoken out on the subject, with a General Assembly resolution – non-binding – adopted in March 2024 and supported by more than 120 states, which encourages the development of effective, reliable, and accessible technologies to distinguish AI-generated material from human material. On a more general level, the resolution, the first on the subject by the UN, aims to create secure and reliable AI systems that can effectively support global sustainable development^[10].

Beyond deception: the necessary safeguards

In conclusion, the advent of generative AI is radically redefining the landscape of digital content production and consumption. Tools such as ChatGPT, DALL-E, and others are enabling users to generate a wide range of content, from images to text, in an increasingly realistic manner. However, this rapid evolution brings with it crucial challenges. The confusion between AI-generated and human-created content raises significant concerns about the spread of misinformation as well as privacy and intellectual property issues.

The need for transparency in distinguishing “synthetic” AI-generated content from human content is emerging as a central issue. Policymakers and practitioners are faced with the challenge of identifying innovative solutions to ensure that users can discern what is in front of them, such as videos on social media, in a context where technological resources have not yet reached full maturity. For this reason, it will be crucial to move towards the ethical use of AI: while embracing innovation, we must not forget the importance of preserving integrity and trust in the digital environment. Through the adoption of transparent approaches, accountability systems, and protection tools such as watermarking, we can guide AI towards a future where creativity can flourish without compromising the honesty and authenticity of content.

Download Article

[1] More information in our previous article at the following LINK.

[2] For more information see the following LINK.

[3] For more information see the following LINK.

[4] For more information see the following LINK.

[5] For more information see the following LINK.

[6] For more information see the following LINK.

[7] For more information see the following LINK.

[8] For more information see the following LINK.

[9] For more information see the following LINK.

[10] For more information see the following LINK.

The post THE ADVENT OF GENERATIVE AI: HOW CAN WE PROTECT OURSELVES FROM MISINFORMATION IN UPCOMING ELECTIONS? appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

ELEZIONI 2024 E AI GENERATIVE: COME TUTELARCI DALLA DISINFORMAZIONE

marketude — Tue, 28 May 2024 10:14:46 +0000

Le intelligenze artificiali generative rappresentano una sfida crescente per la sicurezza elettorale, poiché sono ormai in grado di creare contenuti realistici, sollevando preoccupazioni per la disinformazione e i deepfake. Alla Conferenza di Monaco 2024, 20 multinazionali hanno firmato un accordo per combattere l’uso ingannevole delle AI nelle elezioni.

Quali normative globali sono in vigore per regolamentare l’uso delle AI generative?

Articolo di Federico Aluigi, Jacopo Piemonte e Alessandro Foti pubblicato su We Wealth

Download Article

The post ELEZIONI 2024 E AI GENERATIVE: COME TUTELARCI DALLA DISINFORMAZIONE appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

VERSO UN NUOVO ORIZZONTE DELLE POLITICHE DI ALLARGAMENTO DELL’UNIONE EUROPEA?

marketude — Wed, 17 Apr 2024 13:40:46 +0000

La sola ipotesi di un nuovo allargamento dell’Unione Europea prima del conflitto russo-ucraino nel febbraio 2022, appariva ai più un esercizio irrealistico, in vista della situazione di stallo, la c.d. enlargement fatigue^[1], nel quale tale prospettiva politica sembrava essersi fermata negli ultimi 15 anni, con la significativa eccezione dell’ingresso della Croazia nel 2013. Tuttavia, con il consolidarsi di un teatro di guerra alle porte dell’Europa, i 27 Stati membri e le istituzioni dell’Unione hanno riscoperto quello che era stato il principale catalizzatore dell’allargamento verso est del 2004/2007^[2]: la preoccupazione dell’Unione Europea per la propria sicurezza.

L’appeal politico di questa visione è confermato dal ritorno all’ordine del giorno di grandi temi come la difesa comune^[3] e, appunto, l’allargamento, fino a qualche anno fa considerati argomenti troppo controversi e, comunque, distanti.

Successivamente al febbraio 2022, si è registrata un’intensità senza precedenti di sviluppi, tra i quali vale la pena menzionare il conferimento dello status di Stato candidato alla Georgia (dicembre 2023) e l’apertura dei negoziati di accesso con Macedonia del Nord (marzo 2022), Ucraina e Moldavia (dicembre 2023), e Bosnia ed Erzegovina (marzo 2024).

Le principali questioni sul tavolo

All’epoca del grande allargamento del 2004/2007, l’esigenza dell’Unione era quella di occupare lo spazio geopolitico liberato dal crollo dell’Unione Sovietica (URSS) così da favorirne uno sviluppo democratico e di mercato, privilegiando la celerità rispetto al rigore. Il risultato fu un successo, che alimentò il mito del c.d. trasformative power dell’Unione, ma furono al contempo valutati a maglie molto larghe una serie di criteri a cui oggi la Commissione e, soprattutto, i 27 Stati membri^[4], dimostrano di prestare una rinnovata attenzione.

I casi di Cipro, entrato nell’Unione nel 2004 come Stato diviso fra la zona greca e la zona turca consistente nella non riconosciuta Cipro-Nord, e del Golfo di Pirano in Istria, ancora oggi conteso tra Slovenia e Croazia, continuano a costituire irrisolti precedenti significativi. Ed oggi viene infatti prestata ben maggiore attenzione ai contenziosi bilaterali in cui gli Stati candidati potrebbero essere coinvolti^[5].

Inoltre, è ora un dato condiviso che il processo di state-building^[6] richieda, per la sua oggettiva complessità, dei tempi rilevanti, mentre nel clima geopolitico del 2004/2007, l’Unione aveva interpretato in modo “generoso” i criteri fondamentali di accesso. Solo successivamente, in particolare nei casi di Romania e Bulgaria e, più recentemente, di Polonia e Ungheria, è emerso come, in mancanza di un’infrastruttura giuridica interna idonea a consentire l’effettiva applicazione del diritto europeo od in caso di derive in materia di diritti fondamentali e democraticità, risulti straordinariamente problematico per l’Unione intervenire nei riguardi di uno Stato membro.

Peraltro, l’ingresso nell’Unione Europea non dipende solo dal rispetto da parte degli Stati candidati di condizionalità stringenti e precise, ma anche e specularmente, dalla c.d. integration capacity^[7] dell’Unione stessa. In altre parole, devono sussistere presupposti tali da assicurare un suo efficace ed effettivo funzionamento nella forma allargata, con la conseguenza che fino al raggiungimento di un consenso politico tra gli attuali Stati membri su una riforma interna – che potrebbe dover richiedere una modifica dei Trattati – difficilmente potranno perfezionarsi nuovi allargamenti^[8].

Dunque, se da un lato sembra ora palesarsi un maggiore consenso in favore di una politica di allargamento, dall’altro sono da mettere in conto azioni e mutamenti importanti, sia da parte dell’Unione che degli Stati candidati, per avvalersi di quella che la Commissione ha definito una “opportunità storica”^[9].

Vediamo ora, in breve e senza pretesa di esaustività, i fondamentali dell’attuale processo di allargamento.

Il processo di allargamento

Il processo di allargamento si declina sulla base dei criteri^[10] indicati dall’articolo 49 del Trattato sull’Unione Europea (TUE) e sui c.d. criteri di Copenaghen. Questi ultimi, introdotti nel Consiglio europeo di Copenaghen del 1993, consistono in:

Criterio politico, che richiede allo Stato candidato di possedere una struttura amministrativa, politica e giudiziaria in grado di garantire il rispetto delle libertà fondamentali, dei valori democratici e dello Stato di diritto. Il suo rispetto è necessario già per la concessione dello status di candidato;
Criterio economico, che richiede allo Stato candidato di operare sulla scorta di un’economia funzionante, in grado di reggere alle forze e alle pressioni comportate dall’ingresso nel mercato unico;
Criterio dell’acquis, che riguarda l’armonizzazione dell’ordinamento dello Stato candidato con il diritto dell’Unione, ivi compreso il corpus giurisprudenziale della Corte di Giustizia, e la capacità di implementarlo e applicarlo effettivamente.

Muovendo da questi presupposti, l’Unione si è dotata di una specifica procedura di allargamento – il cui ultimo aggiornamento risale al 2020^[11] – che consiste in tre principali fasi: domanda di adesione, negoziati, ingresso. Le azioni, le riforme e i progressi degli Stati candidati ricevono il supporto tecnico e finanziario dall’Unione, in particolare, attraverso lo Strumento di Assistenza Pre-Adesione (IPA).

Nella prima fase, su raccomandazione della Commissione, il Consiglio decide all’unanimità di accordare lo status di candidato allo Stato che ha presentato domanda di adesione. La Commissione predispone inoltre un quadro negoziale che servirà da base per le trattative.

Nella seconda fase, i negoziati si svolgono tramite conferenze intergovernative (CIG) organizzate sulla base di 35 capitoli^[12]suddivisi in 6 gruppi tematici detti cluster^[13]. Tra questi, particolare menzione merita il cluster 1 dei c.d. fundamentals, che include i capitoli relativi alla pubblica amministrazione, ai diritti fondamentali, alla giustizia, oltre ai criteri economici essenziali per una corretta integrazione nel mercato unico. I progressi dei gruppi tematici determinano l’andamento dei negoziati. Nei paragrafi seguenti, si farà cenno di taluni casi in cui si sono riscontrate particolari criticità nelle adesioni in fieri.

Infine, una volta che lo Stato candidato abbia raggiunto un sufficiente livello di prontezza, viene negoziato il trattato di adesione, il quale deve essere approvato e ratificato da tutti gli Stati membri, dallo Stato candidato e dalle tre istituzioni principali dell’Unione(Consiglio, Commissione e Parlamento). A questo punto, lo Stato candidato entrerà in un periodo di transizione nel quale sarà rappresentato all’interno dell’Unione e avrà diritto di parola, ma non di voto, fino alla data di effettivo ingresso fissata nel trattato.

Il problematico rapporto tra Unione Europea e Turchia

La Turchia detiene il record per la più lunga attesa tra la domanda di adesione all’UE, presentata nel 1987 all’allora Comunità Europea, e l’effettivo ingresso, mai avvenuto. I negoziati erano stati aperti nel lontano 2005.

Nelle ultime conclusioni dedicate alla Turchia^[14] pubblicate dal Consiglio, si evidenzia come siano tuttora assenti i presupposti basilari per realizzare i fundamentals, in vista delle restrizioni in materia di libertà di informazione, espressione, associazione e informazione, nonché della scarsa indipendenza della magistratura dall’ Esecutivo e delle inadempienze relativa alla piena attuazione della Convenzione Europea dei Diritti dell’Uomo (CEDU).

In materia di Politica Estera e Sicurezza Comune (PESC), il Consiglio nota come, nonostante le vengano riconosciuti sforzi nell’agevolare l’esportazione dei cereali dai porti ucraini, la Turchia non abbia recepito nessuna delle sanzioni e restrizioni adottate dall’UE nei confronti della Federazione Russa. Il Consiglio esorta inoltre la Turchia a prevenire l’elusione dei suddetti provvedimenti per il tramite dell’unione doganale con l’UE in vigore dal 1995.

Inoltre, viene richiamata l’attenzione sulla mancata normalizzazione delle relazioni con la Repubblica di Cipro. La questione è di centrale importanza per l’UE, giacché Cipro è uno Stato membro dal 2004, mentre qualsiasi soluzione che preveda la coesistenza di due Stati nel territorio cipriota, come suggerito dalla Turchia, sarebbe inaccettabile, in quanto contrastante con le Risoluzioni del Consiglio di Sicurezza delle Nazioni Unite.

Il Consiglio ribadisce la sua posizione del 2018 nel prendere atto di una situazione di totale stallo, e dichiarando che “ … la Turchia continua ad allontanarsi sempre più dall’Unione Europea e … pertanto i negoziati di adesione[… sono giunti di fatto ad un punto morto …]”^[15].

La relazione tormentata tra UE e Balcani Occidentali

Il Vertice UE-Balcani occidentali^[16] tenutosi a Bruxelles il 13 dicembre 2023 ha sottolineato nella dichiarazione finale che “… il futuro dei Balcani occidentali è nella nostra Unione …”^[17]. Una simile dichiarazione era già seguita al Vertice di Salonicco del 2003 ma, da allora, soltanto Slovenia e Croazia, rispettivamente nel 2004 e nel 2013, sono divenuti Stati membri dell’Unione.

Ricucire le divisioni e le ferite aperte ereditate dalla dissoluzione della ex Repubblica Socialista Federale di Jugoslavia (SFRJ) si è, infatti, rivelata un’operazione molto complessa. Per questo motivo, l’UE ha adottato un quadro di lavoro ad hoc per i paesi dei Balcani Occidentali: il Processo di Stabilizzazione e Associazione (PSA). Questo strumento, istituito nel 2000, è mirato non solo, come nel caso degli altri Stati candidati, a favorire tramite assistenza tecnica e finanziaria il processo di riforme necessarie all’ingresso nell’Unione, ma presenta anche un focus specifico sulla promozione della cooperazione regionale e sulla risoluzione dei conflitti bilaterali.

In proposito, l’UE supporta attivamente il piano d’azione per lo sviluppo di un mercato regionale comune con l’obiettivo, tra il 2020 e il 2024, di superare la frammentazione economica e politica dell’area balcanica attraverso una serie di iniziative, come la possibilità di viaggiare con il solo documento di identità, la riduzione dei tempi di attesa alle frontiere e la firma di accordi di riconoscimento reciproco di prodotti alimentari ed industriali per favorirne la circolazione. Per di più, l’istituzione del mercato regionale comune faciliterà l’adattamento e un ingresso più fluido nel mercato unico europeo.

È inoltre da segnalarsi il recente accordo politico^[18] raggiunto tra Consiglio e Parlamento europeo (aprile 2024) sul Nuovo piano di crescita per i Balcani Occidentali proposto dalla Commissione. Si tratta di 6 miliardi di euro in prestiti e sussidi, che si aggiungeranno, dopo l’adozione ufficiale del Piano, a quelli già stanziati, e che saranno destinati a progetti più specifici, quali, la costruzione di infrastrutture, la formazione del capitale umano, le PMI e lo sviluppo delle energie rinnovabili^[19].

I negoziati di accesso con l’Albania^[20] – formalmente aperti nel marzo 2020 – hanno avuto un inizio effettivo nel luglio 2022, con la convocazione della prima CIG. Il Consiglio constata continui progressi in materia di Stato di diritto, riforma della giustizia e della pubblica amministrazione, nonché nel campo della lotta alla corruzione e alla criminalità organizzata. Anche l’impegno da parte dell’Albania nella cooperazione regionale e il pieno allineamento con la PESC sono visti con favore dal Consiglio, mentre restano miglioramenti da apportare riguardo alla protezione dei diritti fondamentali e delle minoranze, oltre che alla libertà dei media e di espressione.

Più complessa è invece la situazione in Bosnia ed Erzegovina^[21], ultima arrivata (marzo 2024) tra i Paesi che hanno aperto i negoziati di adesione. Qui, il Consiglio segnala la necessità di misure che rafforzino lo Stato di diritto, la tutela delle minoranze, la promozione dei valori dell’uguaglianza e della non discriminazione (anche e soprattutto nei processi elettorali), oltre che un’intensificazione delle azioni di lotta alla corruzione e alla criminalità organizzata. Una delle questioni più spinose è rappresentata dalla Republika Sprska^[22], che è una componente territoriale di Bosnia ed Erzegovina, ma il cui governo continuerebbe a fare propria una retorica secessionista, antieuropeista e pro-russa, con forti limitazioni nel campo della libertà di espressione e dei media. D’altra parte, il Consiglio si allinea alle decisioni del Paese in materia di politica estera, e guarda con favore alla recente riforma della pubblica amministrazione.

I negoziati con il Montenegro^[23], iniziati nel giugno 2012, si trovano oggi, nonostante i notevoli progressi ottenuti dal Paese negli anni precedenti, in una situazione di parziale congelamento fino a che non saranno registrati progressi sostanziali in materia di Stato di diritto. Il Consiglio esorta il Montenegro a procedere nella riforma della giustizia e auspica l’intensificazione degli sforzi riguardo le libertà di espressione e informazione, oltre che nella lotta alla corruzione e alla criminalità organizzata. Viene invece positivamente sottolineato il sistematico allineamento del Montenegro con la PESC, anche riguardo alle misure restrittive adottate nei confronti della Federazione Russa.

Una situazione non dissimile simile caratterizza la Macedonia del Nord^[24] con la quale, non appena risolte le dispute bilaterali con Grecia e Bulgaria, erano stati avviati i negoziati – formalmente aperti nel marzo 2020 – nel luglio 2022. Prima di procedere ulteriormente, il Consiglio attende una riforma costituzionale che garantisca il riconoscimento della minoranza bulgara e dei suoi diritti sul territorio macedone.

Complessivamente ben impostata quanto ai criteri economici, anche per il percorso di adesione della Serbia^[25] sussistono problematicità relative allo Stato di diritto, e viene ritenuto necessario implementare maggiori garanzie del rispetto dei diritti fondamentali (con particolare attenzione alle minoranze) e progredire nella riforma del settore giudiziario. Il Consiglio, inoltre, riferisce circa la necessità di attuare misure più concrete in materia di contrasto alla disinformazione, nella quale potrebbero essere coinvolti “attori stranieri”, e nella lotta alla corruzione e alla criminalità organizzata. Sebbene venga sottolineato positivamente l’impegno della Serbia in varie iniziative di cooperazione regionale, altrettanto non si può dire per le misure restrittive adottate dall’UE nei confronti di Russia e Bielorussia, anche se si segnala positivamente la cooperazione del Paese nel contrasto all’elusione delle misure restrittive dell’Unione.

Il maggiore ostacolo per la Serbia rimane la normalizzazione delle relazioni con il Kosovo^[26] nel quadro del dialogo facilitato proposto dall’UE. Sul punto, il Consiglio auspica buona fede e spirito di compromesso nelle trattative e condanna ogni forma di violenza, azioni unilaterali e provocatorie da ambo le parti.

Il Kosovo, dichiaratosi indipendente nel 2008, detiene ad oggi lo status di potenziale candidato all’ingresso nell’Unione. Esso, infatti, oltre ad essere ancora distante dal soddisfacimento dei criteri di accesso, deve affrontare problemi e conseguenze relativi al suo limitato riconoscimento internazionale. In particolare, si rifiutano di riconoscerne la sovranità la Serbia, la Bosnia ed Erzegovina (a causa del veto posto dalla Republika Sprska) e 5 Stati membri dell’Unione^[27].

Grandi aspirazioni e grandi distanze. Il sogno europeo di Ucraina, Moldavia e Georgia

Il c.d. Association Trio, composto da Ucraina, Moldavia e Georgia, è il gruppo di Paesi sul quale più influisce il tema della ricerca di sicurezza da parte dell’Unione. Le loro domande di adesione, pervenute nel febbraio (Ucraina) e nel marzo (Georgia e Moldavia) del 2022, sono state portate avanti ad una velocità record e sono culminate, nel dicembre 2023, con l’apertura dei negoziati per Ucraina e Moldavia e con la concessione dello status di Stato candidato per la Georgia.

Il Consiglio, nel rinnovare il proprio sostegno all’indipendenza e alla sovranità dell’Ucraina^[28], riconosce e plaude agli sforzi del Paese nell’attuazione di riforme dello Stato di diritto e della giustizia, nonostante lo stato di guerra. Inoltre, vengono riconosciuti – e ulteriormente incoraggiati – i progressi compiuti nel campo dei diritti fondamentali, della lotta alla corruzione e del contrasto alle eccessive influenze degli oligarchi. È importante sottolineare che, sebbene l’Ucraina sia lo Stato che maggiormente beneficia del rinnovato slancio della politica europea di allargamento, il suo percorso verso l’UE è, ad oggi, probabilmente il più complesso a causa non solo del conflitto armato in atto, ma anche delle sue grandi dimensioni e, in particolare, dell’enorme impatto che l’accessione avrebbe sulla Politica agricola comune (PAC).

Una situazione parzialmente analoga caratterizza la Moldavia^[29], anch’essa esortata dal Consiglio ad allinearsi agli standard europei nei settori già evidenziati per l’Ucraina. Sebbene la Moldavia non si trovi coinvolta in alcun conflitto in atto, emergono criticità in merito a influenze straniere sui processi elettorali, che il Consiglio invita a contrastare con metodiche in linea con le migliori pratiche internazionali. Infine, nel rinnovare il pieno sostegno dell’UE alla sovranità e all’integrità territoriale del paese, si fa anche un’indiretta menzione della distinta criticità che la regione separatista filorussa della Transnistria, non riconosciuta internazionalmente, porta con sé.

Più indietro nel percorso di avvicinamento all’Unione è la Georgia^[30], per la quale però il Consiglio denota il grande supporto della società civile alle riforme necessarie per l’ingresso nell’UE, esortando gli attori politici a favorirne non solo la libera partecipazione, ma anche un pieno coinvolgimento nel processo di elaborazione delle politiche. Anche qui, viene segnalato pieno supporto all’unità del paese da parte dell’UE, questa volta, con implicito riferimento alle due autoproclamatesi indipendenti repubbliche filorusse dell’Abkhazia e dell’Ossezia del Sud. Il Consiglio, infine, si attende un significativo miglioramento nell’allineamento del paese con la PESC, anche in materia di misure restrittive.

Osservazioni conclusive

Il tema del futuro allargamento dell’Unione Europea riflette la più ampia prospettiva di transizione e ridefinizione degli equilibri globali. Mentre le recenti aperture dei negoziati con diversi Stati candidati stanno ad indicare un rinnovato interesse per l’allargamento, è altrettanto vero che le sfide e le complessità associate a questo processo richiedono un approccio più tecnico e più sofisticato rispetto al passato. In questo contesto, emerge la necessità di un focus approfondito sulle dinamiche geopolitiche e territoriali regionali e locali. Le recenti crisi e i mutamenti in atto nel contesto internazionale, come il conflitto russo-ucraino e quelli dello scacchiere del Mediterraneo orientale, sono però inevitabilmente destinati a tradursi in una perdurante tensione, fra volontà politica di progredire nella direzione della sicurezza e della difesa comune nei tempi brevi, e realtà delle discrasie economiche, strutturali e istituzionali tra gli Stati candidati e l’Unione che invece richiederebbero tempi più lunghi. Ancora una volta, il punto di equilibrio sarà una inevitabile soluzione di compromesso.

Download Article

[1] Con il termine enlargement fatigue si indica un fenomeno caratterizzato da una diminuzione dell’entusiasmo – se non da una più radicale riluttanza – da parte degli Stati membri e delle istituzioni a mettere in cantiere un’ulteriore espansione dell’Unione, motivata dalle non secondarie implicazioni economiche, politiche e culturali.

[2] Entrarono a far parte dell’UE nel 2004: Cipro, Estonia, Lettonia, Lituania, Malta, Polonia, Repubblica Ceca, Slovacchia, Slovenia e Ungheria. A questi 10 Stati seguirono Bulgaria e Romania nel 2007.

[3] A titolo esemplificativo, si veda il Regolamento (UE) 2023/2418 del Parlamento europeo e del Consiglio del 18 ottobre 2023 sull’istituzione di uno strumento per il rafforzamento dell’industria europea della difesa mediante appalti comuni (EDIRPA). È inoltre da menzionare la recente (marzo 2024) proposta della Commissione sulla Strategia industriale europea della difesa (EDIS). Per ulteriori informazioni si veda il nostro contributo al seguente LINK.

[4] Mentre storicamente la Commissione è sempre stata una grande sostenitrice dell’allargamento, gli Stati membri hanno adottato un approccio più cauto, preoccupati da tematiche quali la diluizione del potere all’interno delle istituzioni comunitarie, le modifiche al budget, i sussidi e gli interventi in favore degli Stati economicamente più deboli, ed i fenomeni migratori intra-UE in provenienza da questi ultimi.

[5] Per un approfondimento sui principali contenziosi bilaterali che coinvolgono gli Stati candidati si vedano le sezioni dedicate alla Turchia, ai Balcani occidentali e a Ucraina, Moldavia e Georgia del presente articolo.

[6] Il processo di state-building consiste nella necessità da parte dell’UE di preparare gli Stati candidati all’adesione attraverso il consolidamento e la promozione, oltre che di una solida economia di mercato, del rispetto di valori fondanti orizzontali, quali lo Stato di diritto, la democrazia e i diritti umani.

[7] In breve, essa corrisponde alla capacità dell’UE di aumentare il numero dei suoi Stati membri pur preservando un coerente ed efficiente funzionamento.

[8] Nella sua attuale configurazione istituzionale, l’UE incontrerebbe considerevoli criticità in una forma allargata a più di 30 Stati membri e, per tale ragione, il dibattito sulle riforme da attuarsi guardando a tale orizzonte è particolarmente acceso. Per un approfondimento, si veda la Comunicazione della Commissione (marzo 2024) disponibile al seguente LINK, nonché il Briefing del Servizio Ricerca del Parlamento europeo (EPRS) disponibile al seguente LINK. Brevemente, tra i principali temi in pole position: i) la necessità di intensificare i meccanismi di enforcementdello Stato di diritto; ii) l’eventuale ripensamento delle istituzioni comunitarie sia da un punto di vista esecutivo – modifica del processo di decision-making dell’Unione che riduca la portata del potere di veto in seno al Consiglio – sia da un punto di vista strutturale – ricalcolo e, se necessario, riduzione con inserimento di turnazioni per quanto riguarda i soggetti atti a rappresentare gli Stati membri all’interno delle istituzioni; iii) il budget dell’Unione necessiterebbe di essere ricalibrato, con particolare riferimento al Fondo di Coesione e al bilancio della Politica Agricola Comune (PAC).

[9] Commissione Europea 08.11.2023, Comunicazione dalla Commissione al Parlamento europeo, al Consiglio, al Comitato Economico e Sociale europeo e al Comitato delle Regioni, COM(2023) 690 final, Comunicazione 2023 sulla politica di allargamento dell’UE.

[10] L’Articolo 49 (TUE) recita: “Ogni Stato europeo che rispetti i valori di cui all’articolo 2 e si impegni a promuoverli può domandare di diventare membro dell’Unione. Il Parlamento europeo e i parlamenti nazionali sono informati di tale domanda. Lo Stato richiedente trasmette la sua domanda al Consiglio, che si pronuncia all’unanimità, previa consultazione della Commissione e previa approvazione del Parlamento europeo, che si pronuncia a maggioranza dei membri che lo compongono. Si tiene conto dei criteri di ammissibilità convenuti dal Consiglio europeo. Le condizioni per l’ammissione e gli adattamenti dei trattati su cui è fondata l’Unione, da essa determinati, formano l’oggetto di un accordo tra gli Stati membri e lo Stato richiedente. Tale accordo è sottoposto a ratifica da tutti gli Stati contraenti conformemente alle loro rispettive norme costituzionali”.

[11] Si veda il paragrafo I “Introduzione” della comunicazione della Commissione.

[12] Per un approfondimento sul contenuto dei singoli capitoli si veda il seguente LINK.

[13] I cluster sono: i) Fundamentals; ii) Internal market; iii) Competitiveness and inclusive growth; iv) Green agenda and sustainable connectivity; v) Resources, agriculture & cohesion e; vi) External relations. Per una più chiara rappresentazione grafica, si veda il seguente LINK.

[14] Consiglio dell’Unione Europea 12.12.2023, Conclusioni del Consiglio sull’allargamento, no. 16707/23. Per la sezione dedicata alla Turchia si vedano i punti da 54 a 64.

[15] Conclusioni del Consiglio, punto 64.

[16] Nel contesto dell’allargamento dell’UE, con il termine “Balcani occidentali” si intendono: Albania, Bosnia ed Erzegovina, Kosovo, Macedonia del Nord, Montenegro, Serbia. Ad essi si aggiungono, da un punto di vista geografico, Croazia, Grecia e Slovenia, entrate rispettivamente nell’Unione nel 2013, 1981 e 2004.

[17] Si veda il seguente LINK.

[18] Si veda il seguente LINK.

[19] Per un approfondimento sui progetti già conclusi e su quelli in svolgimento, si veda il seguente LINK.

[20] Per la sezione dedicata all’Albania si vedano i punti da 46 a 53 delle conclusioni del Consiglio.

[21] Per la sezione dedicata alla Bosnia ed Erzegovina si vedano i punti da 65 a 80 delle conclusioni del Consiglio.

[22] Come disposto dagli Accordi di Dayton (1995), la Bosnia ed Erzegovina ha conservato il territorio appartenuto in precedenza alla Repubblica federativa iugoslava di Bosnia ed Erzegovina, tuttavia, esso è stato suddiviso in due entità amministrative distinte: da un lato, la Federazione di Bosnia ed Erzegovina a maggioranza croato-musulmana e, dall’altro, la Repubblica Serba di Bosnia ed Erzegovina (Republika Sprska) a maggioranza serba. Quest’ultima occupa il 49% del territorio dell’intera Bosnia ed Erzegovina e include il 33% della sua popolazione.

[23] Per la sezione dedicata al Montenegro si vedano i punti da 15 a 22 delle conclusioni del Consiglio.

[24] Per la sezione dedicata alla Macedonia del Nord si vedano i punti da 39 a 45 delle conclusioni del Consiglio.

[25] Per la sezione dedicata alla Serbia si vedano i punti da 23 a 38 delle conclusioni del Consiglio.

[26] Per la sezione dedicata al Kosovo si vedano i punti da 81 a 93 delle conclusioni del Consiglio.

[27] In particolare: Cipro, Grecia, Romania, Spagna e Slovacchia.

[28] Per la sezione dedicata all’Ucraina si vedano i punti da 94 a 104 delle conclusioni del Consiglio.

[29] Per la sezione dedicata alla Moldavia si vedano i punti da 105 a 116 delle conclusioni del Consiglio.

[30] Per la sezione dedicata alla Georgia si vedano i punti da 117 a 123 delle conclusioni del Consiglio.

The post VERSO UN NUOVO ORIZZONTE DELLE POLITICHE DI ALLARGAMENTO DELL’UNIONE EUROPEA? appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

COMMISSIONE EUROPEA SOTTO ESAME. IL PROVVEDIMENTO CORRETTIVO DEL GARANTE EUROPEO SU MICROSOFT 365

marketude — Thu, 04 Apr 2024 16:35:02 +0000

In data 11 marzo 2024, il Garante Europeo della Protezione dei Dati (GEPD)^[1] ha emanato un provvedimento^[2] nei confronti della Commissione europea nel quale ha individuato, riguardo l’utilizzo di Microsoft 365^[3], diverse violazioni del Regolamento (UE) 1725/2018, “sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati”, noto come “GDPR for EUIs” (da ora, il “Regolamento”)^[4].

L’indagine alla base, mirata a verificare il corretto recepimento delle Raccomandazioni pubblicate nel 2020 dal GEPD sull’uso da parte delle istituzioni dell’Unione dei prodotti e servizi Microsoft^[5], era stata avviata nel maggio 2021 in seguito alla sentenza della Corte di Giustizia dell’Unione Europea (CGUE) c.d. Schrems II^[6].

In breve, tale controversia riguardava la non conformità di una c.d. decisione di adeguatezza – un atto con il quale la Commissione europea classifica il livello di protezione dei dati personali da parte di un Paese terzo come avente le adeguate garanzie per attuare il trasferimento – adottata nei confronti degli Stati Uniti, che autorizzava il trasferimento nel paese di dati provenienti dallo Spazio Economico Europeo (SEE).

Tra le violazioni individuate dal GEPD, la Commissione europea, identificata come titolare del trattamento, ha mancato di adempiere all’obbligo, sulla base degli articoli 4 e 29 del Regolamento, di determinare con precisione quali dati possono essere trasferiti, per quali finalità e in quali Paesi terzi. Infatti, le c.d. istruzioni documentate sulla base delle quali Microsoft – identificata quale responsabile del trattamento – avrebbe dovuto attenersi ed essere sorvegliata dalla Commissione, non sono state considerate come sufficientemente chiare e precise dal GEPD.

Vi sono inoltre inadempienze riguardo gli articoli 4, 46 e 48 del Regolamento in proposito al trasferimento di dati personali in Paesi terzi al di fuori dello SEE che garantiscono un livello di protezione sostanzialmente equivalente a quello previsto dal Regolamento. Anche in questo caso, ciò sarebbe da imputare all’imprecisione ed alla povertà contenutistica evidenziate dal GEPD nel contratto siglato con Microsoft dalla Commissione.

È interessante notare come, prima dell’accordo USA-UE sul trasferimento di dati personali (Data Privacy Framework EU-US, entrato in vigore il 23 luglio 2023)^[7], la Commissione abbia mancato di verificare se fosse necessario predisporre “misure di sicurezza supplementari”, vale a dire specifiche misure tecniche, organizzative o contrattuali in grado di colmare il gap tra il livello di protezione richiesto dall’Unione e quello, più basso, garantito dal paese di destinazione del dato.

Nemmeno le Clausole Contrattuali Standard (CCS)^[8] inserite dalla Commissione europea sono state ritenute sufficienti, poiché non chiare, non esaustive e non preventivamente sottoposte all’approvazione del GEPD così come richiesto dall’art. 48(3)(a) del Regolamento.

Allo stesso modo, gli accordi non sono trasparenti in merito ai sub-fornitori di Microsoft che potrebbero entrare in contatto con i dati personali e, pertanto, è stato rilevato come la Commissione non possa esercitare quel controllo che sarebbe previsto dal Regolamento, tra cui garantire un’adeguata protezione ai dati oppure assicurarsi che i medesimi siano esclusivamente trattati nei limiti delle sue istruzioni.

Tutto ciò considerato, il GEPD ha ordinato alla Commissione europea, a partire dal 9 dicembre 2024, di sospendere tutti i flussi di dati relativi all’utilizzo di Microsoft 365 verso Microsoft e le società affiliate che si trovano in Paesi al di fuori dello SEE nei confronti dei quali non si applica una decisione di adeguatezza.

Inoltre, entro la suddetta data, il trattamento dei dati derivanti dall’utilizzo di Microsoft 365 deve essere regolarizzato tramite, in primo luogo, una precisa mappatura che identifichi quali dati personali vengono trasferiti, verso quali Stati, quali sono le finalità del trattamento e quali sono le garanzie di protezione previste. Secondariamente, viene prescritto di garantire, mediante disposizioni contrattuali concluse ai sensi dell’articolo 29, paragrafo 3, del Regolamento e di altre misure organizzative e tecniche, che: i) tutti i dati personali siano raccolti per scopi espliciti e specificati; ii) le categorie di dati personali siano sufficientemente determinate rispetto agli scopi per cui vengono trattati; iii) qualsiasi trattamento da parte di Microsoft, di sue controllate o di sub-fornitori sia effettuato solo in base alle istruzioni documentate della Commissione; iv) nessun dato personale sia ulteriormente trattato in modo non compatibile con gli scopi per cui è stato raccolto.

Il GEPD ha ordinato alla Commissione europea di dimostrare di aver adempiuto agli ordini di cui sopra entro il 9 dicembre 2024. Tale termine è stato individuato dal GEPD come risultato di un bilanciamento tra la gravità della violazione e la necessità di non compromettere il funzionamento dell’istituzione.

La vicenda in esame riporta in auge un tema già ampiamente dibattuto. L’Unione Europea, leader nell’implementare adeguate protezioni per la privacy dei cittadini, si trova spesso di fronte a contesti meno garantisti in altri Stati. In un panorama di rapida evoluzione politica ed economica, il controllo sui dati imposto dall’Unione si scontra talvolta con dinamiche socioeconomiche di altri paesi che non hanno implementato sistemi normativi così sofisticati, determinando un bilanciamento inadeguato tra la tutela della privacy e le altre esigenze in gioco.

Resta un tema aperto che potrebbe fornire ulteriori spunti, specialmente considerando che, nel luglio del 2023, l’avvocato e attivista Max Schrems ha indicato la possibilità di nuove questioni giuridiche da affrontare davanti alla Corte di Giustizia all’inizio dell’anno successivo. NOYB^[9] ha già predisposto varie opzioni procedurali per contestare il Data Privacy Framework EU-US^[10], e l’organizzazione ha dimostrato di agire rapidamente: il caso Schrems II è stato presentato nel 2015, pochi mesi dopo la decisione di Schrems I e prima che il Privacy Shield UE-USA venisse formalmente adottato.

Download Article

[1] Il Garante europeo è un’autorità di sorveglianza indipendente che assicura il rispetto delle norme in materia di privacy da parte delle istituzioni e degli organi dell’Unione Europea.

[2] Provvedimento dell’11.03.2024 n. EDPS/2024/05, si veda il seguente LINK.

[3] Microsoft 365 è una suite di servizi e applicazioni cloud offerta da Microsoft che, tra gli altri, include strumenti come Office, Outlook, Teams e OneDrive.

[4] GU L 295/39 del 21.11.2018.

[5] EDPS Public Paper on: Outcome of own-initiative investigation into EU institutions’ use of Microsoft product and services, si veda il seguente LINK.

[6] CGUE 16.07.2020, Causa C-311/18, Facebook Ireland e Schrems.

[7] Per ulteriori informazioni si veda il seguente LINK.

[8] Le Clausole Contrattuali Standard sono strumenti legali utilizzati, in assenza di una decisione di adeguatezza, per facilitare il trasferimento dei dati da un Paese SEE a un Paese terzo che non è considerato in linea con gli standard di protezione dei dati personali europei. In particolare, esse sono un set di regole contrattuali standardizzate che le organizzazioni possono incorporare nei loro contratti per garantire che i dati personali trasferiti all’estero siano conformi alla normativa europea in materia di protezione degli stessi.

[9] Noyb è un’organizzazione senza scopo di lucro con sede a Vienna, fondata nel 2017. Guidata dall’avvocato austriaco e attivista per la privacy Max Schrems, essa mira ad instaurare casi giudiziari strategici e iniziative mediatiche a sostegno del GDPR.

[10] Per ulteriori informazioni, si veda il nostro precedente contributo al seguente LINK.

The post COMMISSIONE EUROPEA SOTTO ESAME. IL PROVVEDIMENTO CORRETTIVO DEL GARANTE EUROPEO SU MICROSOFT 365 appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

L’UNIONE EUROPEA FRENA SULLA SOSTENIBILITÀ AZIENDALE: LA DIRETTIVA CSDD VERSO IL VOTO FINALE, MA RIDIMENSIONATA

marketude — Tue, 26 Mar 2024 11:36:12 +0000

In data 15 marzo 2024, con il voto espresso dal Comitato dei rappresentanti permanenti dei governi degli Stati membri presso l’Unione europea (COREPER), il Consiglio Europeo ha de facto dato il via libera alla direttiva sul dovere di diligenza in materia di sostenibilità aziendale (Corporate Sustainability Due Diligence Directive, CSDDD)^[1].

La proposta, che era stata presentata il 23 febbraio 2022 dalla Commissione Europea, nasce come risposta dell’Unione alle istanze della società civile nella direzione di una maggiore accountability delle imprese al fine di limitare le esternalità negative, ricomprendenti questioni relative ai diritti umani, al lavoro minorile, l’inadeguatezza delle condizioni di igiene e sicurezza sul lavoro, nonché gli impatti ambientali quali le emissioni di gas a effetto serra, l’inquinamento, la perdita di biodiversità e il degrado degli ecosistemi.

Muovendo da questi intenti, il 14 dicembre 2023 era stato raggiunto, in occasione dei triloghi, l’accordo tra Consiglio e Parlamento Europeo^[2], che confezionava un insieme di regole apparentemente definitive, nell’attesa dell’ultimo semaforo verde dato dall’approvazione finale.

Sulla base di detto accordo, la direttiva si sarebbe applicata nei confronti delle imprese dell’Unione e delle Società controllanti con oltre 500 dipendenti e un fatturato mondiale superiore a 150 milioni di euro, nonché alle imprese con oltre 250 dipendenti e con un fatturato superiore a 40 milioni di euro se, di questi, almeno 20 milioni sono generati in uno dei seguenti settori merceologici ad elevato impatto di sostenibilità ambientale: produzione e commercio all’ingrosso di tessuti, abbigliamento e calzature, agricoltura (inclusa silvicoltura e pesca), produzione di alimenti e commercio di materie prime agricole, estrazione e commercio all’ingrosso di risorse minerali o produzione di prodotti correlati e costruzioni.

Su queste premesse, tali imprese dovrebbero, ai sensi della direttiva, identificare, valutare, prevenire, mitigare, porre fine e rimediare al loro impatto negativo e a quello dei loro partner commerciali a monte e a valle, compresa la produzione, la fornitura, il trasporto e lo stoccaggio, il design e la distribuzione^[3]. A tal fine, occorrerebbe realizzare investimenti, ottenere garanzie contrattuali dai partner, migliorare il business plan e fornire supporto ai partner delle piccole e medie imprese^[4].

Tuttavia, a dispetto dell’imminente cambiamento “epocale” nelle attività di compliance a carico delle imprese, la direttiva è stata significativamente ridimensionata con il testo votato dal COREPER^[5], come risultato di un necessario compromesso politico^[6].

In primis, l’ambito di applicazione della direttiva è stato ristretto, e ora riguarderà solo le imprese con 1.000 dipendenti e con un fatturato pari o superiore a 450 milioni di euro. Stando alle stime della European Coalition for Corporate Justice (ECCJ), mentre la bozza originaria della direttiva CSDD avrebbe riguardato 16.000 imprese, la bozza attuale ne coprirebbe ora meno di 5.500.

In secondo luogo, la direttiva non prevede più una soglia inferiore di dipendenti per i settori merceologici, come quello agricolo, che hanno un maggiore impatto sull’ambiente. L’accordo ha peraltro ridotto le attività che saranno soggette agli obblighi di due diligence, eliminando lo smaltimento, lo smontaggio e il riciclaggio dei prodotti, nonché il compostaggio e la discarica.

Viene introdotto un approccio graduale, che prevede per le aziende con 5.000 dipendenti e un fatturato annuo di 1.500 milioni di euro un processo di applicazione di tre anni; per le aziende con 3.000 dipendenti e un fatturato di 900 milioni di euro quattro anni; per le aziende con 1.000 dipendenti e un fatturato di 450 milioni di euro cinque anni.

Infine, la definizione di catene di fornitura (supply chain) è stata ristretta: le imprese devono svolgere la due diligence solo sulle aziende con cui hanno un rapporto contrattuale “diretto”.

La direttiva sarà ora sottoposta al Parlamento europeo, il quale si riunirà nell’ultima sessione plenaria prima delle elezioni di giugno, dal 23 al 25 aprile. L’approvazione all’interno di questo deve passare attraverso la commissione per gli affari legali, comunemente nota come JURI. Nonostante si preveda un via libera, è da considerarsi la “volatilità” ed imprevedibilità dell’iter fino ad ora, tale per cui nulla è certo fino a quando non verrà effettuato il voto finale.

Il ridimensionamento della direttiva CSDD rappresenta un punto di svolta significativo nel percorso verso una maggiore responsabilità sociale delle imprese nell’Unione Europea. Se da un lato il compromesso politico che ha portato a questa riduzione del campo di applicazione potrebbe essere interpretato come un passo indietro nella lotta alla sostenibilità aziendale, dall’altro offre spunti interessanti di riflessione sul difficile equilibrio tra esigenze economiche e sociali: la decisione di rivedere al ribasso i criteri di applicazione della direttiva, potrebbe essere infatti vista come una mossa per ridurre l’onere normativo sulle imprese, soprattutto sulle PMI, permettendo loro di concentrarsi su aree specifiche di impatto ambientale e sociale. Tuttavia, ciò solleva interrogativi sulla reale influenza che tali regole potranno avere sulle pratiche aziendali.

Download Article

[1] COM(2022) 71 final del 23 febbraio 2022, Proposta di Direttiva del Parlamento Europeo e del Consiglio relativa al dovere di diligenza delle imprese ai fini della sostenibilità e che modifica la direttiva (UE) 2019/1937, detta Corporate Sustainability Due Diligence Directive (CSDDD).

Per ulteriori informazioni si veda il nostro precedente contributo al seguente LINK.

[2] Per ulteriori informazioni si veda il seguente LINK.

[3] La direttiva introduce il concetto di due diligence aziendale al fine di integrare la sostenibilità nei modelli di governance societaria e produrre una gestione responsabilizzata in tema di impatto ambientale e sociale. Per due diligence si intende un approccio basato sul rischio, per il quale alle imprese verrebbe chiesto di porre in essere politiche proporzionali e commisurate alla probabilità e alla gravità di un potenziale impatto negativo sulla società e sull’ambiente, identificando i fattori di rischio e le singole relazioni d’affari a rischio più elevato, ed adottando misure adeguate a cercare di prevenire o mitigare gli effetti negativi.

[4] In tal senso, la direttiva, nella sua versione originaria, faceva riferimento all’intera supply chain e non soltanto agli impianti produttivi o agli asset direttamente controllati, ricomprendendo così tutte le attività di procurement, produzione, stoccaggio e distribuzione. La definizione di catena del valore e l’ampiezza del concetto di supply chain è un altro punto-chiave controverso: la decisione adottata dal Parlamento Europeo, in direzione estensiva, includeva una parte del segmento a valle delle catene del valore, in quanto una definizione più ristretta e limitata alla catena di approvvigionamento avrebbe escluso i servizi finanziari, i cui impatti negativi sono per lo più legati alle loro attività a valle. Dunque, comprendendo anche i rischi presentati dalle supply chain in chiave di risk management, rilevano la valutazione e il controllo delle attività dei fornitori, con potenziale ripensamento delle operazioni e delle modalità organizzative. Peraltro, se è vero che le piccole e medie imprese sono formalmente escluse dagli obblighi della direttiva, occorre notare che le relazioni con le imprese che vi sono soggette implicheranno oneri e correlativi costi anche per le PMI che fanno parte della filiera globale.

[5] Per la consultazione del nuovo testo, si veda il seguente LINK.

[6] In febbraio 2024, la direttiva era stata tolta dall’ordine del giorno dell’incontro dei rappresentanti permanenti presso l’Unione, poiché non si prevedeva che raggiungesse la maggioranza qualificata, dopo che la Germania aveva deciso di non sostenere la direttiva per preoccupazioni di carattere burocratico e amministrativo, in particolare per l’impatto che questa avrebbe sulle imprese. Peraltro, anche l’Italia aveva successivamente ritirato il suo sostegno, accompagnata da un tentativo dell’ultimo minuto della Francia di ridurre significativamente la portata delle nuove regole solo alle più grandi imprese dell’Unione, portando la presidenza belga del Consiglio nelle ultime settimane a cercare di raggiungere un compromesso per ottenere il sostegno sufficiente degli Stati membri per far avanzare la nuova direttiva.

The post L’UNIONE EUROPEA FRENA SULLA SOSTENIBILITÀ AZIENDALE: LA DIRETTIVA CSDD VERSO IL VOTO FINALE, MA RIDIMENSIONATA appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

INTELLIGENZA ARTIFICIALE E DIRITTO D’AUTORE: CREATIVITÀ O “FURTO DI MASSA”?

marketude — Thu, 21 Mar 2024 14:24:10 +0000

Cosa succede quando intelligenza artificiale e diritto d’autore si scontrano? Scopriamo il ruolo della AI nella creazione (o no) di contenuti e i limiti della protezione legale. In evidenza, il caso Ny Times vs OpenAI (ChatGpt)

Articolo di Roberto A. Jacchia, Alessandro Foti, e Federico Aluigi pubblicato su We Wealth

Download Article

The post INTELLIGENZA ARTIFICIALE E DIRITTO D’AUTORE: CREATIVITÀ O “FURTO DI MASSA”? appeared first on Studio Legale De Berti Jacchia Franchini Forlani.