di Andrea Asnaghi – Consulente del lavoro in Paderno Dugnano (Mi)

 

Il titolo di questo pezzo potrà sembrare forte, in effetti, ma il lettore può stare certo che i pensieri ed i sentimenti ispirati dalla pubblicazione in G.U. del D.lgs. n. 104/2022 ha suscitato un turbinio di pensieri ed appellativi nei quali la parola “vergogna” è una delle poche trascrivibili su questa illustre Rivista.
Benchè la visione critica non sia mai mancata, soprattutto in questa rubrica, poche volte è sembrato di cogliere, nel leggere un testo normativo, una così ampia distanza dalla pratica e dalla realtà come nel decreto in questione, un tale concentrato di insipienza e supponenza, un così totale dispregio della logica e del buon senso.
Qualcuno dirà (e ha già tentato di dire, peraltro): tutta colpa dell’Europa; difatti, il D.lgs. n. 104/2022 recepisce una Direttiva europea, di cui si dirà poc’anzi; ma lo fa con tale malagrazia che trova una qualche giustificazione solo se
si considera il curriculum vitae di molti nostri politici (ed in effetti, in questa legislatura, un campionario di così tanto insulsi dirigenti del Dicastero del Lavoro non può spiegarsi che con un qualche peccato – quale che sia, ma dev’essere stato davvero molto grave – che gli operatori del lavoro probabilmente hanno commesso a fronte di cotanta punizione).
Siccome le disgrazie non vengono mai da sole, dopo qualche giorno ecco spuntare anche la circolare n. 4/2022 dell’Ispettorato Nazionale del Lavoro, la quale – con mia forte perplessità – è stata salutata positivamente
da diversi commentatori, ma che per me è solo la dimostrazione – anzi il suggello – dell’incompetenza e della tracotanza con cui vengono gestiti adempimenti e norme sul lavoro (e non solo), non risolvendo nulla e destando
ulteriori interrogativi. Come al solito, verrebbe da dire. Ma è un solito a cui abituarsi, o peggio ancora ringraziare quando ti vengono concesse delle bricioline inconsistenti, a mio avviso non è più sostenibile.
Ma cominciamo dall’inizio, avvertendo che l’analisi sarà un po’ lunga.

LA TEMPISTICA E GLI ATTORI COINVOLTI (E NON)
Normalmente l’analisi di un testo normativo comincia … dal testo. Ma qui è istruttiva qualche considerazione preliminare (i celebri “visto”, con cui una legge-decreto delegato legittima la propria emanazione).
Infatti, scopriamo che la direttiva europea n. 1152/19 è del giugno 2019 (ben tre anni fa) e che la legge delega al Governo per recepirla è dell’aprile 2021 (oltre un anno fa). Qualcuno ha fatto notare che il Decreto fosse di urgente
emanazione in quanto dal 1° agosto 2022 l’Italia, in caso contrario, sarebbe stata oggetto di una procedura di infrazione. A parte che le procedure di infrazione ormai non si contano (e costano parecchi soldi al nostro
Paese) ma davvero c’era bisogno di arrivare all’ultimo momento? Qui i casi sono due: o siamo in presenza di sprovveduti che fan le cose (male) di fretta e furia, oppure le cose sono fatte di corsa in modo da trovare una
qualche legittimazione nel farle proprio così.
È il classico dilemma per cui non si capisce bene se il legislatore indigeno ci sia o ci faccia (come direbbero a Roma), ma chi scrive ha già una tragica risposta alla questione: il nostro Legislatore contemporaneamente ci è e
ci fa, un mefitico mix di incapacità e malafede ideologica con le conseguenze che tutti abbiamo sotto gli occhi. Senza contare la decorrenza: 13 agosto 2022. Tutti a ritardare un po’ di meritate ferie (che sono sancite da una serie di provvedimenti amministrativi e giudiziari: ad agosto si sospendono molte cose) per cercare di raccapezzarsi su una norma senza capo né coda, o quantomeno con più interrogativi che certezze.
E comunque la delibera finale di approvazione del Decreto da parte del Consiglio di Ministri è del 22 giugno 2022, e partiva da un parere preliminare del 31 marzo 2022; e già in quelle date lo schema di decreto circolante pareva talmente assurdo da risultare quasi uno scherzo di carnevale in ritardo. Credo che il pensiero di molti, compreso quello di  chi scrive, contasse su un rigurgito di misericordiosa intelligenza ministeriale a che il Decreto non uscisse nel testo così obbrobrioso (che al confronto il Quasimodo di Notre Dame de Paris è un modello da sfilata) con
cui è stato inizialmente dato alla luce. Con ingenuità e fiducia evidentemente malriposte chi poteva pensare all’emanazione di tale stortura, e per di più a ridosso di agosto?
Ma qualcuno sarà ben stato interpellato… A scorrere il preambolo normativo ci si imbatte ad un certo punto in un “Sentite le organizzazioni sindacali maggiormente rappresentative dei lavoratori e datori di lavoro”. Non
possiamo esimerci da alcuni commenti in merito. Anzitutto, mi raccomando, i professionisti non sentiteli MAI, fosse il caso che magari un qualche buon consiglio ve lo diano … Chissà, se quel “fondata sul lavoro” di cui all’art. 1 della nostra Costituzione riguarda anche il mondo professionale: probabilmente nella testa di qualche Ministro (che sta
al lavoro come la fisica quantistica sta al gioco della briscola) i professionisti sono solo zuzzurelloni perdigiorno impegnati al più in  qualche gara di golf o tennis (ora anche paddle); perché mai, quindi, interpellarli nel
merito? Ma anche i sindacati dei lavoratori sono davvero orgogliosi di una norma che – nei fatti – li considera così incapaci di un minimo di rappresentanza, gestione ed informazione da spostarne ogni onere sui datori di
lavoro? Senza parlare delle organizzazioni datoriali: ecco, fossi un iscritto straccerei al volo la tessera di un’organizzazione che, sentita nel merito, non abbia minacciato uno sciopero (pardon, una serrata) generale contro la promulgazione dell’efferato decreto in argomento. Forse aveva ragione il compianto Marchionne, che a suo modo aveva interpretato il famoso detto “dai nemici mi guardo io ma dagli amici mi guardi Iddio”.
Perché l’intento perverso del Legislatore contro le aziende – qui non siamo di fronte all’incapacità ma alla diretta e voluta persecuzione, direi anche perpetrata con allegra faciloneria – è ben chiaro e si evince nel testo del Dossier-Scheda di lettura del 13 aprile 2022 al Senato. Citiamo testualmente (pag. 4): “Sebbene la direttiva comunitaria consenta il rinvio alla normativa vigente1, lo schema di decreto richiede che l’informazione sia indicata
in modo puntuale, gravando di fatto sul datore di lavoro la ricognizione degli strumenti adattabili al singolo lavoratore”. Detto in altre parole, il Legislatore ben conscio di poter fare  diversamente com’era nell’esatto spirito della  Direttiva, sceglie precisamente di aggravare le incombenze per i datori, con sanzioni pesanti in caso di inottemperanza anche solo parziale. Non è stupido (parliamone…), è proprio cattivo, contando sul bravo sonno generale (compreso quello delle forze politiche che si dichiarano pro-aziende) e su quello in particolare delle organizzazioni di categoria.
Ancora sulla tempistica, il legislatore pasticcione in sede di pubblicazione ci informa (art. 13) che le disposizioni del decreto si applicano a tutti i rapporti già instaurati al 1° agosto 2022. Entrando tuttavia in vigore il 13 agosto, il destino dei malcapitati assunti dal 2 al 12 non è chiaro. Ma sì, ci dice la circolare n. 4 dell’Inl, cosa vuoi che sia, è solo
una distrazione, uno sfasamento temporale, non dobbiamo ricorrere a complicati sofismi, è logico che le disposizioni si applichino a tutti gli assunti prima dell’entrata in vigore.
E qui due osservazioni sono necessarie. La prima è notare con stupore che l’Inl tratta di fatto il legislatore come l’ubriacone del paese: mica bisogna dar retta a tutto ciò che c’è scritto con tanta distrazione (eufemismo) sulla Gazzetta Ufficiale, la verità te la diciamo noi. Un misto (come detto) di tracotanza, incompetenza e mancato rispetto delle norme, compresa quella di attuazione delle Direttive comunitarie che consente, entro un periodo di 18 mesi, di portare delle modifiche ai decreti legislativi, anche se sarebbe sicuramente preferibile fossero scritti da subito con un minimo di decenza.
La seconda notazione è l’uso nella circolare di una locuzione (cosicchè, o altrove giacchè) a cui probabilmente viene attribuito un potere magico (come certe carte con cui giocano i ragazzi); in grammatica tali espressioni sono congiunzioni con valore consecutivo (cioè legano una seconda frase alla prima, la quale giustifica e sorregge il significato di ciò che segue), ma qui vengono usate appunto con un curioso valore risolutivo: stanno dicendo una cosa che non può per nulla essere giustificata da ciò che hanno appena espresso in precedenza, ma ci mettono (ci giocano, direbbero i ragazzi) un giacchè a caso e, voilà, tutto è risolto.
Infine, perdonatemi se ci ritorno, sulla decorrenza (13 agosto, il sabato prima di Ferragosto) stendiamo un velo pietoso. Meriterebbe, il Legislatore, di essere preso per le orecchie mentre sta a pancia all’aria godendosi il forse
non troppo meritato riposo e riportato d’urgenza alla scrivania a rileggere e correggere le proprie scempiaggini.

IL MIRAGGIO DELLA TRASPARENZA
Non entreremo nel merito dell’analisi puntuale del Decreto, che già trova spazio in altri contributi di questa Rivista, ma solo dei suoi punti più critici (che in realtà sono il Decreto meno alcuni scarni passaggi). Tuttavia, dobbiamo
subito chiarire un concetto: siamo assolutamente favorevoli a che le informazioni sul contratto di lavoro e sulla sua gestione siano rese accessibili in modo chiaro e fruibile a ciascun lavoratore (per inciso, è ciò che in genere
noi consulenti del lavoro già facevamo nei contratti attuali). Ciò su cui discutiamo è l’onere burocratico sempre più assillante (ai limiti dell’assurdo) e corredato da sanzioni sempre più aspre che vanno a colpire aspetti per lo più
formali e non sostanziali. Con un conseguente aggravio di costi a cui non fa quasi mai il paio un incremento effettivo delle tutele.
È come se ci fosse, per alcuni, un articolo non scritto nella Costituzione per cui “il nemico è l’azienda” (o il datore di lavoro) su cui vanno affossati oneri anche impropri. C’è un intero universo che va a scatafascio, c’è un caos generale con un sacco di problemi per cui si fa fatica a tirare avanti, ma l’importante è colpire indiscriminatamente le aziende
(e, mi raccomando, senza oneri per la pubblica amministrazione). L’immaginario di chi partorisce certi abomini è che la radice genetica del rapporto di lavoro sia il contenzioso.
Abbiamo, in compenso, leggi scritte male, disorganiche e segmentate, spesso di difficile comprensione anche per gli addetti ai lavori e sempre pronte ad essere messe in discussione dall’ispettore-sceriffo (anche contro le disposizioni
del proprio stesso Ministero) o dal giudice-giustiziere di turno. Non parliamo poi dei contratti collettivi, molto spesso un concentrato di rimandi e di cose non dette, o dette anche volutamente in modo ambiguo (lo ammettono gli stessi estensori: così poi il contenzioso si sposta a livello locale o aziendale, con vere e proprie prove di forza da una parte o dall’altra).
Non a caso su questa Rivista più volte abbiamo invocato (inutilmente) che la trasparenza partisse dall’alto2.
Ora tale onere si sposta sul datore di lavoro, in maniera abnorme. Sul punto è stato salutato con favore (poco
comprensibile) il contentino della circolare Inl per cui, fatta salva la comunicazione delle informazioni generali, “la relativa disciplina di dettaglio potrà essere comunicata attraverso il rinvio al contratto collettivo applicato o ad
altri documenti aziendali qualora gli stessi vengano contestualmente consegnati al lavoratore ovvero messi a disposizione secondo le modalità di prassi aziendale”.
L’alleggerimento, a ben vedere, è solo formale: lo Stato si defila da un obbligo ben preciso posto a suo carico dalla Direttiva e scarica i problemi su una non meglio precisata prassi aziendale. Inoltre, un qualsiasi dipendente o
sindacato animato dallo spirito di contraddizione o di contenzioso potrà bellamente non considerare l’interpretazione ministeriale e ricorrere direttamente all’autorità giudiziaria (art. 12 del Decreto), confidando sul fatto che l’intenzione del Legislatore ha volutamente escluso, come detto in precedenza, tale ipotesi.
Rimane inoltre il fatto che, a parte la complessità della normativa sul lavoro, la stessa  contrattazione collettiva è:
– tutto fuorchè chiara e trasparente;
– di difficile ed ardua (nonchè interminabile) lettura;
– spesso non disponibile, in particolare quella di secondo livello (territoriale o settoriale), gelosamente custodita dalle organizzazioni firmatarie.
Non si vuole entrare in polemica, solamente mi piacerebbe – tanto per dirne una – che un qualsiasi ministro o sottosegretario venisse a spiegare ad un onesto manovale il meccanismo di funzionamento delle casse edili.
E fra le norme di cui dar conto al lavoratore vi sono anche:
– i congedi retribuiti, un autentico mare magnum nel panorama italiano: notare che la Direttiva UE parlava di “congedo retribuito” (al singolare), con un chiaro riferimento alle ferie (vedi anche il “considerando” n. 1) e non a tutto il resto. Ma chi siamo noi italici non per non complicare la vita (alle aziende, si intende)?

– gli Enti a cui si versano i contributi ma anche qualunque forma di protezione sociale fornita dal datore di lavoro ( includiamo anche gli Enti bilaterali? Sì dai, così il mappazzone informativo si ingrossa sempre di più!).
Sempre per parlare di trasparenza e semplificazione, perché le precisazioni ridondanti e le estensioni di cui all’art. 1 del Decreto?
I lavoratori intermittenti (lett. c) non sono lavoratori subordinati? E allora perché precisarli a parte?
I collaboratori coordinati e continuativi di cui all’art. 409 c.p.c. n. 3 non sono lavoratori autonomi? A leggere il 409 si direbbe proprio di sì. E allora perchè inserirli, visto che il Considerando n. 8 prevede espressamente che “i lavoratori effettivamente autonomi non dovrebbero rientrare nell’ambito di applicazione della presente direttiva”.

LE MODALITÀ DI COMUNICAZIONI E LA LORO CONSERVAZIONE
Un altro punto che sembra modesto ma che in poche righe è irto di contraddizioni ed interrogativi è l’art. 3, che vale la pena citare per intero. “Il datore di lavoro comunica a ciascun lavoratore in modo chiaro e trasparente le informazioni previste dal presente decreto in formato cartaceo oppure elettronico. Le medesime informazioni
sono conservate e rese accessibili al lavoratore ed il datore di lavoro ne conserva la prova della trasmissione o della ricezione per la durata di cinque anni dalla conclusione del rapporto di lavoro”.
Sulla chiarezza e trasparenza abbiamo già espresso tutte le riserve possibili. Concentriamoci un attimo sul formato. Cartaceo o elettronico. Sul cartaceo c’è poco da dire, qualche riflessione in più va fatta sul formato elettronico (che per la circolare Inl significa anche a mezzo mail). Sembra una certa semplificazione, sennonché dobbiamo andare con la memoria ad altri documenti di prassi.
In particolare richiamiamo l’interpello n. 13/2012 del 30 maggio 2012, relativamente alla consegna dei prospetti-paga mediante mail o sistema web, che è consentito unicamente alla precisa condizione di poterli materializzare
ovvero “mediante utilizzabilità di una postazione internet dotata di stampante e l’assegnazione di apposita password o codice segreto personale”. Cioè siamo un’amministrazione digitale, ma sul documento i diritti del lavoratore (che ormai ha uno smartphone anche per amministrare il proprio conto bancario, giocare in borsa o investire in bitcoin)
costringono il datore di lavoro a dover attrezzare di tutto e di più.
Allora che dite, sarà ora di ammodernarsi (quindi salutare il predetto interpello come pratica vetusta) o fra qualche tempo si riproporrà il dilemma amletico (stampare o non stampare?). Un problema particolare è dato dalla conservazione ed accessibilità al lavoratore. In italiano questo significa che per tutta la durata del rapporto (quale che sia) questa documentazione deve essere resa accessibile al lavoratore.
Cioè non basta che si consegni il chilometrico documento a tempo debito, ma ogni volta che il dipendente vuole potrà richiederne una copia o verificarne la conservazione. Un bello strumento fornito a chi volesse per
un’azione di disturbo al datore… (Facciamo sciopero? Ma no, andiamo tutti e duecento a chiedere, una volta al mese, una copia del contratto di lavoro all’ufficio del personale).
Non solo: la prova della trasmissione o della ricezione (che sono due cose diverse: basta la trasmissione o occorre anche accertarsi della ricezione? Chi lo sa….) va conservata per cinque anni dalla conclusione del rapporto di
lavoro. Quindi in un ipotetico rapporto durato vent’anni, la conservazione di un documento  e della prova della sua ricezione (anzi,  di tutti i documenti via via scambiati nel corso del rapporto) va mantenuta per ulteriori cinque anni, per un totale di venticinque. E anche senza che vi sia alcuna contestazione da parte del lavoratore, la mancata  conservazione della prova è sanzionata (ma questo lo vedremo dopo). In formato elettronico, dove  l’obsolescenza è velocissima, la cosa si presenta ancor più problematica.
Anticipiamo però una riflessione sulla sanzione specifica per questo adempimento; sanzione che non c’è ma qui Inl (prendendo una topica clamorosa) sostiene la sanzionabilità del mancato adempimento con un volo pindarico
e con l’utilizzo del magico “giacchè”.
L’errore di diritto è a dir poco marchiano: se un adempimento è privo di una sanzione l’Inl non può certo  inventarsela, al limite (la norma è recente, Inl dovrebbe conoscerla) si applicherebbe in questo caso il rinnovato
istituto della disposizione (art. 14, D.lgs. n. 124/2004, recentemente innovato – manco a  dirlo, in maniera peggiorativa – dall’art. 12/bis del D.l. n. 76/2020), applicabile in tutti i casi in cui le irregolarità rilevate in materia di
lavoro e legislazione sociale non siano già soggette a sanzioni penali o amministrative (com’è appunto il caso in questione). Di solito Inl è più rigoroso, ma forse chi va con lo zoppo … Ma una notazione (per quelli che ce l’hanno
con l’Europa) è necessaria: la Direttiva non parla né della messa a disposizione continua né della conservazione “fin che morte non vi separi” ma solo ed unicamente della consegna dell’informativa al lavoratore. Tutto il resto
è frutto della mente macchinosa (altro eufemismo) del legislatore italiota.

LE SANZIONI, LE TUTELE E LA LORO APPLICAZIONE
Lasciando ad altri il compito di analizzare la portata sanzionatoria, è importante ribadire un principio. A parere di chi scrive la Direttiva europea (su alcuni punti anche discutibile) lascia un buon margine di discrezione a ciascuno
Stato membro, in un’ottica tutto sommato collaborativa e proattiva. Proviamo ad esempio a leggere l’art. 15 della
Direttiva (grassetto a nostra cura).

“1. Gli Stati membri provvedono affinché, qualora un lavoratore non abbia ricevuto a tempo debito i documenti o parte dei documenti di cui all’articolo 5, paragrafo 1, o all’articolo 6, si applichi almeno uno dei seguenti sistemi:
a) il lavoratore beneficia delle presunzioni favorevoli definite dallo Stato membro, che i datori di lavoro hanno la possibilità di confutare;
b) il lavoratore ha la possibilità di sporgere denuncia a un’autorità o a un organo competente e di ricevere un’adeguata riparazione in modo tempestivo ed efficace
2. Gli Stati membri possono prevedere che l’applicazione delle presunzioni e del meccanismo di cui al paragrafo 1 sia subordinata alla notifica del datore di lavoro e al fatto che il datore di lavoro non abbia fornito le informazioni mancanti in modo tempestivo”.

Ora leggiamo questa disposizione alla luce del vecchio art. 4 (“misure di tutela”) del D.lgs. n. 152/1997 (grassetto sempre a nostra cura).

1. In caso di mancato o ritardato, incompleto o inesatto assolvimento degli obblighi di cui agli articoli 1, 2, 3 e 5, comma 2, il lavoratore può rivolgersi alla direzione provinciale del lavoro affinché intimi al datore di lavoro a fornire le informazioni previste dal presente decreto entro il termine di quindici giorni.
2. In caso di inottemperanza alla richiesta della direzione provinciale del lavoro si applica al datore di lavoro la sanzione amministrativa prevista dall’articolo 9-bis, comma 3, del decreto-legge 1° ottobre 1996, n. 510, convertito, con modificazioni, dalla legge 28 novembre 1996, n. 608.

A chi scrive sembra chiaro che la precedente norma – ma così suggerisce anche la Direttiva attuale – prevedeva un meccanismo di facilitazione dei rapporti fra le parti, a fronte del quale il lavoratore non soddisfatto delle  informazioni ricevute adiva la Dpl per un’azione di “esortazione” del datore di lavoro, che veniva sanzionato solo se ulteriormente renitente.
Il nostro Legislatore invece pare non vedesse l’ora di appioppare una bella sanzione (da 250 a 1500 euro, non esattamente bruscolini) che sarà applicabile in automatico, anche a fronte di un lavoratore del tutto soddisfatto delle informazioni ricevute e che non si sogna di fare alcuna rimostranza o richiesta. Si vuol fare la guerra alle aziende o fare cassa sulla loro pelle: anzi non solo sulla pelle delle aziende perché sanzionabile sarà anche il privato datore di lavoro domestico o la famiglia che fruisse di prestazioni attraverso il libretto di famiglia.
Ecco che ritorna una figura che speravamo sepolta da tempo ma che torna sempre più prepotentemente in auge: il legislatore con la mannaia impazzita, che punisce indiscriminatamente a destra e a manca, che colpisce alla cieca pensando di promuovere chissà quale equità (ma realizzando invece di fatto la solita somma ingiustizia).

ALTRE CONSIDERAZIONI SPARSE
Come detto, questo numero di Sintesi prevede altri interventi sul tema a cui sarebbe ingiusto  rubare spazio, ma tutto il resto del decreto è disseminato di scelte discutibili.
Rispetto al periodo di prova riproporzionato nel contratto a termine (la direttiva parlava in maniera generica di proporzione, il riproporzionamento sarà un grande oggetto di contenzioso),
al cumulo di impieghi ed alla transizione a forme di lavoro più stabili, ma anche rispetto all’art. 1/bis sui sistemi di monitoraggio automatizzati, mi chiedo perché non demandare in tutto o in parte alla contrattazione collettiva
qualche possibilità di gestione ulteriore? Perché da nessuna parte vedo scritto un “salvo diversa disposizione della contrattazione collettiva” (sia pure maggiormente rappresentativa)?
Eppure la Direttiva è molto aperta rispetto a questa possibilità.
Si veda il Considerando n. 38 “È opportuno rispettare l’autonomia delle parti sociali e il loro ruolo di rappresentanti dei lavoratori e dei datori di lavoro. Le parti sociali dovrebbero quindi poter ritenere che, in particolari settori o situazioni, per perseguire lo scopo della presente direttiva siano più appropriate disposizioni diverse rispetto ad alcune norme minime stabilite nella presente direttiva. Gli Stati membri dovrebbero pertanto poter consentire alle parti sociali di mantenere, negoziare, stipulare e applicare contratti collettivi che differiscono da alcune disposizioni contenute nella presente direttiva, a condizione che il livello generale di protezione dei lavoratori non sia abbassato”.
E si veda anche l’applicazione del Considerando nell’art. 14 della medesima Direttiva. “Gli Stati membri possono consentire alle parti sociali di mantenere, negoziare, concludere e applicare contratti collettivi, in conformità del diritto o delle prassi nazionali, che, nel rispetto della protezione generale dei lavoratori, stabiliscano disposizioni concernenti le condizioni di lavoro dei lavoratori che differiscono da quelle di cui agli articoli da 8 a 13”.
Insomma, il Legislatore pare prendere a schiaffi tutti e di tutti infischiarsene: aziende, privati, professionisti, famiglie, parti sociali. Andando per la propria strada. E partorendo anche qualche strafalcione, come quello del comma 4 dell’art. 1/bis, scritto in un italiano pedestre e con riferimenti “un tanto al chilo” alla normativa sulla privacy e sul GDPR. Oppure la normativa sulla prestazione di lavoro all’estero, con la differenziazione (destinata
a creare confusione laddove già ce n’era parecchia) fra distacco transnazionale, “distacchetto” (non so come altro definire la c.d. “missione all’estero” superiore alle 4 settimane consecutive) e “distacchino” (la missione di periodo
inferiore). Forse sarà il caso, anche in Europa, di trovare definizioni meno equivoche.

CONSIDERAZIONI FINALI
Gli operatori sono al dilemma: lavorare come pazzi tutto agosto cercando di trovare il bandolo della matassa (la soluzione del contratto-monstre contro la versione light con integrazione di informativa, con tutte le varianti
possibili, compreso l’acquisto a caro prezzo di soluzioni buttate sul mercato da software house o banche dati) oppure darsi alla rivolta?
Chi scrive opta per una soluzione ragionevole: un mix di informazioni che in buona parte già erano presenti nei contratti ed un rimando a norme di legge e contrattazione collettiva, pronto a impugnare con decisione le sanzioni che volessero malauguratamente arrivare da parte di qualche scriteriato accertatore “shooter shooter”.
Resta forte l’amarezza per l’ennesima occasione persa per rilanciare nel Paese competitività ed intelligenza ed una visione collaborativa del rapporto di lavoro.
Qualcuno ha paragonato il trattato giuslavoristico, in cui il Legislatore vorrebbe aver trasformato un contratto di lavoro, al “bugiardino” dei medicinali, quel lungo foglietto di avvertenze e modi d’uso, di cui tutti abbiamo imparato a leggere le parti essenziali, saltando le ipotesi più catastrofiche che hanno, obiettivamente, lo scopo precipuo di riparare le spalle alle case farmaceutiche.
A mio modesto avviso il documento, anche di sintesi, di ciò che il decreto ha stabilito (e che la circolare ha solo vagamente ritrattato) è pari ad almeno il quadruplo dei più prolissi bugiardini che io abbia mai letto.
Tuttavia, una indicazione quasi farmaceutica dovremmo ricavarla da queste esperienze. È qualcosa che, a questo punto e visto l’andazzo, dovrebbe essere scritto a chiare lettere all’entrata di entrambe le Camere parlamentari:
“il legislatore può avere effetti collaterali anche gravi, sceglierlo con moderazione”.

 

 

 

1. La Direttiva UE n. 2019/1152 prevede infatti espressamente (art. 4, co. 3) che “le informazioni di cui al paragrafo 2, lettere da g) a l) e lettera o), possono, se del caso, essere fornite sotto forma di un riferimento alle disposizioni legislative, regolamentari, amministrative o statutarie o ai contratti collettivi che disciplinano
   tali punti.” Correlativamente, è previsto (art. 5, co. 3) l’obbligo per gli Stati membri  di provvedere “affinché le informazioni che devono essere comunicate dai datori di lavoro relative alle disposizioni legislative,
   regolamentari, amministrative o statutarie o ai contratti collettivi di applicazione generale che costituiscono il quadro giuridico applicabile siano rese disponibili a tutti gratuitamente e in modo chiaro, trasparente, completo e facilmente accessibile a distanza e per via elettronica, anche tramite portali online esistenti”.
2. Ad esempio, per quanto riguarda la contrattazione collettiva sia concesso il rimando a E.Scudeller, A. Asnaghi: La conoscibilità dei contratti collettivi di lavoro nel settore privato: una proposta”, in Sintesi,
   marzo 2021, pagg. 28-29.

 

 

 

 

Preleva l’articolo completo in pdf  

di Alberto Borella – Consulente del lavoro in Chiavenna (So)

 

I have a Dream. Parlo di un sogno dal punto di vista professionale. Eh sì, perché anche noi Consulenti del Lavoro abbiamo dei sogni. Si dice del resto che i sogni aiutano a vivere meglio. Il mio è quello di veder dare alla luce una norma di legge che non necessiti di alcuna circolare, esplicativa o interpretativa che sia. Non pretendo molto. Mi basta un testo sufficientemente chiaro, magari che tenga conto della regola giornalistica delle 5 W: Who, What, Where, When, Why, che tradotto è Chi, che cosa, dove, quando e perché. Nessun bisogno di attendere per sapere cosa ne pensano Ministero del Lavoro, Ispettorato del lavoro, Inps, Inail o Agenzia delle Entrate. Se proprio proprio, giusto una circolare con cui gli Enti coinvolti danno – ove sia richiesto dal tipo di provvedimento – mere istruzioni applicative: usa questo strumento, questa modulistica, questo codice, fallo entro questa data. Del resto, se una norma è chiara non vi è alcuna reale necessità che qualcuno ce la spieghi, che la interpreti, che ci illumini. La legge non ammette ignoranza, il che non significa solo che non è scusabile l’averne ignorato l’esistenza ma anche che l’ignorante, l’illetterato, l’incolto deve poterla capire da solo. Ma soprattutto che chi la scrive non deve esserlo.

Il mio personalissimo sogno prevede un corollario ossia veder divulgata una circolare in tempo reale o, perlomeno, quasi contestualmente alla pubblicazione della norma. Il che significherebbe un collegamento reale tra Legislatore e Pubblica Amministrazione, con la quale il primo verifica la fattibilità tecnica, ma soprattutto temporale, degli interventi proposti. Cosa che vorrebbe dire tempestività, efficacia ma soprattutto eviterebbe qualsiasi incertezza di gestione, escludendo così la necessità di sistemazione del pregresso, recuperi e conguagli, o cose simili. Ma si sa, i corollari sono un po’ come le ciliegie, uno tira l’altro e quindi: – si eviti la solita pluralità di interventi sul medesimo argomento perché se hai bisogno di intervenire continuamente a dare nuove e ulteriori spiegazioni vuol dire che nemmeno tu, che le spiegazioni le devi dare, hai compreso da subito il senso, il contenuto e la finalità della norma. Il che avrebbe due possibili spiegazioni: o la legge non era affatto chiara o che il “circolarista” non sa fare il suo lavoro. Che sia l’una o l’altra c’è poco da stare allegri. – basta circolari interpretative, perché se vi è la necessità, da parte di altri soggetti pubblici, di precisare un qualcosa di una disposizione di legge significa che la norma è stata scritta in modo non sufficientemente comprensibile e intelligibile.

– aboliamo le solite circolari di decine e decine di pagine che riportano pedissequamente, per la loro maggior parte, quanto già dice la legge. Limitatevi a dirmi ci  che mi serve per applicarla che il resto me lo so leggere da solo. – finiamola con circolari che integrano, rettificano e smentiscono le precedenti. Ogni correzione è infatti il riconoscimento di aver inizialmente frainteso ci  che la norma voleva dire. Anche qui o perché scritta male o perché chi la commenta non l’ha letta con la necessaria attenzione.

Insomma, il mio sogno è vedere i vari Enti pubblici fare l’esatto opposto di quello oggi ! fanno. E non solo da oggi.

Fatta questa premessa vorrei ricordare a tutti a cosa serve una circolare: è semplicemente quello strumento che consente l’esplicazione della potestà amministrativa da parte dell’Ente pubblico nel raggiungimento dei fini individuati dalla legge e per la cura degli interessi pubblici. Che valore ha quindi una circolare e quale il suo posizionamento nelle fonti del diritto? Una infarinatura o una rispolverata di diritto costituzionale – che vorremmo tanto consigliare agli estensori degli ultimi documenti di prassi – ci chiarisce che il nostro sistema giuridico si basa sul rispetto di quelle che sono chiamate fonti del diritto che hanno una struttura piramidale.

Semplificando, e di molto, diciamo che al vertice del sistema troviamo la Costituzione italiana, le leggi costituzionali, i trattati costitutivi dell’Unione Europea. Al secondo gradino, quali fonti primarie, ci sono le leggi ordinarie dello Stato e gli atti aventi forza di legge, le leggi regionali. Al terzo le fonti secondarie ovvero regolamenti governativi, regolamenti regionali e degli enti locali. All’ultimo gli usi e le consuetudini.

Come si pu  ben vedere tra le fonti non vengono annoverate le circolari, che quindi possiamo correttamente dire non costituire fonte del diritto e per questo non essere vincolanti né per i cittadini, né per i giudici. Ove non fosse abbastanza chiaro basti rammentare quanto a suo tempo venne ribadito dal Consiglio di Stato con la sentenza n. 7521 del 15.10.2010:

Le circolari amministrative appartengono al novero delle cosiddette “norme amministrative interne”, atti adottati dalle Amministrazioni al fine di autorganizzare la propria attività e darsi la struttura più adeguata per la realizzazione e la cura degli interessi di propria pertinenza … Il fondamento del potere di emanarle va, infatti, rinvenuto non nella legge, ma nel generale principio di autorganizzazione degli ordinamenti giuridici autonomi e nel potere di supremazia degli organi sovraordinati su quelli sott’ordinati.

Sia dunque chiaro che la circolare non crea mai un obbligo o un diritto, non lo amplia né lo limita. Prende atto della sua esistenza e consistenza e fa in modo che si realizzi ci  che il Legislatore vuole sia fatto.

Di norma una circolare si rende necessaria per diramare le istruzioni operative a seguito dell’introduzione di una novità legislativa. Non fa altro che “spiegare” come il dipendente della P.A. deve comportarsi innanzi alle richieste dell’utenza o nell’organizzazione dell’ufficio medesimo. Per questo se si aspettano dei mesi per dire alla struttura cosa fare è chiaro che la macchina burocratica, già malfunzionante di suo, si inceppa. Che ci vuole a capirlo?

Ovviamente le istruzioni operative producono anche effetti esterni all’amministrazione, a volte incidendo sulle posizioni giuridiche di soggetti estranei all’organo da cui provengono. E qui, fin quando richiedono al cittadino di uniformarsi ad un certo comportamento per l’accesso ad un dato servizio, nulla questio: anzi la cosa risulta quanto mai indispensabile perché la macchina statale non si inceppi. È quando invece la circolare diventa integrativa se non addirittura suppletiva della norma che qualcosa non funziona. Vuol dire che il Legislatore non è stato sufficientemente chiaro nell’individuare e precisare la fattispecie, costringendo così la Pubblica Amministrazione a spingersi oltre quanto di propria competenza per dare applicazione ai desiderata (o presunti tali) del Legislatore. Qui il rischio evidente che la lettura fatta dall’interprete pubblico si discosti da quella dell’utente a cui il provvedimento è rivolto e che ci  porti a del contenzioso con coloro che si sentono danneggiati. È palese come in questa situazione il problema stia a monte: mi riferisco all’ignoranza del Legislatore riguardo spesso a certi meccanismi dell’apparato amministrativo i quali impedirebbero, senza un in- ! tervento correttivo della prassi, l’applicazione della norma come scritta. Una cosa – è bene sottolinearlo – che ormai è quasi diventata la regola.

Ed ecco che, in questo marasma, qualcosa di singolare – probabilmente mai avvenuto per quanto io mi possa sforzare di ricordare – è successo lo scorso fine giugno. L’Inps ha infatti pubblicato la circolare n. 76 del 30 giugno 2022 con la quale, intervenendo sulla Riforma degli ammortizzatori sociali, ha fornito le proprie indicazioni in merito alle modifiche riguardanti, lo rammentiamo, l’estensione dei beneficiari gli interventi e la rimodulazione delle relative aliquote di finanziamento. Non entreremo qui nel merito delle istruzioni fornite: ci  su cui vogliamo soffermarci è la tempistica con cui queste indicazioni sono state divulgate.

Ricordate? I have a Dream. Il sogno di veder pubblicare una circolare in tempo reale o, perlomeno, quasi contestualmente alla pubblicazione della norma così da garantirne l’immediata applicazione.

Una cosa che sarebbe più che normale visto che, in questo caso, parliamo di modifiche che dovevano entrate in vigore da gennaio 2022. È infatti chiaro che se si attende a fine giugno 2022 – ovvero 6 mesi, mezzo anno, 180 giorni – per dirci quanto, dal 1° gennaio, devono pagare aziende e lavoratori non puoi non immaginare che delle tardive istruzioni comportino dei “problemini” per quelle aziende che hanno nel frattempo cessato l’attività o anche soltanto in riferimento ai lavoratori che hanno risolto il loro rapporto di lavoro.

Se non ci arrivi da solo, caro amministratore della res pubblica, qualche domanda te la devi porre. Chi andrà a recuperare dagli ex-lavoratori quanto dovuto per i mesi del 2022 in cui sono stati in forza? Le aziende o se ne preoccuperà l’Inps? Gli faranno uno sconto, un abbuono? E la quota a carico dei datori di lavoro sarà ugualmente dovuta? Parliamo di 6 mesi di dimissioni e di licenziamenti, mica di bruscolini. E sì che noi su Sintesi la questione l’avevamo scritta già da aprile¹ ed anche il nostro CNO, il mese dopo, l’aveva segnalata al Direttore Generale dell’Inps. Niente. Dall’Istituto manco un accenno alla cosa. E senza che si fa? Cantiamo tutti insieme Chi ha avuto, ha avuto, ha avuto … chi ha dato, ha dato, ha dato … scurdámmoce ’o ppassato, simmo ’e Napule paisá! … ?

E per il danno erariale come la mettiamo?

Certo, trovare le colpe quando si parla di P.A. è sempre un problema. E poi c’è quel maledetto meccanismo per cui le circolari le prepara l’Inps ma poi devono passare al vaglio del Ministero. Vero, ma 180 giorni per questo iter sono comunque eccessivi. Qui difficile capire se si tratta di indolenza o dove si sia verificato l’inghippo.

Mi chiedo: è l’Inps che ha impiegato mesi per predisporre la circolare da consegnare al Ministero, che di contro è stato ligio e celere a concedere il proprio via libera? O è il Ministero che ha aspettato vari mesi a dare il suo ok ad una circolare preparata invece tempestivamente dall’Inps? Oppure sono tutti e due che se la son presa comoda, dividendosi equamente la responsabilità per questo ritardo?

Comunque sia se il Legislatore si fosse coordinato con gli uffici di Via Ciro il Grande, chiedendo se fosse coerente l’entrata in vigore della norma sugli ammortizzatori sociali prevista dal 1° gennaio 2022 con i tempi tecnici di sistemazione e adeguamento dei programmi informatici dell’Istituto, forse ci saremmo evitati tutti questi problemi.

E non finisce mica il cielo, cantava Mia Martini. All’Inps invece non finiscono mai le circolari ed i messaggi. Infatti, il giorno seguente la pubblicazione della circolare n. 76, appare il messaggio n. 2637 del 01 luglio 2022, che rettifica le prime indicazioni che avevano stabilito l’adeguamento delle procedure di calcolo del carico contributivo a decorrere dal periodo di competenza “GIUGNO 2022” e il conseguente recupero per i mesi pregressi (dal mese di Gennaio 2022 fino al mese di maggio 2022) … esclusivamente nei flussi UniEmens di competenza di giugno, luglio e agosto 2022.

Ovviamente – ma lo avrebbe capito pure un bambino – non potevano esserci i tempi tecnici per adeguare i software paghe e per questo con il nuovo messaggio si è stati costretti a rettificare la precedente indicazione consentendo quindi l’adeguamento delle procedure a decorrere dal periodo di competenza “LUGLIO 2022” e il recupero contributivo per i mesi pregressi (dal mese di Gennaio 2022 fino al mese di giugno 2022) … esclusivamente nei flussi UniEmens di competenza di luglio, agosto e settembre 2022. In un solo giorno l’Inps si accorge di aver scritto una stupidaggine e corre ai ripari. A questo proposito leggiamo sul sito web dei Consulenti del lavoro che la rettifica sarebbe avvenuta grazie all’intervento del nostro Ordine (Aliquote contributive: Inps accoglie richieste del CNO). La cosa se possibile appare ancor più imbarazzante: all’Inps, senza di noi, non si sarebbero nemmeno accorti di questa criticità. Peraltro, non crediamo certo che il CNO abbia avuto contezza della circolare il 30 giugno, che la sera stessa abbia “telefonato” al Direttore Generale per esternare il proprio disappunto ed il Direttore nella notte abbia partorito il messaggio pubblicato poi il 1° luglio 2022. Più probabile che la circolare sia arrivata (informalmente) sulla scrivania dei vertici dei Consulenti molto prima e che le osservazioni siano arrivate all’Inps quantomeno qualche giorno prima della pubblicazione della circolare n. 76/2022. Ove fosse corretta questa ricostruzione, una volta saputo l’Istituto della problematica perché, ci chiediamo, pubblicare una circolare sbagliata per rettificarla il giorno seguente con un messaggio ad hoc?

Non conveniva correggerla direttamente, la circolare? Non mi si dica che occorreva ripassare di nuovo dal Ministero chiedendo l’autorizzazione anche per simili bazzecole? Anche perché poi la rettifica l’Inps l’ha fatta, sua sponte, il giorno dopo senza chiedere alcunché a nessuno.

Ma qualche domanda ce la dobbiamo porre anche sul modus operandi dei tecnici ministeriali circa le procedure di validazione delle circolari Inps.

Infatti, se anche fosse che il Ministero abbia licenziato la circolare in prossimità della fine di giugno perché non ha corretto egli stesso i riferimenti al mese di giugno con luglio? Ma le leggono le circolari, entrando nel merito del loro contenuto, o fanno semplicemente da ufficio passacarte? Non si sono accorti della sciocchezza che stavano autorizzando a pubblicare? Chi è il responsabile di questa ennesima figuraccia da dilettanti del diritto e della gestione della cosa pubblica?

Oddio, un dubbio: non sarà che la circolare se la sono letta già a febbraio, piuttosto che a marzo (quando il riferimento al mese di giugno ci poteva anche stare), e se la sono tenuti nel cassetto a stagionare un poco senza quindi una sua rilettura finale?

Anche in questo caso il Ministero non ne esce affatto bene.

Comunque sia è più che evidente che il sistema, così come oggi strutturato, non funziona. Il problema è che se provi ad avvicinarti per capire o per cambiare qualcosa ti senti dire dal solito “agente”:

Su su, signori, per cortesia … non c’è niente da vedere … su su, forza, circolare … circolare …

1. A. Borella, Le novità 2022 e la solita burocrazia Inps. Metti la cera, togli la cera, in questa Rivista, aprile 2022, pag. 32.

Preleva l’articolo completo in pdf

di Alberto Borella – Consulente del lavoro in Chiavenna (So)

 

L’inizio 2022 ha portato molte novità in ambito lavoristico. E pure belle toste. La riforma dell’Irpef, quella degli ammortizzatori sociali oltre l’assegno unico universale, solo per citarne alcune.

Nessuna novità invece sul fronte legislativo dove, ancora una volta, ci tocca registrare la cronica incapacità di predisporre norme chiare ma soprattutto immediatamente applicabili, non solo sulla carta ma nella vita reale e del mondo del lavoro.

Nessuna novità anche riguardo ai nostri Enti che ancora una volta danno conferma che riuscire a dare istruzioni tecniche e operative, magari in un’unica circolare, in tempi idonei alle intenzioni del Legislatore è ormai una lontana chimera.

Certo, bisognerebbe operare dei distinguo ovvero capire quando è il primo a sovrastimare la capacità del secondo a rendere immediatamente operative le novità e quando invece è il secondo ad indugiare troppo senza capire il caos burocratico che comporta il minimo ritardo nel dare attuazione ai nuovi precetti. Ma vediamo di capire di cosa stiamo parlando analizzando alcune novità 2022.

 

LA RIFORMA DEGLI AMMORTIZZATORI SOCIALI: I NUOVI DESTINATARI DEL FIS

Dal 1° gennaio 2022 si è previsto l’allargamento della platea dei datori di lavoro che possono utilizzare gli strumenti del fondo di integrazione salariale (Fis). In sostanza non è più previsto alcun requisito dimensionale, il che comporta che anche le imprese con un solo dipendente accedono oggi all’ammortizzatore. La diretta conseguenza è che anche questi nuovi soggetti sono obbligati alla contribuzione prevista per il finanziamento di questi strumenti. Nello specifico è previsto che il Fis sia finanziato da un contributo ordinario, differenziato per le aziende che nel semestre precedente abbiano occupato mediamente fino a cinque dipendenti (lo 0,50% della retribuzione imponibile) o oltre i cinque dipendenti (lo 0,80%) e ripartito tra datori di lavoro e lavoratori nella misura, rispettivamente, di due terzi e di un terzo.

Su tali aspetti l’Inps ha diramato dapprima la circolare n. 18/2022 e poi i messaggi n. 637/2022 e n. 1403/2022, rimandando ad una ulteriore circolare le istruzioni per il corretto assolvimento degli obblighi informativi e contributivi. Arriveremo quindi a quattro “circolari” (sperando bastino) per un argomento che non pare poi nemmeno così complicato. Che bisogna pensare, che all’Inps c’è qualche premio di produttività ancorato al numero di circolari, messaggi, Faq e comunicati stampa pubblicati ogni anno? Il dubbio comincia ad insinuarsi. Vabbè, resta il fatto che, in attesa di conoscere le necessarie indicazioni operative, l’Istituto – bontà sua – consente ai datori di lavoro interessati di continuare ad attenersi, per i periodi di paga dal 1° gennaio 2022, alle disposizioni amministrative in uso al 31 dicembre 2021. Ma non fatevi troppe illusioni, non ci faranno alcuno sconto: le differenze contributive afferenti ai suddetti periodi di paga saranno pagate. Bisogna solo attendere la preannunciata quarta circolare.

Ora, è chiaro che siamo assuefatti a gestire i soliti arretrati e annessi conguagli. Qui pero’ il problema è diverso in quanto le predette differenze retributive potrebbero riguardare lavoratori licenziati o dimissionari nei primi tre mesi dell’anno.

La questione che si pone pertanto è come fare a recuperare la quota di un terzo del contributo a carico di un lavoratore che risulterà esser già licenziato. Inevitabilmente andrà elaborato un cedolino paga ad hoc, riaprendo la posizione del lavoratore, il che ha delle conseguenze di non poco conto. In primis, non essendoci ulteriori competenze da erogare al lavoratore, il cedolino paga risulterà negativo. Ve li immaginate i datori di lavoro correr dietro ai lavoratori non più in forza per farsi dare indietro quattro lire? E provate ad immaginare di dover far tutto questo nei confronti di lavoratori stagionali, magari extracomunitari, o di persone che nel frattempo risultassero decedute. Senza considerare che il contributo previdenziale da trattenere andrà ad abbassare l’imponibile fiscale del lavoratore. E questo comporta che, oltre alla elaborazione di un prospetto paga, andrà pure rifatto il conguaglio fiscale e redatta una nuova CU per quei lavoratori che nel frattempo ne avessero richiesto il rilascio per fruire del conguaglio previsto dal comma 4 dell’art. 23 del DPR n. 600/73.

E ovviamente anche il nuovo datore di lavoro dovrà reinserire nei propri archivi una nuova CU rivista e corretta. E non vorrei pensare a quelli che nel frattempo hanno avuto un terzo datore di lavoro.

“Fai il cedolino paga, rifai il cedolino … fai il conguaglio fiscale, rifai il conguaglio …” Credo che oggi nemmeno il maestro di karate Miyagi riuscirebbe a convincere un Consulente del lavoro in kimono che tutto questo ha un suo scopo.

E se qualcuno pensasse che la soluzione al problema possa essere la rinuncia dell’azienda al recupero presso il dipendente del credito pur di fronte ad un cedolino paga negativo se non addirittura la rinuncia ad elaborare un nuovo cedolino paga facendo versare al datore di lavoro anche la quota del lavoratore, non creda che la cosa sia tecnicamente e contabilmente così semplice.

L’ESONERO CONTRIBUTIVO DELLO 0,80% A FAVORE DEI LAVORATORI

Un problema analogo nasce dalla previsione dell’art. 1, comma 121, della Legge di Bilancio 2022 che prevede per i periodi di paga dal 1° gennaio 2022 al 31 dicembre 2022 un esonero sulla quota dei contributi previdenziali per l’invalidità, la vecchiaia e i superstiti a carico del lavoratore di 0,8 punti percentuali a condizione che la retribuzione imponibile, parametrata su base mensile per 13 mensilità, non ecceda l’importo mensile di 2.692 euro, maggiorato, nel mese di dicembre, del rateo di tredicesima.

Considerato il ritardo nell’emanazione della circolare n. 43 del 22 marzo 2022 l’Inps ci consente – sempre magnanimamente – di eseguire i conguagli per quanto dovuto dal mese di gennaio 2022 esclusivamente nei flussi Uniemens di competenza di marzo, aprile e maggio 2022. E si preoccupa invero anche dei datori di lavoro interessati all’esonero contributivo della contribuzione a carico del lavoratore, che hanno sospeso o cessato l’attività e vogliono fruire dell’esonero in trattazione, i quali dovranno avvalersi della procedura delle regolarizzazioni (Uniemens/vig).

Si dimentica però  – esattamente come accaduto per la quota di un terzo del contributo FIS – dei lavoratori che nel frattempo hanno già cessato il loro rapporto di lavoro, per i quali, e ve lo diciamo noi, si dovrà elaboratore un nuovo cedolino paga, inviare un Uniemens, pagare un F24, rifare il conguaglio fiscale e magari, per chi nel frattempo avesse anticipato la CU su richiesta del lavoratore, elaborarne e consegnarne una nuova. Qui l’unica fortuna è che il cedolino paga risulterà positivo in quanto si deve riconoscere un beneficio economico al lavoratore ovvero la differenza a credito dello stesso su quanto pagato in eccedenza. Certo, bisogna sperare che il lavoratore, nel frattempo, non sia deceduto perché ci sarebbe pure il problema di gestire il pagamento nei confronti di un tot di eredi. Problemi dunque? Ma no, che volete che sia. Basterà fare un bonifico, tanto a predisporlo ci si mette un nanosecondo e, per le spese dell’operazione, le banche ci faranno lo sconto. E poi per questi adempimenti, tutte queste rielaborazioni, noi Consulenti del lavoro mica li facciamo pagare ai clienti! Va tutto nel forfait, in tél buient n come si dice dalle mie parti.

Del resto, la superficialità con cui si trattano queste problematiche a certi livelli viene confermata dall’ennesima perla a firma Inps. Nella citata circolare n. 43/2022 l’Istituto – dopo aver giustamente riconosciuto che l’agevolazione rappresenta una riduzione contributiva per il lavoratore e che per questo non comporta benefici in capo al datore di lavoro – si contraddice sostenendo che

I datori di lavoro interessati all’esonero contributivo della contribuzione a carico del lavoratore, che hanno sospeso o cessato l’attività e vogliono fruire dell’esonero in trattazione, dovranno avvalersi della procedura delle regolarizzazioni (Uniemens/vig).

Abbiamo capito bene? Secondo l’Inps sarebbero i datori di lavoro a decidere se volere o non volere “ fruire” dell’esonero in questione?

Ora, sia ben chiaro che:

• i datori non fruiscono di alcun esonero!
• i datori riconoscono solo l’esonero, che spetta ai propri dipendenti!!
• i datori sono obbligati a fare tutto questo verso gli ex-lavoratori!!!

LA RIFORMA DEGLI AMMORTIZZATORI SOCIALI: LE DOMANDE DI INTERVENTO FIS

E non crediate che sia finita qui.

Sarà capitato di certo pure a voi in questi primi mesi del 2022 di presentare una richiesta di assegno di integrazione salariale al Fondo di solidarietà. Immagino che la vostra pratica sia rimasta lì in sospeso, tecnicamente in istruttoria ma senza che la sede competente avanzasse alcuna richiesta di integrazione documentale. Una situazione a dir poco anomala dato che fin dal messaggio Inps n. 1856 del 3 maggio 2017 la costante indicazione

dell’Istituto è che L’istruttoria deve essere improntata a criteri di celerità e speditezza che consentano di definire l’istanza in tempi rapidi. Bene, se anche voi vi siete chiesti il perché di tutto ciò  e ancora non avete avuto una risposta, provo a darvela io. Problemi tecnici: questa la risposta dei responsabili di sede che confessano peraltro che, mentre le domande di Cigo sono state regolarmente lavorate, le istanze di Fis sono state sbloccate solo mercoledì 30 marzo 2022 e, quindi, solo da tale data risultano in stato di “in lavorazione”. Ora non si è capito bene a cosa ciò  sia dovuto ma è facilmente intuibile che la registrata impasse sia collegata alla recente riforma degli ammortizzatori sociali e al previsto ampliamento dei soggetti beneficiari. Oddio, a dire il vero, per quanto riguarda le mie istanze, queste interessavano un’azienda che, occupando più di 5 dipendenti, era già soggetta al Fis ma questo per l’Istituto è un dettaglio: per non far torto a nessuno le domande son state bloccate tutte. Nessun “favoritismo”. Non interessa se l’azienda ha anticipato il trattamento economico ai lavoratori. E che importa se aspetterà qualche mese prima di portare a conguaglio le somme in questione scontandole dalla contribuzione da versare alle scadenze previste. E qui la domanda sorge spontanea: ma possibile che il Legislatore, prima di emanare una norma di cui ne intende disporre l’immediata operatività, non si preoccupi di confrontarsi con gli Enti preposti per essere certo che siano in grado di gestire gli adempimenti in tempo reale senza creare disagi a lavoratori, alle aziende e ai loro consulenti? Evidentemente no. Si fan le norme ma per la loro attuazione si può  aspettare. Del resto, si sa, anche qualora venga previsto un termine per l’emanazione di qualche decreto attuativo i termini per la PA son sempre ordinatori. Quelli perentori, di decadenza valgono ovviamente solo per le aziende.

E FACCIAMOLA UNA PROTESTA

A fronte di questa ennesima mancanza di rispetto verso la Professione forse la risposta più adeguata sarebbe di dire:

E basta. Caro Inps, adesso basta.

 

Preleva l’articolo completo in pdf

Un nuovo spazio a disposizione! Abbiamo deciso di accogliere le segnalazioni di inefficienza burocratica ed amministrativa che generano costi e fastidi per i cittadini e le imprese. Gli Autori che ci invieranno i loro contributi garantiscono l’adeguata verifica dei fatti e delle disfunzioni narrate sotto la loro responsabilità.

---

di Claudio Boller,  Consulente del lavoro in Treviso 

e Marco Militello, Consulente del lavoro in Roma

 

L’informazione data è falsa. Ma quello che si vuole sottolineare non è la fake news e le conseguenze che quotidianamente ogni notizia falsa arreca alla conoscenza comune e al sistema democratico. Quello che si vuole denunciare oggi è un gravissimo caso di data breach. Quale? Ora ve lo spieghiamo.

PREMESSA

Anno 2018, l’argomento del giorno è la digitalizzazione degli studi, la riorganizzazione del lavoro in ottica smart, il welfare aziendale ed il coworking, la fatturazione elettronica, la firma digitale qualificata, il regolamento del Garante europeo sulla privacy.

Costantemente ogni professionista deve affrontare miriadi di adempimenti, ben conscio che dietro ad ogni angolo si insinua l’errore e la conseguente famigerata sanzione.

Ed in questa grande rivoluzione organizzativa, il 25 maggio scorso tutti abbiamo visto, impotenti, sorgere l’era del GDPR 679/2016.

Per i più disattenti ricordiamo che si tratta di un regolamento europeo, applicabile a tutti gli stati membri, che cambia radicalmente l’approccio all’argomento privacy, spostando il fulcro della materia dal formalismo al sostanzialismo, dai rischi per l’azienda, ai rischi per l’interessato persona fisica.

Parole inglesi come accountability, privacy by design e by default, data breach o parole come diritto all’oblio, sono diventate improvvisamente di uso comune sia per gli addetti ai lavori ma anche per chiunque abbia a che fare con dei dati personali.

Quello che abbiamo subito imparato è che con il termine PRIVACY si intende “il diritto di ogni persona alla riservatezza dei dati che lo identificano, comprendendovi il diritto a controllare che le proprie informazioni vengano trattate o controllate da altri solo in caso di specifica necessità.”

Parole che, se lette con molta attenzione, racchiudono in sé la grande sfida moderna, la sfida del singolo essere umano nei confronti della tecnologia sfuggita di mano e con essa delle informazioni che, nell’era della globalizzazione, si propagano in un millesimo di secondo, senza poterle realmente domare e conseguentemente controllare.

ADEMPIMENTI OBBLIGATORI E PRIVACY DEGLI ENTI PUBBLICI

L’introduzione a questo articolo è stata, volutamente, un po’ fumosa, vuoi per creare un minimo di suspense in merito ad un argomento particolarmente serio, vuoi per far capire che la gravità di quanto stiamo denunciando ha radici profonde.

A partire dal 12 marzo 2016, ai sensi dell’art. 26, D.lgs. 14 settembre 2015, n. 151, chiunque voglia rassegnare le proprie dimissioni, pena l’inefficacia delle stesse, deve procedere esclusivamente con modalità telematiche, tramite il portale Cliclavoro del Ministero del Lavoro e delle Politiche Sociali.

Tale comunicazione può essere effettuata direttamente dal cittadino, utilizzando il proprio pin, o tramite soggetti terzi espressamente autorizzati (consulenti del lavoro, patronati, organizzazioni sindacali, enti bilaterali, commissioni di certificazione, sedi territoriali dell’INL).

Tali soggetti procedono sempre in due fasi, la prima richiede l’identificazione univoca del lavoratore che vuole dimettersi, pertanto una raccolta documentale specifica: comunicazione scritta della volontà di dimettersi, copia della carta d’identità, mandato ad adempiere per il soggetto terzo autorizzato ed impegno alla trasmissione di quest’ultimo, nonché informativa sul trattamento dei dati del dimissionario; il tutto va conservato, secondo il regolamento GDPR, mantenendo la massima riservatezza e sotto la responsabilità totale del Titolare del trattamento (il soggetto inviante).

Attenzione a come viene conservata la documentazione del lavoratore dimissionario, in quanto l’eventuale violazione di sicurezza che comporta accidentalmente od in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, comporta (art. 4, GDPR) un data breach.

La seconda fase, di tipo più tecnico, richiede l’accesso al portale Cliclavoro: una volta accreditatosi con le proprie credenziali e pin, l’operatore potrà inserire il codice fiscale dell’azienda, quello del lavoratore e procedere a compilare il modulo delle dimissioni.

Quindi, quello che sappiamo è che se il professionista o comunque il terzo autorizzato, subisce un data breach, nello specifico una distribuzione non autorizzata o impropria dei dati personali degli interessati verso terze parti, deve darne entro sole 72 ore notifica (autodenuncia) al Garante per la Privacy (art. 33, GDPR).

Non solo, lo sfortunato professionista od operatore, di fronte ad un data breach, dovrà subire le sanzioni amministrative fino a 10 milioni di euro o 2% del fatturato, eventuali sanzioni penali e, ciliegina sulla torta, gravissimi danni reputazionali.

Durante la seconda fase, accedendo all’indirizzo http://www.lavoro.gov.it/strumenti-e-servizi/Dimissioni-volontarie/Pagine/default.aspx, si legge espressamente che “La consultazione dei modelli telematici delle dimissioni volontarie/risoluzione consensuale e della loro revoca, è permessa, in sola lettura, ai datori di lavoro della propria azienda e alle sedi territoriali competenti dell’Ispettorato Nazionale del Lavoro”.

Ed ecco che entriamo nel vivo del fattaccio. Considerato fino ad adesso come deve comportarsi il singolo professionista/operatore privato, ed i rischi e le responsabilità che gravano su di lui, cosa si dovrebbe dire e fare quando a divulgare bellamente le informazioni è proprio il Ministero del Lavoro e delle Politiche Sociali?

Avete capito bene, cari lettori che siete giunti fino a qui, provate ora a collegarvi al sito www.cliclavoro.gov.it, inserite le vostre credenziali e nel campo Codice Fiscale inserite 00997670583.

Ve lo diciamo subito, abbiamo preso a caso il C.F. della Banca d’Italia, ma potete farlo con quello dell’Inps (80078750587), del Comune di Roma (02438750586), dello stesso Ministero del Lavoro (80237250586), o di qualsiasi azienda privata d’Italia, compreso anche il nostro Studio.

Ebbene sì, ogni operatore può conoscere l’elenco di tutti i lavoratori dimissionari di qualsiasi azienda, vederne i dati personali, le motivazioni (ad esempio giusta causa), chi ha effettuato la procedura on line e, ultimo ma non ultimo, può procedere alla loro revoca.

Piccola chiosa: conosciamo bene il nome Sogei, quello che identifica la società che da sempre predispone e gestisce i software dell’Agenzia delle Entrate; se andate a visitare il loro sito www.sogei.it vi accorgerete che in alto a sinistra non compare il lucchetto verde. Cosa significa? Che si tratta di un sito non sicuro, cioè le pagine che si stanno visitando includono una procedura di login, richiedono l’inserimento di informazioni personali o numeri di carte di credito senza usare alcun protocollo crittografico. A buon intenditor…

IL DATA BREACH DEL MINISTERO

Il data breach, messoci incomprensibilmente a disposizione dal Ministero del Lavoro, ci è stato segnalato da un collega che conosce la nostra malignità.

Dopo esserci divertiti a verificare l’effettiva possibilità di violare dati e archivi a cui non dovremmo poter accedere, siete invitati anche tutti voi a provare a fare lo stesso, raccomandandoci però di non modificare o revocare alcunché, guardare e non toccare insomma.

Riteniamo però doveroso prendere in considerazione di segnalare il caso al Garante per la Privacy, non solo in osservanza ai dettami dell’art. 33 del GDPR, quanto piuttosto perché giudichiamo inaccettabile che il controllore violi i principi elementari di sicurezza, violi cioè quelle regole che poi impone e per i quali sanziona pesantemente i controllati (studi professionali e operatori del settore nello specifico).

Per rendere ancora più palese l’assurdità di cui stiamo trattando, evidenziamo con un esempio la gravità del data breach di Cliclavoro: in termini di paragone è come se io dovessi fare un bonifico e, digitando semplicemente l’Iban del fornitore, potessi entrare nel suo estratto conto e visionare tutte le operazioni bancarie da lui effettuate, ma anche modificare e revocare i bonifici che gli sono entrati e farne di nuovi.

E se io subissi il furto delle mie password di Cliclavoro? È vero, dovrei rispondere della mancata sicurezza perché non le ho tutelate a sufficienza, ma poi?

Se chi ne entra in possesso dovesse divertirsi a giocare con Cliclavoro e prendere a caso gli archivi della Banca d’Italia, dell’Inps, della Plasmon, della Nestlè o di chi gli passa per la mente, e volesse sbizzarrirsi ad effettuare dimissioni di nomi famosi e a revocare tutte le vecchie, chi ne risponde?

La mia responsabilità dovrebbe essere limitata agli effetti relativi alla mia incuria, non ai successivi data breach resi possibili, seppure attraverso le password sottrattemi, da disattenzione di terzi, nel caso particolare quella del Ministero del Lavoro e delle Politiche Sociali.

Un caso simile era già successo a settembre del 2017 con lo spesometro.

Ogni professionista che doveva trasmettere i dati semestrali all’Agenzia delle Entrate, una volta inserite le proprie credenziali Entratel, si accorse che, digitando il codice fiscale di un contribuente, poteva accedere a tutti i dati del suo spesometro e alle sue liquidazioni IVA, perché l’ambiente “Fatture-Corrispettivi” era libero e consultabile a tutti.

La barzelletta però non finiva qui, se il codice fiscale che si andava ad inserire apparteneva ad un intermediario, era possibile visionare anche i dati della sua clientela.

Ricevuta la segnalazione, i vertici dell’Agenzia delle Entrate dovettero fare una relazione al Garante della Privacy e fare intervenire di corsa Sogei – partner “tecnologico” (le virgolette sono un obbligo stante la comicità della situazione) del Fisco – che, con un intervento di manutenzione straordinario, provvide a bloccare l’accesso al servizio e a mettere in sicurezza i dati.

Chi ha pagato per questo? In un paese normale sarebbero dovute saltare diverse teste; in un’azienda privata, neanche a dirlo, il responsabile sarebbe stato messo alla porta immediatamente con provvedimento disciplinare per giusta causa.

Nel sonno e buonismo che pervadono invece il nostro Stato, e parastato, tuttavia, non ci risulta che abbia pagato nessuno.

Spostiamoci ora su un altro piano e cerchiamo di alzare il nostro livello di perfidia, che dovrebbe essere sinonimo di giustizia, dal momento che nei tribunali ci fanno leggere che “La legge è uguale per tutti”, mentre non c’è nulla di più disatteso e calpestato di questo antico brocardo.

A dirla tutta, questa scritta è generalmente posta alle spalle del giudice, situata in alto dietro di lui o in basso, impressa sul bancone della Corte, facendo sì che la leggano (e ricordino) più il pubblico e gli imputati che non il giudice al quale dovrebbe invece essere rammentata ogni volta che sta per emettere una sentenza.

Se vogliamo, infatti, applicare il principio di giustizia che “la legge è uguale per tutti” dovrebbe essere prerogativa e impegno di ogni giudice, soprattutto nel momento applicativo della legge stessa, quindi perché metterla alle loro spalle?

Gli effetti sono quelli che talvolta subiamo e che, se vogliamo difendere anche l’articolo 3 della Costituzione e la dignità dei professionisti in questo caso specifico, dobbiamo denunciare e contrastare con forza e con un’azione comune questo ennesimo scivolone informatico dell’apparato statale.

Perché non chiedere, ad esempio, che il Ministero, resosi colpevole di non avere vigilato sufficientemente sulla privacy e violabilità dei dati personali in suo possesso, venga multato – come per tutte le aziende e professionisti soggetti al GDPR, dal momento che ci hanno obbligati a studiare tutta la normativa e ad adeguarci ad essa, al limite del terrorismo psicologico – con la sanzione massima di 10 milioni di euro.

Magari i soldi della sanzione poi vengono destinati a costituire un fondo da cui attingere per pagare le successive e future pene pecuniarie che dovranno subire gli studi professionali per il mancato rispetto di banali violazioni della privacy, scritte e pensate da persone che ci hanno imposto regole assurde e complicate all’inverosimile, quand’anche inapplicabili nella realtà perchè, invero, non hanno mai fatto gli imprenditori e non sanno conservare in sicurezza neanche il proprio 730?

Perché non salta la testa del responsabile di questo data breach ministeriale come avverrebbe in qualunque altro contesto?

Perché dobbiamo subire le inefficienze di una classe dirigenziale della pubblica amministrazione che pontifica sulla generalità dei cittadini, ma le cui responsabilità e incapacità manageriali trovano sempre copertura, comprensione, accondiscendenza e mostrano una disparità di trattamento inaccettabile rispetto alla generalità dei cittadini comuni?

Da ultimo, tante sono le domande che ci poniamo: chi sono gli informatici che rendono possibili le violazioni delle più elementari verifiche di sicurezza dei dati sensibili nelle mani dello Stato?

Ci facciamo del male da soli con dei tecnici a disposizione del Ministero e di Cliclavoro, o abbiamo concesso l’ennesimo appalto a società inadeguate che hanno personale e conoscenze non all’altezza dell’importante e delicato compito che devono gestire e garantire?

Come sono stati scelti e selezionati questi informatici? Quale è stato il criterio di valutazione? Quali garanzie hanno dato al Ministero del Lavoro e delle Politiche Sociali prima di essere messi a lavorare sul sistema delle dimissioni online?

Quali test sono stati fatti prima di mettere online il portale di Cliclavoro? Che certificazione è stata rilasciata? Quali esperienze pregresse avevano queste società? Vogliamo leggere i curricula di coloro ai quali è stata affidata la gestione informatica del sistema!

Ci piovono continuamente dall’alto adempimenti di dubbia utilità che impegnano le nostre vite e il nostro tempo per studiare norme mutevoli e contraddittorie, per lo più scritte anche male, che ci obbligano a lavorare sempre di più e sempre gratis per la pubblica amministrazione, che non solo non ci riconosce nulla ma ci vessa con sanzioni che essa stessa dovrebbe essere la prima a pagare, essendo palesemente colpevole della loro violazione.

Riteniamo che dare seguito a questa denuncia – con una azione comune di autotutela della nostra dignità professionale, chiedendo che vengano accertate le responsabilità in tempi rapidi del data breach di Cliclavoro -, sia un dovere di ogni professionista e, in qualità di intermediari autorizzati, ci offriamo volontari per aiutare il responsabile a rassegnare le dimissioni dal proprio incarico.

Gli studi di tutti i Consulenti del Lavoro restano a disposizione.

 

Preleva l’articolo completo in pdf 

di Andrea Merati – Consulente sistemi di gestione aziendale

 

Tra il concludersi dell’estate e l’aprirsi dell’autunno, due atti unici si sono succeduti sul palcoscenico della protezione dei dati: il 19 settembre è entrato in vigore il decreto legislativo di armonizzazione della normativa nazionale al Regolamento EU 679/2016; poco meno di un mese dopo il Garante per la protezione dei dati personali (che poi è sempre lui, il Garante Privacy, che ancora vive la sua doppia identità, tra passato e presente) ha pubblicato le istruzioni riguardanti il registro dei trattamenti.

Il Codice Privacy ammodernato

Premessa: il D.lgs. n. 101/2018, di per sé illeggibile, se volete seguirne le vicende normative, appassionarvi per le sue coraggiose avventure e allietarvi con la sua prosa colta e leggiadra, vi consiglio di scaricare il testo coordinato dal sito del Garante (conquistabile agilmente in internet tramite digitazione di “codice coordinato garante”).

La parte generale del Codice Privacy viene ampiamente abrogata per lasciar spazio alle disposizioni del Regolamento, in questo modo le norme su: principi, basi giuridiche del trattamento, informativa e consenso, vengono sostituite da quelle contenute nel GDPR.

Nella parte speciale invece si trova la regolamentazione di alcune questioni di un certo rilievo:

• Per i controlli a distanza viene recepita pedissequamente la legge n. 300 del 1970 (sia per l’art. 4, sia per l’art. 38), come modificata nel 2015 dal D. lgs. n. 151. Niente di nuovo, quindi, ma un’ennesima conferma che, per affrontare questo tema, è necessario:
  • analizzare quali e quanti dati vengono raccolti, non fermandosi alla videosorveglianza (o, ancor peggio, sulla disquisizione dell’esatto angolo di visuale del videocitofono) ma pensando a localizzazione, log informatici, dispositivi mobili;
  • fissare esattamente la finalità per la quale questi dati vengono raccolti;
  • informare gli interessati dei due punti qui sopra esposti.
• Nella gestione dei curricula vitae, il D.lgs. n. 101/2018 stabilisce che l’informativa ex 13 del GDPR, può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum; fermo restando il rispetto delle finalità stabilite dall’articolo 6, paragrafo 1) lettera b) del Regolamento UE, il consenso al trattamento dei dati personali non è richiesto. Quindi i CV si possono ricevere, tenere per un tempo determinato e utilizzare per selezionare il personale, senza dover inviare nulla, né chiedere niente ai candidati (in questo paese manca solo che ci si metta a cestinare i lavoratori ancora prima di assumerli, per incrementare le quote divano).
• Per continuità mantengono il loro valore i provvedimenti e le autorizzazioni del Garante fino al completamento del loro riesame e adattamento (da compiersi entro novanta giorni dalla data di entrata in vigore del decreto).
• Il Garante è chiamato a promuovere l’emanazione di regole deontologiche per taluni settori (lavoro, giornalismo, statistica e ricerca scientifica) tramite coinvolgimento dei soggetti interessati e pubbliche consultazioni. Grandi speranze dickensiane vengono riposte in ordini e collegi professionali.
• Il nuovo articolo 154 bis, co. 4 del Codice Privacy prevede: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, […] il Garante per la protezione dei dati personali, […], promuove, […], modalità semplificate di adempimento degli obblighi del titolare del trattamento”. Anche in questo caso ampie aspettative, sperando che non si tramutino in miraggi sahariani, un avviso di mobilitazione c’è, ne scrivo più avanti.
• Si prevedono sanzioni penali per alcune violazioni della normativa, che vanno ad aggiungersi alle note sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo) che hanno atterrito uomini e donne di buona volontà.

Vengono penalmente sanzionati: il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante; la violazione del comma 1 dell’art. 4 dello Statuto dei Lavoratori.

• I diritti riferiti ai dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione. Qui forse ci vorrà un po’ di giurisprudenza per capirne contorni e pietanze.
• Ai sensi dell’art. 22, co. 13, “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. Questo l’ho riportato testualmente perché non ci possa essere fraintendimento: non si tratta di proroga ma di un invito alla bontà d’animo del controllore che, certamente seguirà la richiesta di amabili sentimenti ma non significa che si può aspettare maggio 2019 per adeguarsi, si cadrebbe nella diabolica perseveranza.

La semplificazione sospirata

L’otto ottobre, il Garante per la protezione dei dati personali ha pubblicato (basta cercare in internet “faq registro garante” e vi si sbarca agevolmente) alcune istruzioni sul Registro delle attività di trattamento ma, soprattutto, due modelli, semplificati e scaricabili, uno per il Titolare e l’altro per il Responsabile del trattamento, sia in pdf sia in Excel, rivolti alle piccole e medie imprese.

I documenti sono utili per semplificare il percorso di adempimento, perché riducono all’essenziale la fase di analisi e di compilazione, permettendo di creare due strumenti (i consulenti del lavoro dovrebbero tenerli entrambi: da Titolare, per i trattamenti da datore di lavoro, e da Responsabile, per i dati dei clienti) che diventano solida base per la redazione della documentazione e l’analisi dei rischi.

Chiudo insistendo: un sistema informatico contemporaneo – l’antico si sposa bene con gli arredi e il rosa, per nulla con la tecnologia – e una seria formazione delle persone – l’ignoranza invece fa pendant col fallimento – possono evitarci di restare mezza giornata in osservazione di un tecnico, che ci ripristina il sistema marmorizzato da un attacco informatico, mentre, per far passare il tempo, costruiamo aeroplanini di carta con i documenti privacy.

Preleva l’articolo completo in pdf 

di Andrea Merati – Consulente sistemi di gestione aziendale

 

Il nostro sembra un paese in cui le persone abbiano acquistato, chissà da che fornitore, del tempo da perdere: vedo seri professionisti e capaci imprenditori che inseguono soluzioni complesse e cervellotiche, complicandosi vita ed economia finanziaria senza fermarsi un momento a pensare.

Premessa

Un bel giorno (il 24 gennaio 2018 per chi tiene alla precisione) una comunicazione della Commissione al Parlamento Europeo e al Consiglio recita (in piedi sulla sedia): “La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento” [par. 3.4].

Orientamenti

Il Regolamento Europeo n. 679/2016 non è stato scritto per creare standard ma esattamente con scopo contrario. Pensieri e soluzioni devono essere progettate e mantenute (by design e by default):

• secondo una precisa analisi delle proprie caratteristiche;

• cogliendo potenzialità e criticità tecnologiche, gestionali e comportamentali della propria organizzazione;

• trovando soluzioni tecniche e organizzative da applicare con modalità e tempi congrui, con lo scopo di eliminare o limitare l’insorgere di un danno (tenendo saldi i principi imprenditoriali universali: avere un sistema informatico perfetto ma dover chiudere a causa del debito contratto per acquistarlo non è precisamente geniale);

• mantenendo costantemente l’attenzione perché tutto ciò che ho scritto sopra sia effettivamente attuato e migliorato nel tempo.

Benvenuti nel magico mondo della valutazione del rischio. Che non ha niente di standardizzato o unificato (vero, esiste la norma tecnica ISO 31000 sul Risk Management, che molti citano ma pochissimi hanno letto davvero – forse perché scritta con una prosa scarsamente emozionale – ma è generica, non introduce nessun concetto di privacy, mai; guida il metodo, non indica un risultato).

Casi della vita

Cerchiamo di usare il cervello o, almeno il buon senso. Girando per aziende ogni tanto qualcuno mi racconta: un serissimo e luminoso professionista mi ha detto che in azienda non bisogna più usare gli indirizzi mail che riportano il nome e il cognome del dipendente.

Non voglio entrare in conflitto con nessun esperto perché non ho tempo, immagino che questo consiglio circolante sia nato in un contesto particolare e che, nella trasmissione orale, abbia avuto delle mutazioni simili a quelle che hanno trasformato il termine latino inutilis nell’italiano inutile; quindi mi limito a pensare oziosamente al caso.

L’azienda introduce l’uso dell’indirizzo inostribegliuffici@meraplastic.it, che verrà utilizzata dai quattro addetti alle vendite: in questo caso si dovrà tener conto del tempo che impiegherà ciascuno degli sventurati a dirimere quali siano le missive di propria competenza, semplice magari in caso di clienti noti, meno facile per quelli incontrati alla Grande Fiera del tubo in PVC di due mesi prima. Poi mi chiedo se questi addetti possano firmare le mail con nome e cognome, perché in questo caso mi verrebbe il dubbio che ci possa essere una pericolosa esposizione di dati personali.

Ma forse ho sbagliato strada, ne provo una diversa. L’azienda introduce l’uso di quattro indirizzi Commerciale1@meracake.com, Commerciale2@meracake.com… (nel mentre, la società, a un passo dal fallimento, ha dovuto convertirsi alla pasticceria, perché perdeva clienti nel campo dei tubi), perfetto, confusione gestionale risolta ma rimane il dubbio se permettere al venditore di firmare con il proprio nome e cognome, per non parlare del problema di cosa scrivere sui biglietti da visita. E non oso immaginare il caos al centralino, quando il cliente vorrà lamentarsi perché il Signor Commerciale non mi ricordo il numero mi ha mandato trecento babà anziché duecento bignè.

Secondo me sarebbe molto più interessante impiegare il tempo per pensare (verbo doloroso) e introdurre una seria politica per l’uso della mail aziendali, che regoli i casi di assenze prolungate, dimissioni, emergenze, salvaguardando la continuità operativa e l’economia societaria, chiarendo l’uso dei sistemi aziendali anche a tutela dei dati personali dei lavoratori.

Proibizionismo

Qualche Titolare sta proibendo l’uso di WhatsApp sui telefoni aziendali, o dei vari Cloud Storage gratuiti (Google Drive, Dropbox…) perché non sono sicuri, perché ci possono essere delle divulgazioni occulte di dati, perché i dipendenti possono memorizzare dati di natura personale non professionale e interrompo la lista perché se no si arriva al rosso di sera che perde il pelo e ci lascia lo zampino.

Non sarebbe meglio pensare a una seria formazione (che tra l’altro è obbligatoria come si evince dal termine istruito inserito negli art. 29 e 32 del Regolamento) sui rischi dei comportamenti errati, nonché sull’uso corretto degli strumenti informatici? Non sarebbe il caso di fare un’attenta analisi dell’uso degli smartphone personali utilizzati dai lavoratori sui quali finisco dati aziendali senza nessuna cognizione o controllo: certo, è comodo e conveniente che il lavoratore o il collaboratore possa leggere le mail sul suo telefono, però significa che tutti i dati aziendali finiscono su di uno strumento che non è di proprietà del titolare.

Conclusioni

Siamo in ardente attesa del decreto di adeguamento che dovrà sorgere entro il 21 agosto (di quest’anno) e pare che la calma sia tornata negli animi ma il regolamento è attivo, tra qualche mese tutto andrà a regime (Garante, GdF, ex dipendenti arrabbiati e clienti scontenti, rinvigoriti dalle vacanze, potranno operare ognuno per i propri scopi) e credo sia tempo di mettere mano agli adempimenti; sfruttiamo questo periodo illuminato dal sole per far luce sulla nostra organizzazione:

• Sicurezza informatica. Il regolamento è normativo ma non basta aver precisamente individuato le basi giuridiche, è necessario poi andare a vedere che la memoria del computer non sia come la piazza del mercato del pesce al sabato, dove chiunque entra, prende e se ne va, senza neanche qualificarsi e, magari, se è poco serio ruba anche una triglia.

• Sicurezza organizzativa. Nelle aziende i dati non sono solo nei computer ma anche negli armadi e sulle scrivanie o, magari, abbandonati sul vassoio d’uscita di una stampante in corridoio; proviamo a istruire gli autorizzati (incaricati) perché non abbiano comportamenti fuori controllo o del tutto sbagliati, potrebbe essere salutare anche per i dati non personali, quelli che è meglio che non escano a favore di qualche concorrente.

• Valutazione del rischio. Diamo vita al Registro dei trattamenti senza copiarlo da altri, inserendo nelle caselline delle scritte reali e ragionate, già questo ci impone di analizzare la situazione, capire cosa potrebbe non andare e darci la possibilità di immaginare un miglioramento, alla fine avremo già tutti gli elementi per verbalizzare una valutazione del rischio.

• Finito tutto andiamo a spolverare il faldone 196/03, stacchiamo i documenti dalle cartelline di plastica a cui sono rimasti appiccicati e mettiamoli a posto, probabilmente, se ce li avevano scritti bene, necessitano solo di una buona manutenzione.

• Se avevamo saltato un giro e non ci eravamo accordi che esisteva un Codice Privacy, è questo il momento di darsi delle regole, sia perché c’è un regolamento, sia perché la modernità sta prendendo una strada piuttosto complessa dal punto di vista dell’uso e della protezione dei dati: sapere chi sono i nostri clienti, fornitori, collaboratori, dipendenti e tutto ciò che gravita loro intorno ha un valore economico in elevazione (e intendo proprio quello del Conto, quello dei costi e dei ricavi).

Ma cosa c’entrano i complessi marmorei del titolo?

Mi limito a immaginare lo scenario in cui qualcuno metta insieme cedolini paga, Modelli Redditi PF SC SP ENC, fotocopie di passaporti, dati di carte di credito e spostamenti su Waze, distribuiti su diversi computer italiani e no: potremmo diventare improvvisamente i finanziatori delle serate danzanti di un abbronzato malvivente sdraiato a Bora Bora. Forse è meglio pensare decentemente alla protezione dei dati, senza complicare per cupidigia o irrigidirsi per superbia.

 

Preleva l’articolo completo in pdf 

di Alberto Borella – Consulente del lavoro in Chiavenna

 

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR – General Data Protection Regulation) che, stando a quanto esplicitato nell’art. 1, si propone una duplice finalità ovvero la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, nonché la creazione di norme relative alla libera circolazione di tali dati, partendo, e lo si dice a chiare lettere, dal fatto che il Regolamento:

protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Non si vuole qui disquisire dell’articolato meccanismo di regole e adempimenti previsti dal Regolamento, ma vogliamo invece soffermarci su quella che appare, quantomeno a chi scrive, una palese contraddizione, sia nei termini che nei fatti, di uno degli adempimenti base della normativa rispetto alle sue nobilissime finalità.

Ci riferiamo all’informativa che deve essere fornita al titolare dei dati personali e per la quale l’art. 12 del GDPR stabilisce peculiari caratteristiche – il regolamento le chiama “modalità trasparenti” – che permettano all’interessato una cosciente presa d’atto dei diritti garantitigli dal Regolamento:

1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Chiaro l’intento del legislatore di fare sì che l’informativa raggiunga l’interessato non solo in senso materiale ossia tramite la sua mera consegna, ma che sia da costui pienamente compresa, permettendogli quindi scelte autenticamente libere in relazione ad un eventuale consenso all’utilizzo dei propri dati per le finalità dichiarate dal richiedente.

In quest’ottica interessanti risultano alcune delle caratteristiche previste per questo documento:

– in primis l’obbligo di concisione dell’informativa, che, Treccani alla mano, dovrebbe esplicitarsi in uno scritto breve e in una esposizione essenziale, sintetica, stringata e succinta. Come dire: concentratevi sull’essenziale ed eliminate tutti i fronzoli, compresi i richiami agli articoli di legge;

– il secondo requisito è quello della intelligibilità dell’informativa che presuppone, sempre dizionario alla mano, la possibilità di essere compresa e correttamente interpretata dal destinatario. Come dire: attenzione a chi vi trovate di fronte.

Fondamentale a tale scopo sarà quindi, stando alla norma, l’utilizzo da parte di chi raccoglie e tratta questi dati di un linguaggio semplice e chiaro.

Le informazioni da fornire all’interessato, nel caso della contestuale raccolta presso il medesimo dei dati che lo riguardano, sono individuate dall’art. 13 del GDPR e sono

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f ) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f ) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

Da sottolineare peraltro che il Considerando 26 del GDPR stabilisce anche che

È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento.

Abbiamo sopra già evidenziato come tutte queste informazioni – su titolari e responsabili, interessi e diritti, finalità e modalità del trattamento, rischi e procedure – dovranno rispettare le caratteristiche, sostanzialmente di completezza e trasparenza, previste dall’art. 12 del GDPR.

Non sembra proprio un giochetto da ragazzi.

Ed infatti a causa della mole di informazioni da fornire all’interessato – va anche detto giustamente, considerati i diritti in gioco – ci stiamo inevitabilmente imbattendo nei primi fac-simili di informative redatte su più pagine in un impeccabile linguaggio tecnico-giuridico, all’evidente scopo di porre il titolare del trattamento al riparo dalla pesanti sanzioni previste dal GDPR.

Su questo fatto andrebbe sviluppata una prima, seria, considerazione. Una informativa che, utilizzando un linguaggio semplice e chiaro, volesse essere concisa, trasparente, intelligibile e facilmente accessibile e al contempo prevedere tutte le informazioni richieste, potrà mai raggiungere effettivamente il proprio scopo?

E qui non stiamo parlando del caso di un interessato analfabeta o straniero – aspetto che meriterebbe ulteriori considerazioni – ma dell’utente comune, quello per intenderci da social network i cui dati, gusti e abitudini, oggi rappresentano una grandissima ricchezza per ogni azienda che fa business.

Abbiamo tutti ben presente cosa succede con le varie corpose informative privacy allegate ai moduli contrattuali delle agenzie telefoniche o di istituti bancari. Ce li sbattono sotto il naso e senza avere il tempo di leggerli (anche se in tutta onestà spesso ci manca proprio la voglia) mettiamo una decina di firme in modo meccanico, inconsapevoli del contenuto e delle possibili conseguenze di quanto stiamo accettando e sottoscrivendo.

E siamo tutti altrettanto consapevoli che nei contratti online, di fronte alle informative privacy che propongono un link che conduce direttamente al testo dell’informativa oppure l’apertura di un pop-up (con l’obbligo di scorrerlo tutto prima di trovare la spunta di consenso) nessuno si prenda la briga di leggere alcunché.

Del resto è un dato di fatto che una informativa contrattuale che supera la mezza pagina diventi inevitabilmente indigesta alla maggioranza degli utenti finali, quelli italiani di certo.

A questa considerazione consegue una prima domanda: a cosa serve tutto questo? Alla protezione delle persone fisiche, con specifico riguardo al trattamento dei loro dati personali, oppure alla libera circolazione di tali dati?

Ripensiamo bene al sistema Privacy: il titolare del trattamento che utilizza, per legge o per contratto, i dati di una persona fisica ha l’obbligo di informarla; se desidera utilizzare questi dati per altre finalità, anche “commerciali,” deve acquisirne il libero consenso; una volta acquisiti, i dati devono comunque essere protetti dal rischio di perdita o di furto.

Personalmente si nutrono forti dubbi che tutto funzioni sempre così. Anzi, il più delle volte questo sistema – proprio in ragione della promiscuità tra informative, consensi obbligatori e consensi facoltativi – costringe l’utente ad accettare, senza attentamente leggerle, tutte le clausole contrattuali proposte, spesso anche a causa della ineluttabilità della scelta nel trovarsi davanti al classico “pacchetto prendere o lasciare”.

E per i medesimi motivi, altrettanto di sovente, accade che il “furto” dei nostri dati avvenga molto prima, sotto i nostri occhi, in sede di richiesta e acquisizione del consenso al trattamento.

Ed eccoci giunti così alla domanda conclusiva: il nuovo Regolamento potrà mai creare un impianto volto alla reale tutela, di rango costituzionale, dei diritti e delle libertà fondamentali delle persone fisiche oltre che dei loro dati personali?

O forse è più verosimile ritenere che questo sistema serve più a parare le spalle ai grandi centri di potere che i dati li “trattano” ovvero li raccolgono, li gestiscono ma, soprattutto, li vendono?

Non sarà che proprio grazie all’informativa e agli annessi consensi – rispettosa, la prima, certamente dei contenuti e dei requisiti richiesti dalla legge, ma si dubita fortemente di quelli di concisione e di intelligibilità – le grandi aziende potranno sempre giustificare ogni loro operato a fronte di eventuali contestazioni di utilizzo illecito dei dati?

Chi scrive non ha esitazione alcuna su quale sia la risposta corretta.

 

Preleva l’articolo completo in pdf 

di Merati Andrea – Consulente sistemi di gestione aziendale 

 

Il Regolamento europeo (GDPR n. 679/2016) già di suo ha qualche difetto: i temi sono affrontati in articoli diversi e approfonditi nei considerando, rendendo scarsamente omogenea l’interpretazione di principi e indicazioni; inoltre la traduzione in italiano è densa di errori, alcuni trascurabili, altri no (su tutti la scelta discutibile – anche l’Accademia della Crusca l’ha accettato – di tradurre il termine audit in tre modi diversi, dei quali due sicuramente sbagliati dal punto di vista tecnico).

Parlamento e Governo aggiungono confusione: il primo ha dato tempo al secondo di emettere il Decreto di adeguamento fino al 20 maggio 2018, immaginando che le organizzazioni possano leggerlo, comprenderlo e applicarlo in quattro giorni; il secondo emette una bozza di decreto il 21 marzo 2018 che, contrariamente a ciò che il Parlamento ha richiesto, abroga il Codice Privacy n. 196/2003, a favore di una soluzione che non sembra risolvere la maggior parte degli interrogativi e qualcuno vede come incostituzionale.

Per completare il quadro, il Garante, che avrebbe dovuto emettere le linee guida inerenti i diritti del Titolare del trattamento dei dati entro febbraio 2018, ancora non le ha emanate.

Tutto ciò per ribadire che alcune parti mancano ma questo non può essere il presupposto del non fare o l’alibi per procrastinare, perché il 25 maggio, nonostante tutto, il GDPR entrerà in vigore e la maggior parte degli adempimenti è possibile.

Titolare o Responsabile?

Molte volte mi è stata posta questa domanda dai Consulenti del Lavoro (ma anche da Commercialisti, Avvocati e professionisti che offrono servizi alle imprese) e partirei col chiarire che il GDPR, con l’art. 28, insieme al suo bel considerando n. 81, indica che il Responsabile è figura distinta e diversa dal Titolare, nonché esterna e separata dall’organizzazione del Titolare, infatti al punto 3 si parla esplicitamente di contratto che disciplina i rapporti tra Titolare e Responsabile.

Quindi se un’azienda affida dati personali a un Consulente, questi assume il ruolo di Responsabile del trattamento dei dati (attenzione NON di Responsabile della Protezione dei Dati, traduzione di Data Protection Officer – DPO – che è tutt’altra posizione).

Contemporaneamente il Consulente sarà Titolare del trattamento per i dati dei propri dipendenti.

Designazioni e nomine

Ricordiamo che:

• Il titolare – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art 4, n. 7).
• Il responsabile – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art 4, n. 8).
• L’autorizzato – È la persona fisica a cui è permesso di compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Per la realizzazione dell’accountability (cioè essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24) è bene che per ciascun ruolo ci sia una designazione o una nomina formale.

Cosa deve fare il Responsabile del trattamento

Riprendendo in parte l’articolo pubblicato sul numero precedente di questa rivista, con modalità di valutazione del rischio e accountability il Responsabile dovrà necessariamente:

1. tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);
2. formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);
3. adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);
4. notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (artt. 33 e 34);adeguare tutti i documenti (informative, consensi e nomine) al Regolamento;
5. nominare un DPO (solo se necessario);
6. effettuare la Valutazione d’impatto sulla protezione dei dati e la Consultazione preventiva (artt. 35 e 36 – solo se necessarie).

Inoltre, il contratto tra Titolare e Responsabile è regolato dal paragrafo 3 dell’art. 28, qui si richiede che siano garantite le misure sopra descritte, nonché l’obbligo di assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui dagli artt. da 32 a 36.

Contratti e mandati

Il Titolare che si avvale di Responsabili del trattamento, per compiere un’adeguata valutazione del rischio e adempiere efficacemente al Regolamento europeo deve impartire le istruzioni che il Responsabile dovrà seguire, ma anche essere a conoscenza delle modalità che, concretamente, questi adotterà, nonché delle misure che implementerà per garantire che il trattamento dei dati affidatigli dal Titolare abbia le caratteristiche richieste dal GDPR.

In pratica Il Consulente dovrà ricevere istruzioni dall’azienda cliente e condividere con la stessa le sue modalità di attuazione del Regolamento europeo, tramite un contratto ad hoc oppure con indicazioni inserite nel contratto, incarico o mandato professionale di consulenza.

Per questa problematica non esistono indicazioni determinanti, e molto è legato alle modalità di attuazione del Regolamento da parte di aziende e Consulenti; sicuramente ogni professionista potrà determinare le dinamiche sottostanti a seconda del grado di influenza che ha sui propri clienti, perché possa rendere il più possibile omogenea la modalità di trattamento per tutti i clienti, magari con poche eccezioni per le aziende con esigenze particolari per tipologia di attività o per appartenenza a grandi gruppi o a multinazionali (soprattutto se avessero emanato un Codice di condotta – art. 40 – o un meccanismo di certificazione – art. 42).

Rimane da dirimere il dubbio se il Consulente sia tenuto a far firmare un nuovo contratto o mandato a tutti i suoi clienti con i quali ha un rapporto già in essere e a rivedere i contratti per i servizi di cui fruisce (es. Software in cloud). Qui la risposta dipende da quanto i contratti pregressi siano in grado di soddisfare le richieste del Regolamento europeo: nel caso in cui mandati e contratti siano adeguati, sarà sufficiente inviare ai clienti e ricevere dai fornitori di servizi, l’informativa dettagliata sulle modalità di trattamento dei dati redatta in ottemperanza al GDPR.

 

Preleva l’articolo completo in pdf 

di Andrea Merati – Consulente sistemi di gestione aziendali

 

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati, denominato GDPR: General Data Protection Regulation (2016/679). Sarà applicato a tutti i tipi di organizzazione che offra servizi o prodotti a persone che si trovino nel territorio dell’Unione Europea.

Non ci saranno proroghe, la scadenza infatti è tassativa, perché trattandosi di un Regolamento dell’Unione Europea, il nuovo testo e le sanzioni da esso previste, saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale, da parte dello Stato italiano.

Questa normativa obbliga le organizzazioni ad assumersi maggiori responsabilità rispetto al trattamento dei dati personali raccolti e conservati per qualsiasi finalità.

Mettendo da parte l’atteggiamento destabilizzante e terroristico che piace molto all’uomo moderno e connesso, volto alla lettura delle conseguenze, prima di preoccuparsi dei presupposti (sanzioni sino al 4% del fatturato globale, ispezioni della Guardia di Finanza…), il cambiamento per gli studi professionali può essere costoso, sia in termini di tempo speso per le attività di adeguamento, sia per l’eventuale esborso economico in caso di affidamento delle attività a risorse esterne.

Per questo motivo il presente intervento, e quelli che seguiranno, saranno volti alla massima semplificazione, nonché alla raccolta di buone prassi e indicazioni che raccoglieremo sia dai professionisti della materia, sia dalle analisi che scaturiranno durante i percorsi di formazione che sono in svolgimento presso ANCL Milano: già il prossimo mese proporremo domande e risposte proprio a partire dai quesiti nati durante gli incontri di febbraio e marzo.

Nostro scopo primario è rendere autonomi gli studi e semplificarne il processo di adeguamento. Passiamo quindi a esaminare principi giuridici e a presentare qualche considerazione.

Il dato personale

È qualunque informazione riguardante una persona fisica, identificata o identificabile tramite:

• nome e cognome;

• numero o codice di identificazione;

• dati relativi all’ubicazione;

• identificativo online;

• uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (GDPR Art. 4 n. 1).

Il dato personale può essere inserito in tre aree:

1. Dati comuni. Sono quelli che non afferiscono alle altre due tipologie, essenzialmente si tratta delle informazioni generiche di identificazione della persona (nome, cognome, indirizzo, numero di telefono, e-mail…)

2. Dati particolari. Rientrano in quest’area: i dati che rivelino l’origine etnica, l’orientamento politico, l’appartenenza sindacale, il credo religioso o filosofico; i dati genetici; i dati biometrici che permettano l’identificazione; i dati relativi alla salute o alla sessualità (GDPR Art. 9).

3. Dati relativi a condanne penali o reati (GDPR Art. 10).

Il trattamento dei dati personali

È qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (GDPR Art. 4 n. 2).

I ruoli principali coinvolti

Il titolare. È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (GDPR ART 4 n. 7).

Il responsabile. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (GDPR ART 4 n. 8).

L’autorizzato. Le persone autorizzate a compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Il DPO (Data Protection Officer). Il titolare del trattamento e il responsabile del trattamento designano un Responsabile della Protezione dei Dati (o RDP, traduzione italiana di DPO) ogniqualvolta (vedi fig. 1):

• il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.

Nuovi oneri e adempimenti per titolare e responsabile

Con modalità di valutazione del rischio e accountability (cioè mettere in atto – nonché riesaminare e aggiornare – adeguate misure tecniche e organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24), sarà necessario:

1. Tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);

2. Formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);

3. Adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);

4. Notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (art. 33 e 34);

5. Adeguare tutti i documenti (informative, consensi e nomine) al Regolamento.

Conclusioni (per ora)

Per quanto riguarda i dati non personali non ci saranno sostanziali cambiamenti, il precedente D.lgs. n. 196/2003 rimarrà in vigore o, comunque, sarà armonizzato al Regolamento Europeo. Per i dati personali, invece, si prospetta un periodo di adeguamento che, per gli studi professionali, significherà principalmente tornare a identificare i processi e gli incarichi che riguardano:

1. Le attività di trattamento interne, per i propri dipendenti;

2. Le modalità e i ruoli che sottendono all’attività con i clienti, rispetto ai dati raccolti dalle aziende e trasferiti agli studi per adempimenti di legge o contrattuali.

In seguito sarà necessario:

• descrivere il processo di valutazione del rischio rispetto a tali trattamenti posti in essere;

• rivedere la propria documentazione informativa e di consenso;

• creare i registri dei trattamenti;

• nominare un DPO (solo se necessario – vedi fig. 1)

• formare i dipendenti autorizzati al trattamento;

• mantenere tutto aggiornato nel tempo (per l’art. 24 è necessario dimostrare una continua attività di valutazione e attuazione perché gli adempimenti siano dirimenti).

Nei prossimi interventi entreremo negli aspetti operativi che sottendono al GDPR, sia rispetto alla documentazione sia in ordine all’organizzazione che gli studi dovranno assumere per sottostare al Regolamento.

 

Preleva l’articolo completo in pdf 

di Andrea Asnaghi – Consulente del lavoro in Paderno Dugnano

 

Si è già spenta l’eco, accesasi ad inizio mese, del braccialetto elettronico di Amazon, che ha destato scandalo e ludibrio in una parte dell’opinione pubblica italiana. D’altronde, succede sempre così: l’attenzione sui fatti – se non servono per portare avanti una campagna elettorale povera di idee o per raccattare fondi – dura meno della vita di una mosca e viene seppellita in fretta e furia sulla scorta della più usata di tutte le espressioni da talk show: ”e passiamo ad un nuovo argomento…” . Passare ad altro vuol dire spesso non approfondire mai, avere una vaga infarinatura (ovviamente, quella più utile a chi te la sta raccontando) su cui però scattano le più trancianti prese di posizione (che talvolta, purtroppo, diventano anche iniziative parlamentari, e, quel che è peggio, leggi – quando a farsene carico è un nostro politico medio).

La sfortuna (stiamo parlando di questa rubrica e di questa Rivista) di uscire una volta al mese, e quindi di non essere immediatamente sul pezzo, è al tempo stesso la fortuna di poter mettere insieme idee e riflessioni che vanno un po’ più a fondo, o almeno cercano di farlo.

Sul braccialetto di Amazon si sono sentite prospettazioni di ogni genere, dal nuovo schiavismo alla trasformazione dell’uomo in robot. Per chi non si è occupato minimamente della cosa, ricordiamo molto succintamente che la famosa azienda di commercio elettronico ha comunicato di aver brevettato (nel 2016 ma la notizia è stata diffusa solo ora) uno strumento elettronico da mettere al polso dei lavoratori, in modo da aiutarli nella ricerca, catalogazione e scarico della merce negli enormi magazzini, pare anche con un sistema di rilevazione che riscontri l’esattezza o meno dell’azione di un lavoratore riscontrandola già dal movimento del braccio o del corpo.

Mettiamo assieme alcuni concetti, partendo da due fuori tema e da un quasi fuori tema; i fuori tema sono cose che supportano discorsi senza però essere particolarmente pertinenti sul punto.

Fuori tema 1 – “È solo un brevetto, non è ancora successo niente, non è il caso di agitarsi”.

L’osservazione è vera, indubbiamente: chi già prospettava sit-in fuori dalle sedi dei magazzini di Amazon (neanche fosse la veglia all’entrata dell’ultimo concerto di Vasco Rossi) ha davvero esagerato. Però un brevetto del 2016 è una realizzazione annunciata. Parlarne si può e, se il tema è sensibile, si deve. E con tutta l’importanza che un concetto ha (perché quando diventa realtà, a volte è un po’ tardi).

Fuori tema 2 – Amazon rovina il commercio tradizionale ed è causa di disastri occupazionali, pertanto tutto ciò che fa Amazon va boicottato a prescindere.

Amazon si può amare oppure no (chi scrive non è tendenzialmente contrario, anche se appartiene più alla seconda categoria) ma a chi volesse boicottare Amazon basterebbe fare delle consapevoli scelte nei propri consumi e stili di vita/acquisto. Bocciare acriticamente tutto ciò che viene da una parte è manicheismo, farlo solo perché viene da quella parte è pregiudizio, il quale, come diceva Voltaire, è il modo di ragionare degli sciocchi.

Quasi-fuori tema – Amazon utilizza metodi di sfruttamento intensivo e disumano della forza lavoro, quindi dobbiamo iscrivere anche questa novità nel calderone delle nequizie lavorative del colosso del consumo on line.

La base di partenza di tale affermazione è quella del pregiudizio precedente, ma con una preoccupazione che, fosse retta su basi veritiere, avrebbe almeno una giustificazione: chi ha un vizietto tende a replicarlo in ogni cosa che fa. Di solito ad affermazioni di questo tipo seguono commenti a grappolo (come la peggiore cefalea, che infatti provocano) che si dividono fra chi denuncia le peggiori malefatte interne e chi dice che è un posto di lavoro come un altro, o magari ne parla anche in modo positivo. Insomma, niente di palese ed inconfutabile, al più giustificante un livello di attenzione in più.

Il vero cuore della critica riveste però due aspetti , per così dire ideologici, che a nostro avviso sono più che altro degli pseudo-problemi.

Psedo-problema 1 – La robotizzazione porta ad una riduzione della manodopera e ad un conseguente calo occupazionale e Amazon sta spingendo molto in questa direzione.

Curiosamente, chi avanza questo argomento accusa anche Amazon di far fare un lavoro disumano, causa mansioni ripetitive ed assillanti, al proprio personale di magazzino, ma al contempo di lamenta se a tale personale vengono affiancate, proprio nello svolgimento di tali mansioni, delle macchine-robot.

Però ora qui dobbiamo deciderci: se un lavoro è disumano, meglio che lo facciano delle macchine, ma poi non possiamo lamentarci che le macchine sostituiscano l’uomo creando disoccupazione.

Il classico circolo vizioso dell’ideologia, di qualsiasi ideologia, che vorrebbe la botte piena e la moglie ubriaca.

Pseudo-problema n. 2 – Gli apparati di lavoro sofisticati creati dall’ingegneria, si reggono su sistemi informatici in grado di captare, conservare e trasmettere una serie di informazioni che consentono il terribile controllo a distanza dei lavoratori. Il quale controllo viola la dignità dei lavoratori e deve quindi essere combattuto senza se e senza ma. Da qui lo stracciamento delle vesti populista di questo e quel politico, tanti proclami alla “no pasaran” che, in fondo, fanno tanto (e solo) propaganda, e Dio sa quanto alcuni ne hanno bisogno di questi tempi pre-elettorali.

Noi sul tema ci siamo già pronunciati più volte su questa Rivista, arrivando a confessare che non troviamo per nulla disdicevole un equilibrato controllo, anche a distanza, sull’attività dei lavoratori, purché vengano garantiti alcuni aspetti di fondo. Ma su questo tema, per non tediarvi, rimandiamo alle considerazioni dell’articolo su Sintesi di dicembre 2016 ¹ e diremo qualcosa nella trattazione che segue.

Su questi pseudo-problemi verrebbe comunque in prima battuta da dire ai commentatori che li hanno sollevati: benvenuti in industry 4.0, benvenuti nel presente!

Ma di tutto ciò probabilmente avete già sentito parlare.

A nostro avviso si aprono invece quattro spunti di riflessione che pochi hanno colto.

Problema n. 1 – Il futuro vedrà sempre di più, anche nel campo del lavoro, interazioni complesse nel rapporto uomo-macchine. Se ciò è inevitabile quali problemi comporterà nella rappresentazione dell’individuo e nel suo vissuto? Non è tanto un problema di disoccupazione quanto di possibile “disumanizzazione” del lavoro e del suo significato. Ciò anche rispetto ai tempi ed alla qualità del lavoro. La sfida di coniugare efficienza e riduzione delle fatica con tempi e modalità umane di vita sarà la chiave di volta per un’evoluzione verso un mondo migliore e diversamente antropico o, al contrario, per scenari apocalittici alla Blade Runner.

Problema n. 2 – Ma il benessere di questa riduzione della fatica a chi andrà in tasca? Ancora una volta e soltanto a chi deterrà i mezzi di realizzazione tecnologica? Senza voler essere comunisti (tale idea ci pare abbia già ampiamente mostrato tutti i suoi lati deboli), ci chiediamo quale modello di benessere sociale ci si prospetta con un aumentato potere della meccanizzazione, anzi ormai della intelligenza artificiale quasi antropomorfa. Da un diffuso benessere (con qualche scompenso) stiamo andando verso una società dove, sia territorialmente che socialmente, il divario fra ricchi e poveri aumenta. Fino a che punto? Dove mettere un fermo? Cosa progettare per il futuro?

Problema n. 3 – Torniamo al controllo a distanza. Qui il focus ci sembra che si debba spostare non tanto sulla raccolta dei dati (su cui, come detto, non proviamo alcuno scandalo) ma sulla messa a disposizione dei dati raccolti. Chi e come vi ha accesso? Con quali finalità? Perché, vista proprio la loro facilità di raccolta non possono essere condivisi in maniera seria e controllata? Abbiamo la sensazione di logiche di facciata per cui tutti ormai raccolgono dati e controllano, in maniera non trasparente, moltissimo e facilmente, ma formalmente non si può, non si dice, non si ammette. Occhio non vede, cuore non sente. Una società di sepolcri imbiancati. Con tutto il male che ne può derivare.

Problema n. 4 – È strettamente collegato al precedente: socialmente, ma anche – per quel che qui ci interessa – lavorativamente, una volta raccolti ed anche condivisi, magari anche legalmente, cosa ce ne facciamo dei dati, che finalità diamo loro?

Mettiamo la questione sotto un altro aspetto: come si risolve nelle aziende e nella società il problema della devianza, dell’imperfezione, o anche solo del “low performer” per vari motivi (età, disabilità, problemi di salute, impegni familiari)? Una volta che abbiamo dei dati incontrovertibili a disposizione, che succede? Facciamo una bella classifica e chi è sotto la sufficienza è out? E chi stabilisce la sufficienza? Dove finisce la meritocrazia e dove comincia la disumanità?

Proviamo a ragionare su questo: per difendere gli pseudo-diritti di qualche fannullone o di qualche imbroglione immatricolato (tipo i furbetti del cartellino) inneschiamo una guerra dei poveri (e verso i poveri) di cui fanno le spese fasce più deboli ma non per questo automaticamente meno meritevoli, della società e del contesto lavorativo? E, al contrario, se un’azienda volesse diversamente ragionare, nell’attuale contesto giuslavoristico, che strumenti avrebbe? Come distinguiamo ed incoraggiamo la (vera, non di facciata o per convenienza fiscale) impresa etica? Perché l’azienda che volesse prendersi la briga di trattare la devianza e la debolezza, disposta a spendersi invece che a defilarsi, non solo non avrebbe supporti economico-normativi seri ma si esporrebbe oggi ad una serie di rischi e sospetti tali da far passare la voglia ad un santo?

Ora noi di una cosa possiamo esser certi, che quando parliamo di Amazon la santità non è certo dietro l’angolo. Ma o continuiamo a strillare come galline impazzite dietro concetti di privacy e di dignità del lavoro – che vanno difesi (sempre) ma con strumenti nuovi ed evoluti (e non coi divieti “anni 70”) – e continuiamo ad abbeverarci a modelli ormai inesistenti, oppure cominciamo a porci i nuovi problemi che una società in continua evoluzione ci sta mettendo di fronte (magari anche con soluzioni “antiche”, ma comprensive del nuovo). Uomo tecnologico, sostenibilità sociale del progresso, uso e controllo dei dati, impresa con responsabilità sociale; diradata la nebbia, anzi il fumo, di discorsi un tanto al chilo, le questioni che emergono, magari anche occasionalmente, da un semplice braccialetto appaiono abbastanza cruciali. È meglio che li affrontiamo con coscienza e li risolviamo con coerenza e realismo, tali problemi, prima che arrivi qualcun altro a scavalcarli con un sorpasso a destra (nel senso di illecito e spavaldo).

 

Preleva l’articolo completo in pdf