FAQ sull’obbligo di green pass dei lavoratori in seguito all’entrata in vigore del c.d. “decreto green pass-bis” (D.L. 127/2021) con focus sugli adempimenti privacy del datore di lavoro in fase di verifica della Certificazione verde Covid-19

Il legislatore con l’obiettivo di tutelare la salute e la sicurezza sui luoghi di lavoro, ed evitare una nuova interruzione delle attività lavorative ha introdotto con il D.L. 127/2021 l’obbligo – a partire dal 15 ottobre 2021 fino al 31 dicembre 2021 – per chiunque svolga un’attività lavorativa, sia nel settore pubblico che privato, sul territorio nazionale, di possedere la certificazione verde Covid-19 (“green pass”). 

Per chi è obbligatorio il green pass? 

Tutti i soggetti che svolgono, a qualsiasi titolo, un’attività lavorativa o di formazione o di volontariato, anche sulla base di contratti esterni devono essere in possesso di green pass per poter accedere ai luoghi di lavoro. 

Le uniche esenzioni riguardano i soggetti esenti dalla campagna vaccinale (individuabili grazie ai criteri fissati nella circolare ministeriale 0035309-04/08/2021). I soggetti in questione dovranno essere in grado di produrre idonea certificazione medica comprovante il diritto di esenzione dagli obblighi sin qui esaminati.

È possibile far lavorare in modalità home-working i dipendenti non muniti di green pass? 

No, le “FAQ” del Governo sul punto sono chiare, le modalità di smart-working/home-working non possono essere utilizzate per eludere l’obbligo di green pass.

Quali sono gli obblighi del datore di lavoro?

Entro il 15 ottobre 2021 il datore di lavoro è tenuto ex art. 5 D.L. 52/2021 novellato dal D.L. 127/2021 a definire le modalità operative per l’organizzazione della verifica, anche a campione, dei green pass dei lavoratori dipendenti, prevedendo ove possibile, che tali controlli siano effettuati al momento di accesso ai luoghi di lavoro. 

Chi sono gli addetti ai controlli del green pass? 

Il datore di lavoro è tenuto ad individuare il soggetto/ i soggetti incaricati delle attività di verifica. I soggetti così incaricati devono essere espressamente nominati, ex art. 29 GDPR e 2-quaterdecies del Codice Privacy, quali persone autorizzate al trattamento di dati personali.

È possibile incaricare del controllo green pass un soggetto esterno?

Sì, il datore di lavoro può esternalizzare tale attività, tuttavia in tal caso dovrà provvedere a sottoscrivere con la società incaricata di eseguire le attività di verifica apposito contratto di nomina a responsabile esterno del trattamento dei dati ai sensi dell’art. 28 GDPR, che disciplini anche il ruolo di eventuali soggetti autorizzati e/o sub-responsabili del trattamento. 

Nel caso di distacco del lavoratore dipendente, chi è il soggetto onerato del controllo del green pass? 

L’onere di verificare il regolare possesso del green pass del lavoratore grava sul soggetto presso cui l’attività lavorativa è effettivamente svolta (distaccatario) e non sul datore di lavoro (distaccataccante).

Quando è opportuno optare per una verifica a campione del green pass? 

È opportuno scegliere una simile modalità di controllo unicamente nei casi in cui per il datore di lavoro sia eccessivamente oneroso organizzare il controllo del green pass di tutti i dipendenti al momento di accesso al luogo di lavoro. (es. aziende con più di 50 dipendenti, aziende con lavoratori che prestano servizi domiciliari, che svolgono mansioni lontano dalla sede aziendale). 

È corretto redigere dei verbali al fine di dimostrate di aver adempiuto all’obbligo dei controlli? 

No, il datore di lavoro non può in alcun modo trattare i dati dei soggetti sottoposti a controllo, nemmeno a mezzo di verbalizzazione, eccezion fatta per i casi di violazione da parte del lavoratore dell’obbligo di possesso di un valido green pass. Attraverso le istruzioni circa le modalità di controllo, il datore di lavoro deve garantire che gli incaricati non trattino in alcun modo i dati oggetto di verifica, ivi compresa la circostanza che un determinato soggetto è stato sottoposto a controllo. 

Se in seguito ad accertamento da parte dell’Autorità competente un dipendente viene trovato sprovvisto di green pass il datore di lavoro è soggetto a sanzione? 

Le “FAQ” del Governo hanno specificato che nulla può essere contestato al datore di lavoro se i controlli a campione sono stati effettuati nel rispetto di adeguati modelli organizzativi. 

Come dev’essere effettuato il controllo del green pass?

Il soggetto incaricato “verificatore” è tenuto a effettuare il controllo unicamente mediante l’app VERIFICAC19. L’app consente di verificare il possesso di un valido green pass, senza memorizzare informazioni personali dell’interessato sul dispositivo del verificatore. L’app, inoltre, può essere usata anche offline. 

È possibile verificare green pass emessi da autorità di altri paesi dell’UE?

Sì, l’app VERIFICAC19 permette di controllare la validità dell’EU Digital Covid Certificate (green pass) emesso da altri paesi facenti parte dell’UE.

Il datore di lavoro può farsi inviare via e-mail i QR code del green pass dai dipendenti e conservare tale dato? 

No, il datore di lavoro non può conservare alcun dato relativo al possesso/validità del green pass. Il controllo dev’essere effettuato regolarmente, attraverso l’app VERIFICAC19, al fine di evitare l’ingresso sul luogo di lavoro di soggetti con un green pass non più valido. Il controllo mediante l’app VERIFICAC19 comporta un trattamento di dati del dipendente limitato a nome, cognome, data di nascita e validità o meno del green pass, il datore di lavoro non può effettuare nessun ulteriore trattamento di dati del dipendente.

È possibile conservare i QR code del green pass dei dipendenti nel caso in cui abbiamo prestato esplicito consenso?

No, il datore di lavoro non può in alcun caso trattare, conservare e/o comunicare a terzi dati relativi al valido possesso del green pass dei lavoratori dipendenti. Il datore di lavoro non può considerare lecito il trattamento di tali dati sulla base del consenso dei dipendenti, in quanto il consenso non può costituire una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (ex Considerando 43 del GDPR).

Il datore di lavoro è tenuto a predisporre e mettere a disposizione dei lavoratori dipendenti un’apposita informativa privacy relativa al controllo del green pass?

Sì, il verificatore nel momento in cui effettua la scansione del QR code di ciascun lavoratore effettua un trattamento limitatamente alle informazioni necessarie ad accertare la validità del green pass, quali nome e cognome e data di nascita, senza tuttavia provvedere alla memorizzazione di queste sul dispositivo del verificatore. Il datore di lavoro, dunque, in quanto titolare di tale trattamento, è tenuto a comunicare la base giuridica e la finalità di quest’ultimo mediante un’apposita informativa privacy. 

È necessario aggiornare il registro delle attività di trattamento?

Sì, il datore di lavoro, in qualità di titolare del trattamento, è tenuto ad inserire nel registro delle attività di trattamento di cui all’art. 30 GDPR, il trattamento di verifica del green pass. Tenendo in ogni caso presente che i dati ottenuti nell’ambito di tale trattamento non potranno in alcun modo essere oggetto di conservazione e/o comunicazione, salvo sia diversamente ed espressamente indicato dalla legge. 

Quali sono le conseguenze del mancato possesso del green pass in un’impresa con 15 o più dipendenti? 

Nel caso in cui i lavoratori risultino privi di green pass al momento dell’accesso al luogo di lavoro sono considerati assenti ingiustificati fino alla presentazione della predetta certificazione senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro.

Quali sono le conseguenze del mancato possesso del green pass in un’impresa con meno di 15 dipendenti?

I lavoratori dipendenti di un’impresa con meno di 15 dipendenti sono considerati assenti ingiustificati dal primo giorno in cui vengono trovati privi di idoneo green pass fino alla nuova presentazione. Dopo il quinto giorno di assenza ingiustificata il rapporto di lavoro può essere sospeso dal datore di lavoro e quest’ultimo potrà stipulare un nuovo contratto a tempo determinato in sostituzione. La sospensione prevede la sospensione dell’obbligo retributivo per la durata del contratto sostitutivo, in ogni caso non superiore a 10 giorni e rinnovabile una sola volta (comunque non oltre i 31 dicembre 2021), senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro.

Nei giorni di assenza ingiustificata il lavoratore dipendente ha diritto alla retribuzione? 

No, per i giorni di assenza ingiustificata non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominato. 

Quali sono le sanzioni per i lavoratori trovati senza green pass? 

In caso di accertamento da parte dell’Autorità competente il lavoratore trovato senza valido green pass sul luogo di lavoro (salvo i soggetti esentati da tale obbligo) è soggetto a conseguenze disciplinari nonché a sanzione amministrativa da euro 600,00 a 1.500,00 erogata dal Prefetto.

Sono previste sanzioni anche per il datore di lavoro?

Nel caso in cui il datore di lavoro non abbia provveduto ad effettuare i dovuti controlli, anche a campione, nel rispetto del modello organizzativo adottato, la normativa prevede una sanzione amministrativa da euro 400,00 a euro 1.000,00.

LegalLAB® sigla una partnership con LABLAW

Bolzano, 8 aprile 2021

Con questa partnership LegalLAB® e LabLaw costituiscono a Milano e Bolzano un vero e proprio polo della consulenza aziendale che dalla privacy e data protection, IT, compliance e governance aziendale, si estende anche al diritto del lavoro, sia in ambito nazionale che internazionale.

Nella sede di Bolzano opererà il team di avvocati specialisti guidato dai founding partners di LegalLAB, Eduardo Guarente e Loredana Romolo, nonché l’avv. Alessandro Paone, equity partner di LabLaw e of counsel di LegalLAB, unitamente al german desk di LabLaw presidiato dal senior partner di madrelingua tedesca, Laura Cinicola.

La partnership con LabLaw nasce con l’obiettivo di offrire una consulenza con un orizzonte più ampio”, afferma Eduardo Guarente“Con LabLaw la nostra organizzazione non accresce soltanto la propria dimensione con l’intento di consolidare la sua posizione sul mercato, ma integra la propria expertise con quelle in ambito labour di LabLaw, studio legale associato di elevato standing a livello nazionale”. “Questa partnership ci consentirà di offrire una consulenza specialistica, flessibile e multidisciplinare, in grado di soddisfare le esigenze delle aziende in maniera pragmatica e tempestiva con un team che parla fluentemente italiano, tedesco e inglese”, sottolinea Loredana Romolo. “Siamo orgogliosi che LabLaw abbia deciso di investire nel territorio ed abbia deciso di condividere l’iniziativa con LegalLAB® “.

Per Alessandro Paone, regista dell’iniziativa, “Era da tempo che guardavamo con interesse al territorio del Trentino Alto-Adige, e dopo alcune esperienze di assistenza di aziende locali, abbiamo maturato la convinzione che vi fossero tutte le condizioni per stabilirci avendo trovato colleghi che condividono con noi lo spirito di iniziativa, la voglia di crescita e soprattutto puntano alla massima qualità ed eccellenza dei servizi offerti”. Sul piano del business Paone precisa “si tratta di un territorio particolare, in cui prevale ancora il desiderio dell’imprenditore di poter godere di una relazione diretta con il proprio avvocato ed il suo studio, una metodologia che noi applichiamo con successo da tempo nelle nostre sedi, merito dell’esperienza al fianco di grandi gruppi a conduzione familiare che abbiamo arricchito con una componente di novità ovvero con un approccio sì diretto, taylor made e familiare, ma integrato con quello strutturato di una grande law firm. In questo modo le aziende potranno ottenere dallo Studio una assistenza completa, a tutto tondo, in ogni materia coperta, e cioè diritto del lavoro, privacy, compliance e gestione della governance”.

Trattamento dei dati relativi alla vaccinazione Covid-19 nel contesto lavorativo in ambito privato.

di Consuelo Leonardi

In Italia la campagna vaccinale contro il Covid-19 si trova ancora in una fase iniziale e il mondo imprenditoriale non è stato finora coinvolto, tuttavia le domande e i dubbi che circolano all’interno delle aziende, e non solo, sono molteplici. 

La dottrina, giuslavoristica in particolare, ma non solo, ha tentato di trovare risposte ai diversi interrogativi sollevati dalla vaccinazione nel contesto lavorativo, che spaziano dall’eventuale obbligatorietà della vaccinazione per la generalità dei dipendenti ovvero per determinate categorie e/o settori, alla corretta gestione e trattamento dei dati personali sulla vaccinazione. 

L’Autorità Garante per la Privacy, con nota del 17 febbraio 2021, ha ritenuto necessario fornire uno strumento utile ai titolari delle aziende, nonché Enti e Amministrazioni pubbliche per la corretta applicazione della disciplina della normativa applicabile (Regolamento UE 2016/679 “GDPR” e D.lgs. 196/2003 novellato dal D.lgs. 101/2018) nell’ambito della gestione e del trattamento dei dati personali relativi alla vaccinazione in ambito lavorativo. A riguardo, il Garante ha pubblicato sul sito www.gpdp.it delle FAQ, al fine di fornire indicazioni e suggerimenti per il legittimo e corretto trattamento dei suddetti dati cd. “particolari” ai sensi dell’art. 9 GDPR. 

I quesiti a cui risponde il Garante sono i seguenti:

Il Datore di lavoro (inteso ai sensi del D.Lgs. 81/2008):

  1. può chiedere conferma direttamente ai propri dipendenti dell’avvenuta vaccinazione?
  2. può chiedere al medico competente i nominativi dei dipendenti vaccinati? 
  3. può chiedere ai propri dipendenti di vaccinarsi contro il Covid-19 per accedere ai luoghi di lavoro e per svolgere determinate mansioni?

In merito al primo quesito il Garante si pronuncia negativamente. La richiesta di informazioni da parte del Datore di lavoro al dipendente sull’avvenuta vaccinazione e/o la richiesta di consegnare una copia della documentazione comprovante la stessa non è consentito né dalle disposizioni dell’emergenza sanitaria, né dalla normativa in materia di tutela della salute e della sicurezza nei luoghi di lavoro. Inoltre, il trattamento dei dati in questione da parte del datore di lavoro non può essere reputato lecito sulla base del consenso del dipendente, ex art. 9 GDPR, in quanto il Considerando n. 43 del GDPR precisa che il consenso non possa rappresentare una valida base del trattamento ogniqualvolta vi sia un “evidente squilibrio tra l’interessato e il titolare del trattamento”, come nel rapporto tra Datore di lavoro e dipendente. Un simile squilibrio pregiudica, infatti, la libera espressione del consenso.

Il Garante assume una posizione prudenziale anche in riferimento al secondo quesito. Difatti, solo il Medico competente nominato dall’azienda può legittimamente trattare i dati sanitari dei lavoratori, ivi comprese le informazioni relative alla vaccinazione contro il Covid-19. Trattamento, consentito al medico, unicamente nell’ambito delle attività, indicate dagli artt. 25, 39 comma 5, e 41 comma 4, del D.lgs. 81/2008, di sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica del lavoratore. Pertanto, la richiesta del Datore di lavoro di ricevere informazioni dal medico competente in merito allo stato della vaccinazione dei propri dipendenti non è consentita in base alla Normativa applicabile. Il Medico competente, invece, dovrà fornire al Datore di lavoro i giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni del caso (ex art. 18 comma 1, lett. c), g) e bb) del D.lgs. 81/2008).

Il terzo interrogativo è indubbiamente più complesso, vista l’assenza, ad oggi, di interventi legislativi che stabiliscano l’obbligatorietà del vaccino contro il Covid-19 per poter svolgere determinate attività lavorative, eccezion fatta per l’art. 279 del D.lgs. 81/2008, che sempre su parere conforme del Medico competente, prevede l’adozione da parte del Datore di lavoro di “misure protettive particolari” come può essere il vaccino contro il Covid-19, per quei lavoratori ad esposizione diretta degli “agenti biologici” nell’ambito lavorativo. Allo stato attuale, quindi, solo nel contesto sanitario è possibile ipotizzare un obbligo vaccinale, tenuto conto dell’elevato rischio a cui sono esposti i lavoratori. 

In aggiunta, parte predominante della dottrina, ha precisato che un simile obbligo di vaccinazione, allo scopo di tutelare i lavoratori e gli utenti dell’impresa, non può trovare base normativa nell’art. 2087 del Codice civile, che sancisce l’obbligo in capo all’imprenditore di “adottare nell’esercizio dell’impresa le misure che, secondo le particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro,” poiché l’art. 32 della Costituzione stabilisce l’impossibilità di obbligare un soggetto “a un determinato trattamento sanitario se non per disposizione di legge.” 

Pertanto, fintantoché il legislatore non interviene con un provvedimento normativo specifico e dedicato alla vaccinazione contro il Covid-19, che raccolga la riserva di legge precisata nel dettato costituzionale, il Datore di lavoro non può richiedere ai propri dipendenti di sottoporsi a vaccino per poter accedere ai luoghi di lavoro. 

Si auspica che il legislatore provveda prontamente all’emanazione di linee guida e/o di disposizioni legislative al fine di agevolare il processo decisionale aziendale in materia e assicurare il rispetto della normativa giuslavoristica e concernente il trattamento dei dati personali.

Nelle more, si ricorda l’importanza di procedere, con il supporto del Medico competente, all’implementazione delle misure indicate nel “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” nel rispetto della normativa vigente in materia. 

Versione vademecum FAQ – Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo al link:ba389a97-5cc5-6bd5-fef7-debe613524c6 (garanteprivacy.it)

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica. 

LE CONSEGUENZE DELLA BREXIT IN MATERIA DI TRATTAMENTO E DI FLUSSO DEI DATI PERSONALI TRA PROBLEMATICHE E POSSIBILI SOLUZIONI

Autrice Dr.ssa Lisa Ilaria Maiorca

Il 24 dicembre 2020 è stato finalmente raggiunto un accordo di principio sugli scambi e la cooperazione (Trade and Cooperation Agreement – l’Accordo) tra l’Unione Europea e il Regno Unito.

A quasi quattro anni, infatti, dal fatidico Referendum con cui i cittadini britannici manifestarono la volontà di non voler più far parte dell’Unione Europea e a un anno dall’entrata in vigore dell’Accordo di Recesso del Regno Unito dall’Unione Europea, le parti sono giunte ad un Accordo in grado di creare uno spazio di cooperazione e di collaborazione non solo di carattere economico, ma anche sociale. 

L’obiettivo prefissato dall’Unione Europea è sempre stato quello di raggiungere degli accordi che permettessero l’uscita del UK in modo ordinato e graduale, in grado di tutelare i diritti dei cittadini e delle imprese, ma anche di disciplinare questioni molto delicate come quella irlandese. Non sorprende, quindi che il Trade and Cooperation Agreement sia stato raggiunto dopo lunghi negoziati e trattative.

Per far sì che l’uscita del Regno Unito fosse graduale, le parti hanno previsto nell’Accordo di Recesso un periodo di transizione, fino al 31 dicembre 2020, durante il quale – nonostante il UK fosse diventato Paese terzo – all’interno del Regno Unito avrebbe continuato a trovare applicazione gran parte dell’apparato normativo dell’Unione Europea e le parti si sarebbero impegnate a trovare un accordo per regolare gli aspetti riguardanti la cooperazione e gli scambi commerciali.

Se con l’Accordo di Recesso si stabilivano le modalità dell’uscita del Regno Unito dall’Unione Europea e si disciplinavano aspetti come i diritti delle persone che risedevano in UK, delle imprese che avevano una sede lì, e gli aspetti legati agli adempimenti degli obblighi finanziari della Gran Bretagna, con l’Accordo di Cooperazione le parti, invece, mirano alla creazione di uno spazio economico e sociale molto particolare.

L’Accordo raggiunto è strutturato in base a tre pilastri, in grado di dare vita ad una forma di partenariato in materia di libero scambio, di sicurezza dei cittadini e di governance nel lungo periodo. 

Tra le varie questioni da risolvere e tra i vari aspetti da regolamentare, rientra anche lo spinoso tema sul trattamento e trasferimento dei dati personali e sulla loro disciplina post Brexit. Il timore di molti era infatti quello che, formalizzata l’uscita della Gran Bretagna dall’Unione Europea, non si sarebbe più potuto, o sarebbe diventato molto complicato e rischioso, trasferire dati personali da e verso l’Unione Europea Moltissime sono infatti le aziende con sede in UK che quotidianamente trattano e trasferiscono dati personali verso altri paesi europei e viceversa. 

Questo timore è stato, per il momento scongiurato, in quanto l’Accordo prevede l’impegno da parte di Unione Europea e UK, di garantire il flusso di dati transfrontalieri – così da non gravare eccessivamente soprattutto sugli scambi con riferimento all’e-commerce – e di garantire un alto livello di protezione dei dati per un periodo di transizione di massimo sei mesi. Il periodo di transizione dà il tempo non solo alle imprese di adeguarsi alla nuova normativa, ma anche alla Commissione di predisporre una cd. decisione di adeguatezza. Se al termine di questo periodo non venisse predisposta questa dichiarazione, troverebbe applicazione la disciplina di trasferimento di dati verso Paesi Terzi contenuta nel Regolamento 679/2016 (GDPR) agli articoli 44 e seguenti. 

Non sono poche, infatti, le imprese che hanno una sede sia nell’Unione Europea che in Gran Bretagna e che  trattano e trasferiscono tra loro dati personali; queste hanno sei mesi per adeguarsi e per predisporre degli strumenti per essere compliant. Particolare problema non si pone per i dati provenienti dal UK verso l’Unione Europea, qui, infatti, è sempre comunque obbligatorio il rispetto del GDPR. Le problematiche si pongono nel caso inverso, ossia il trasferimento di dati dall’Unione al Regno Unito.

Per accompagnare le imprese in questa fase non proprio semplice le istituzioni europee e quelle britanniche hanno messo a disposizione dei tool e del materiale informativo ausiliario.

Entrando un po’ più nel merito, sul sito della Commissione Europea sono disponibili, oltre che degli avvisi riassuntivi  per ogni settore interessato maggiormente dalla Brexit (tra questi anche quello sui dati personali e sul loro trattamento/trasferimento), una flowchart in materia, utile per le aziende soprattutto nella fase iniziale di mappatura delle attività più esposte al rischio di non compliance e di sicurezza del trasferimento dei dati personali.

Flowchart: data transfers in the context of Brexit: PowerPoint Presentation (europa.eu)

Avvisi: Prepararsi alla fine del periodo di transizione | Commissione europea (europa.eu)

Mentre sul sito dell’Information Commission Officer (ICO) – l’organismo competente a far rispettare il Data Protection Act (DPA) della Gran Bretagna – è disponibile una piccola guida composta da cinque steps ciascuno corrispondente all’attività e/o alla procedura che le imprese dovrebbero predisporre e seguire  per essere alla fine del periodo di transizione compliant con la nuova disciplina.

Law enforcement processing: Five steps to take: law-enforcement-processing-5-steps-202001.pdf (ico.org.uk)

Sempre sul sito dell’ICO sono disponibili dei tool interattivi che forniscono un ausilio concreto alle aziende: un questionario per verificare il loro livello di compliance, dei draft e dei template  scaricabili, utili per la predisposizione delle clausole di protezione (SCCs). Queste SCCs o clausole contrattuali standard in quanto particolari tipi di contratti permettono alle parti contraenti – utilizzati in particolare dalle aziende con sedi dislocate al di fuori dell’Unione Europea – di regolamentare e regolare tutti gli aspetti e le condizioni riguardanti il trasferimento e il trattamento dei dati, così da raggiungere il livello di compliance richiesto dalla normativa.

Peraltro, l’ICO fornisce informazioni e strumenti diversificati sia per quanto riguarda le multinazionali o comunque i grandi gruppi, che le PMI.

Qui sotto i link che rimandano ai tool e agli strumenti messi a disposizione dell’ICO:

– Data Protection after the end of the transition period | ICO

– End of transition – interactive tool for small businesses | ICO

– Data protection after the end of the Brexit transition period for small businesses and organisations | ICO

– Keep data flowing from the EEA to the UK – interactive tool | ICO

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

LA PROPRIETÀ INTELLETTUALE: UN ASSET STRATEGICO PER START-UP E PMI INNOVATIVE

Autrice Dr.ssa Consuelo Leonardi

Per start-up e PMI innovative proteggere le idee alla base dell’investimento, già nelle fasi iniziali dell’attività mediante gli strumenti offerti dalla proprietà intellettuale – brevetti, marchi, design, know-how, nomi a dominio, diritto d’autore – costituisce uno strumento fondamentale a disposizione degli obiettivi strategici dell’impresa.

La situazione di scarsa liquidità che caratterizza il maggior numero di start-up nei primi anni di vita, porta spesso gli imprenditori a trascurare la proprietà intellettuale, ritenendola unicamente un costo. Tuttavia, proprio l’idea innovativa è ciò che spinge gli start-upper a sostenere ingenti investimenti per poterla realizzare e unicamente un’adeguata strategia di tutela di queste consentirà alla start-up di mantenere il vantaggio competitivo acquisito con l’innovazione e attrarre così maggiori investimenti. 

Possedere titoli di proprietà intellettuale permette alla start-up di mostrare ai possibili investitori le potenzialità dell’innovazione, invenzione per giunta tutelata da eventuali future infrazioni, incrementando così, in maniera rilevante, la capacità di attrarre capitali e partner commerciali strategici.

Una gestione e valorizzazione strategica degli asset intangibili consente – mediante contratti di licensing dei titoli di proprietà intellettuale, un esempio su tutti quelli brevettuali – addirittura di generare una revenue per la start-up prima della fase, solo eventuale in molte realtà, di go-to-market. Contratti di licenza che potrebbero essere stipulati con aziende non competitor e per applicazioni in ambiti lontani dal core business della start-up. 

Il marchio registrato a sua volta può rappresentare un asset immateriale importante, la costruzione di una brand identity e di una reputazione sin dalle fasi iniziali tutela gli investimenti sopportati una volta raggiunta la fase del go-to-market precludendo così ad altri la possibilità di utilizzo del medesimo segno distintivo. È sempre opportuno, prima di stabilire il nome e il logo della start-up, effettuare una ricerca al fine di verificare l’esistenza di marchi simili nel mercato di riferimento, ciò potrà evitare all’azienda il costoso procedimento di modifica del marchio in una fase successiva, che renderebbe praticamente nullo l’investimento di marketing fatto, nonché l’insorgere di confusione nei futuri clienti.

L’Unione europea, ma anche il Governo italiano e la Provincia Autonoma di Bolzano sono consapevoli dell’importanza della tutela della proprietà intellettuale per lo sviluppo tecnologico del Paese, hanno perciò predisposto nel corso del tempo significativi contributi e agevolazioni per aiutare start-up e PMI innovative a proteggere le loro idee. Si segnala anzitutto il “Voucher 3i – investire in innovazione” previsto dal c.d. Decreto Crescita (D.L. n. 34/2019) che finanzia l’acquisto di servizi di consulenza per la brevettazione e le “Agevolazioni innovazione – Diritti di proprietà industriale” previste dalla Provincia Autonoma di Bolzano che possono arrivare a coprire fino al 50 % delle spese sopportate per l’ottenimento, la convalida, la difesa di brevetti e altri diritti di proprietà industriale, oltre a i costi anteriori alla concessione del diritto, nonché le spese di traduzione per la concessione o riconoscimento del diritto in altre giurisdizioni. (art. 11 delibera n. 397/2018 – approvazione dei criteri di attuazione in materia di promozione dell’innovazione – Legge provinciale n.14 del 13/12/2006 “ricerca e innovazione”). 

L’ottenimento delle agevolazioni provinciali per i diritti di proprietà industriale è possibile a tutte le PMI grazie alla compilazione di una domanda scaricabile al seguente link: Servizi | Innovazione e Ricerca | Amministrazione provinciale | Provincia autonoma di Bolzano – Alto Adige. Il modulo per la richiesta necessita la descrizione del progetto e la compilazione di un cronoprogramma relativo alla tipologia di costi sostenuti. 

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

WE ARE HIRING

Stiamo cercando un giovane avvocato oppure una/un giurista (che abbia già terminato la pratica forense) da inserire nel nostro team. Requisiti essenziali: madrelingua tedesca , ottima conoscenza della lingua inglese, essere motivato e dinamico. Inviaci la tua candidatura all’indirizzo: info@legallab.it, oppure attraverso la sezione recruitment sul nostro sito: https://lnkd.in/gyYhwgy

Wir suchen eine/n jungen Anwalt oder JuristIn (mit bereits abgeschlossen Anwaltspraktikum) für unser Team. Grundlegende Anforderungen: Deutsch Muttersprache, sprichst und schreibsy in Englisch und bist motiviert und flexibel. Dann sende uns deine Bewerbung an info@legallab.it, oder über unsere unsere Webseite: https://lnkd.in/gyYhwgy

Il Codice della crisi d’impresa impone l’adeguamento dei modelli ex D.Lgs. 231/2001

Autore avv. Gianluigi Fino

Il D. Lgs. 14/2019 (c.d. Codice della crisi d’impresa) introduce nuovi obblighi in capo agli amministratori delle società di capitali, con particolare riferimento alla prevenzione ed alla rilevazione dell’eventuale stato di crisi dell’azienda. 

Ed infatti, in conformità con il novellato testo dell’art. 2086 c.c., l’imprenditore o l’organo amministrativo devono, da un lato, istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura ed alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva dello stato di crisi della stessa e, dall’altro lato, attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi medesima e per il ripristino della continuità aziendale.

In tale contesto, i Modelli di organizzazione, gestione e controllo adottati ai sensi del D.Lgs. 231/2001, dovranno essere integrati prevedendo (i) una adeguata individuazione delle competenti funzioni, garantendo una netta distinzione (cd. “segregazione dei ruoli”) tra le funzioni esecutive e quelle di controllo, (ii) la presenza di idonee procedure che permettano di intercettare i segnali di crisi e di rilevare tempestivamente l’informazione (ad es. i soggetti che la rilevano, la trasmettono a chi deve fruirne per valutare l’andamento aziendale e la sussistenza dell’equilibrio finanziario, etc.), nonché (iii) l’adozione di strumenti informatici che consentano la raccolta e la gestione delle predette informazioni.

In estrema sintesi, l’efficacia del Modello è ora subordinata al rispetto dei nuovi presupposti introdotti dal Codice della crisi, che dovrà prevedere necessariamente i presidi per la fedele e tempestiva trasmissione delle informazioni al Collegio ed al revisore (c.d. “indizi di crisi”), così come individuati dall’art. 14 D. Lgs. 14/2019.

Trasferimento dei dati personali in caso di “No Deal Brexit”. – Übermittlung personenbezogener Daten im Falle von “No Deal Brexit”.

Newsletter

Trasferimento dei dati personali in caso di “No Deal Brexit”.

A partire dal 30 marzo 2019, in assenza di un apposito accordo, il Regno Unito diventerà un cd. “paese terzo” ed ogni trasferimento di dati da/verso tale paese sarà considerato, ai fini dell’applicabilità del Regolamento UE 2016/679 (GDPR), un trasferimento extra UE.

Il Comitato Europeo per la Protezione dei dati (EDPB) Identificare i trattamenti che implicano il trasferimento dei dati verso il Regno Unito.

  1. Determinare la base giuridica adeguata al trasferimento per specifici trattamenti.
  2. Implementare entro il 29 marzo le basi giuridiche adeguate al trasferimento.
  3. Indicare tale trasferimento dei dati nei documenti interni (registro dei trattamenti).
  4. Indicare tale trasferimento nelle informative per gli interessati.

Di seguito le basi giuridiche tipiche per legittimare un lecito trattamento dei dati:

  • Standard Data Protection Clauses o ad hoc Data Protection Clauses

Si tratta di clausole standard approvate dalla Commissione Europea, contenute e accessibili nelle decisioni 2001/497/EC, 2004/915/EC e 2010/87/EU. Tali clausole possono essere aggiunte ad (altri) contratti, a condizione che vengano sottoscritte con la medesima formulazione di cui alle predette decisioni. In caso contrario, saranno considerate clausole contrattuali ad hoce necessiteranno dell’autorizzazione del Garante nazionale, previo parere dell’EDPB.

  • Binding Corporate Rules (BCR)

Sono regole vincolanti che disciplinano il trattamento e la protezione dei dati personali, nell’ambito di società appartenenti ad un Gruppo (es. multinazionali). Se sono già in vigore e sono state autorizzate ai sensi della direttiva 95/46/EC sono valide ed efficaci anche in vigenza del GDPR, anche se dovranno essere aggiornate.

Per introdurre nuove BCRs sarà necessaria l’autorizzazione del Garante nazionale, previo parere dell’EDPB.

  • Codes of Conduct and Certification Mechanisms

“Codici di condotta” e “meccanismi di certificazione” possono costituire la base giuridica a condizione che contengano impegni vincolanti per l’organizzazione nel terzo paese. L’EDPB sta predisponendo delle linee guida in merito all’utilizzo di “codici di condotta” e di “meccanismi di certificazione”.

  • Eccezioni e deroghe

In caso di trattamenti di dati personali di natura occasionale e non ripetitiva non sarà necessario avvalersi di una delle basi giuridiche di cui sopra. L’art. 49 del GDPR stabilisce (da intendersi con interpretazione restrittiva) che:

  • L’interessato, dopo essere stato adeguatamente informato del trasferimento dei suoi dati nel Regno Unito e dei possibili rischi associati, fornisce il suo consenso a tale trasferimento.
  • Il trasferimento è necessario per dare esecuzione ad un contratto tra l’interessato e il titolare o tra titolare ed altro soggetto a favore dell’interessato.
  • Per motivi di interesse pubblico.
  • Per motivi di legittimo interesse dell’organizzazione.

Nel caso in cui si addivenisse ad un accordo entro il prossimo 29 marzo, è previsto un tempo di transizione nel corso del quale troverà applicazione l’attuale normativa di riferimento, e la Commissione dovrà adottare la “decisione di adeguatezza” o “non-adeguatezza”. Diversamente, in caso di “no deal” molto probabilmente ci sarà un periodo caratterizzato dalla carenza della “decisione di adeguatezza”, e considerate le grandi incertezze, sarà fortemente consigliato alle organizzazioni di attivarsi tempestivamente ed implementare le predette misure.

 

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

 

Übermittlung personenbezogener Daten im Falle von “No Deal Brexit”.

 

Ab 30. März 2019 wird das Vereinigte Königreich, mangels einer Vereinbarung, zu einem sog. „Drittland“ und jede Übermittlung von Daten aus/in diesem Land wird unter der Verordnung (EU) 2016/679 (DSGVO) als eine Übermittlung außerhalb der EU betrachtet.

Der Europäische Datenschutzausschuss (EDSA) hat das Ergreifen der folgenden Maßnahmen (bis zum 29. März 2019) auferlegt:

  1. Bestimmung der geeigneten Rechtsgrundlagen für spezifische Verarbeitungen die der Übermittlungen der personenbezogenen Daten bedürfen.
  2. Umsetzung dieser geeigneten Rechtsgrundlagen bis zum 29. März.
  3. Angabe der Übermittlungen in den internen Dokumenten (Verzeichnis der Verarbeitungstätigkeiten).
  4. Angabe der Übermittlungen in den Informationsschreiben für die betroffenen Personen.

Im Folgenden die Rechtsgrundlagen die eine rechtmäßige Verarbeitung gewährleisten:

  • Standard Data Protection Clauses oderad hoc Data Protection Clauses

Es handelt sich dabei um von der Europäischen Kommission genehmigte Standardklauseln, die in den Beschlüssen 2001/497/EG, 2004/915/EG und 2010/87/EG enthalten und zu finden sind. Diese Klauseln können zu (anderen) Verträgen hinzugefügt werden, sofern ihre Formulierung genau dieselbe bleibt (wie sie in den zuvor genannten Beschlüssen enthalten ist) und unterzeichnet wird.Andernfalls gelten sie als Ad-hoc-Vertragsklauseln und bedürfen der Zustimmung der nationalen Aufsichtsbehörde, nach Stellungnahme des EDSA.

  • Binding Corporate Rules (BCR)

Das sind verbindliche Regeln, die die Verarbeitung und den Schutz personenbezogener Daten innerhalb von Konzerngesellschaften (z. B. multinationalen Unternehmen) regeln. Sollten sie bereits in Kraft sein und gemäß der Richtlinie 95/46/EG zugelassen sein, sind sie auch nach der DSGVO gültig und wirksam, auch wenn sie aktualisiert werden müssen.

Die Einführung neuer BCRs, bedarf der Genehmigung der nationalen Aufsichtsbehörde, nach Stellungnahme des EDSA.

  •  Codes of Conduct and Certification Mechanisms

“Verhaltenskodizes” und “Zertifizierungsmechanismen” können auch eine geeignete Rechtsgrundlage bilden, sofern sie verbindliche Verpflichtungen für das Unternehmen im Drittland enthalten. Der EDSA arbeitet an Leitlinien die die Verwendung von “Verhaltenskodizes” und “Zertifizierungsmechanismen” näher erläutern sollen.

  •  Ausnahmen und Abweichungen

Bei einer gelegentlichen Verarbeitung personenbezogener Daten, die nicht wiederholter Natur ist, ist es nicht erforderlich, eine der oben genannten Rechtsgrundlagen zu verwenden. Artikel. 49 der DSGVO legt die Ausnahmefälle fest (einschränkend auszulegen):

  • Wenn die betroffene Person, nachdem sie ausreichend über die Übermittlung der Daten im Vereinigten Königreich und über die möglichen damit verbunden Risiken informiert wurde, derselben zustimmt.
  • Wenn die Übermittlung der Daten erforderlich ist, um einen Vertrag zwischen der betroffenen Person und dem Verantwortlichen oder zwischen dem Verantwortlichen und einer anderen Person zugunsten der betroffenen Person auszuführen.
  • Wenn die Übermittlung im öffentlichen Interesse geschieht.
  • Aus Gründen eines berechtigten Interesses des Unternehmens.

Falls bis zum 29. März eine Vereinbarung gefunden werden sollte, ist mit einer Übergangszeit zu rechnen, in der die derzeit einschlägigen Rechtsvorschriften weiterhin Anwendung finden, in dieser Zeit wird die Kommission auch einen “Angemessenheitsbeschluss“ über das Vereinigte Königreich fassen oder nicht fassen. Anderenfalls wird es im Falle eines „no deal“ höchstwahrscheinlich ein Zeitraum geben, der durch das Fehlen eines “Angemessenheitsbeschlusses“ gekennzeichnet sein wird und angesichts der großen Unsicherheiten wird den Unternehmen dringend empfohlen, umgehend die vorgenannten Maßnahmen umzusetzen.

 

DISCLAIMER

Dieser Newsletter dient nur zur allgemeinen Information, er stellt kein Rechtsgutachten dar und kann keinesfalls eine spezifische Rechtsberatung ersetzen.

 

Utilizzo di sistemi di geolocalizzazione sui veicoli aziendali

Newsletter

Utilizzo di sistemi di geolocalizzazione sui veicoli aziendali

Il crescente utilizzo di sistemi e dispositivi GPS, in ambito lavorativo, ha reso necessario disciplinarne le modalità di utilizzo in ottica di tutela del trattamento dei dati dei lavoratori in conformità al Regolamento UE 2016/679 (Regolamento) ed al D.lgs. 196/2003, novellato dal D.lgs. 101/2018.

Tali strumenti vengono utilizzati dalle aziende al fine di individuare la posizione geografica dei veicoli, trattare i dati relativi ai consumi di carburante, ai chilometri progressivi percorsi, alla velocità media dei singoli veicoli, nonché a garantire la sicurezza dei dipendenti e la protezione dei beni aziendali.

Tuttavia, per un corretto utilizzo di tali sistemi è necessario che il datore di lavoro (e titolare del trattamento dei dati) esegua una preliminare valutazione del cd. “bilanciamento” tra gli interessi aziendali e quelli del lavoratore. Il titolare dovrà provvedere a configurare il sistema tecnologico (attraverso il proprio fornitore) mediante misure adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. art. 25 del Regolamento), in attuazione del principio di c.d. “privacy by default”.

Per la valutazione è necessario definire, prima di tutto, se il veicolo aziendale verrà utilizzato esclusivamente per l’attività lavorativa oppure per il cd. “uso promiscuo” (lavoro/privato). In tal caso, bisognerà prevedere – in fase di implementazione del sistema – la possibilità da parte dell’utente/lavoratore di potere disattivare le funzioni di geo localizzazione del veicolo durante l’utilizzo privato.

Se, all’esito della valutazione da parte del datore di lavoro, anche attraverso una valutazione d’impatto (DPIA) ai sensi dell’art. 35 del Regolamento (cfr. Opinion 12/2018dell’Autorità garante dell’Unione Europea: https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25-opinion_2018_art._64_it_sas_dpia_list_en.pdf), sussiste il bilanciamento tra gli interessi aziendali e quelli del lavoratore, potrà essere invocato il legittimo interesse come base giuridica del trattamento, ai sensi dell’art. 6 paragrafo 1, lettera f) del Regolamento.

Una DPIA consente al titolare del trattamento di analizzare sistematicamente e approfonditamente come un nuovo trattamento, una nuova tecnologia, o un nuovo progetto (ovvero una modifica sostanziale ad un trattamento già in corso o l’impiego per finalità o con metodologie differenti di tecnologie già esistenti) impatteranno sui diritti e le libertà degli interessati e individuare, con un approccio privacy by design & by default, quali misure implementare per la tutela di quest’ultimi.

In ogni caso, il trattamento dei dati dovrà essere eseguito dal titolare (datore di lavoro) nel pieno rispetto dei principi di pertinenza, completezza e non eccedenza.

Il datore di lavoro dovrà informare preventivamente e adeguatamente tutti i lavoratori che utilizzeranno i veicoli aziendali, mediante un’informativa facilmente comprensibile, ai sensi dell’art. 13 del Regolamento, che espliciti le caratteristiche essenziali e le modalità di utilizzo dei sistemi di geo localizzazione installati. Inoltre, sui veicoli aziendali dovranno essere apposte le vetrofanie a titolo di informativa dal contenuto sintetico (cfr. Provvedimento del Garante n. 396/2018: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9023246).

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

 

Newsletter

Verwendung von Geolokalisierungssystemen an Betriebsfahrzeugen

Die steigende Verwendung von GPS Geräten im Bereich der Arbeit, fordert eine Regulierung derselben gemäß Verordnung UE 2016/679 und G.v.D. 196/2003, in der Neufassung G.v.D. 101/2018, im Hinblick auf den Datenschutz der Mitarbeiter.

Diese Geräte werden von Unternehmen verwendet, um den geografischen Standort der Betriebsfahrzeugen zu ermitteln. Außerdem dienen sie der Verarbeitung von Daten bezüglich Kraftstoffverbrauchs, zurückgelegten Kilometer, Durchschnittsgeschwindigkeit der einzelnen Fahrzeuge und um die Sicherheit der Mitarbeiter und den Schutz des Unternehmensvermögens zu gewährleisten.

Allerdings, für eine rechtmäßige Verwendung der oben erwähnten Geräte ist eine vom Arbeitsgeber (und Verantwortlicher der Datenverarbeitung) durchzuführende Bewertung des sogenannten „Interessenausgleichs“zwischen den Interessen des Arbeitgebers und Arbeitnehmers notwendig. Der Verantwortliche sorgt dafür, dass, das Gerät (durch dessen Lieferanten) konfiguriert wird. Die Konfiguration muss geeignete Maßnahmen enthalten um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für jeden bestimmten Zweck der Verarbeitung erforderlich sind (gemäß Art. 25 DSGVO) um dem Prinzip der sog. “privacy by default” umzusetzen.

Um eine rechtmäßige Bewertung des Interessenausgleichs durchzuführen, muss bestimmt werden ob das Betriebsfahrzeug ausschließlich zu Arbeitszwecken oder auch zu Privatzwecken zur Verfügung gestellt wird. Im zweiten Fall ist für die Dauer der Privatnutzung – in der Systemimplementierungsphase- die Deaktivierungsmöglichkeit der Ermittlung des Standortes zu gewährleisten.

Sollte die Bewertung des sogenannten „Interessenausgleichs“ zwischen den Interessen des Arbeitgebers und Arbeitnehmers, eventuell auch mit Hilfe einer Folgeabschätzung (DPIA) gemäß Art. 35 VO (siehe Opinion 12/2018der Aufsichtsbehörde der Europäischen Union: https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25 opinion_2018_art._64_it_sas_dpia_list_en.pdf) positiv ausfallen, so kann sich die entsprechende Datenverarbeitung auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6, Paragraph 1, lit. F) der DSGVO stützen.

Eine Folgeabschätzung ermöglicht dem Verantwortlichen eine systematische und tiefgreifende Analyse über den Einfluss auf die Grundfreiheiten und Rechten des Interessierten von einer neuen Datenverarbeitung, einer neuen Technologie oder eines neuen Projektes (bzw. bei wesentlichen Veränderungen von bestehenden Datenverarbeitungen oder Verwendung der bestehenden Technologien über neue Methoden und für neue Zwecke). Somit wird die Feststellung der notwendigen Maßnahmen, nach den Grundprinzipien „Privacy by design“ und „Privacy by default“, zum Schutz der oben erwähnten Freiheiten und Rechten möglich.

In jedem Fall muss die Datenverarbeitung gemäß den Prinzipien von Vollständigkeit, Zweckbindung und Datenminimierungdurchgeführt werden.

Alle Mitarbeiter, die die Betriebsfahrzeugen verwenden werden, müssen im Voraus vom Arbeitgeber durch eine leicht verständliche Datenschutzerklärung vollständig und angemessen informiert werden. Die Datenschutzerklärung muss laut Art. 13 DSGVO die erforderlichen Informationen über die Nutzung und Einstellungen des Geolokalisierungsgerät enthalten. Deren wesentlicher Inhalt ist im Betriebsfahrzeug zur Kenntnisnahme aufzuhängen (siehe Bestimmung der Aufsichtsbehörde n. 396/2018: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9023246).

 

DISCLAIMER
Die vorliegenden Newsletter hat als einziges Ziel allgemeine Informationen zur Verfügung zu stellen. Demnach stellt sie keine Rechtsgutachten dar und kann auf keinem Fall eine spezifische Rechtsberatung ersetzen.

 

 

Regole di autodisciplina interne nelle società quotate.

Nelle società quotate le regole di autodisciplina interne devono essere rispettate, anche se più stringenti della normativa applicabile.

Con una recente sentenza (n. 5/2019; pubblicata in data 3/01/2019), la seconda Sezione della Corte di Cassazione Civile ha stabilito alcuni principi in tema di corporate governance e controlli interni delle società quotate (nel caso in esame, la società opera nell’ambito dell’intermediazione finanziaria).

In particolare, è stato statuito che, nel caso in cui una società decida di adottare autonomamente delle regole comportamentali mediante l’implementazione di procedure interne e conseguente comunicazione al mercato, la società è obbligata al rispetto delle predette regole di autodisciplina, ancorché risultino più rigide della normativa applicabile.

2996-10-Cassazione 5_2019