NEWSLETTER PRIVACY 7/2025

Diffamazione on line: internet non è una zona franca.

In caso di diffamazione commessa con il mezzo telematico, al fine di individuare l’autore del messaggio, vanno disposte ricerche sulle informazioni personali eventualmente presenti nei profili social, nonché acquisire i dati di traffico telematico.

Sempre in materia di diffamazione, il termine “nazista” non può essere considerato una forma di manifestazione di un pensiero critico che, per quanto discutibile sarebbe comunque legittimo in un dibattito democratico. Tale espressione costituisce invece uno sfregio alla verità oggettiva e rappresenta la più infamante delle offese per la reputazione di chi ha speso la propria vita per testimoniare gli orrori del regime e per coltivare la memoria dell’Olocausto. Così ha deciso il Tribunale di Milano, Ufficio indagini preliminari, con ordinanza del 28 aprile 2025.

La vicenda oggetto del provvedimento ha avuto una larga eco mediatica: con numerosi messaggi pubblicati su varie piattaforme web sono stati rivolti numerosi messaggi gravemente offensivi nei confronti di una Senatrice a vita della Repubblica Italiana.

Il procedimento trae origine da 27 querele, successivamente riunite, con cui sono stati portati all’attenzione dell’Autorità Giudiziaria 246 messaggi diffamatori, pubblicati su vari social media. Il pubblico ministero, tuttavia, ha presentato la richiesta di archiviazione fondata su alcune osservazioni che possono essere riassunte nei

seguenti termini:

  1. per un gruppo di messaggi è stato possibile identificare l’autore e gli scritti sono stati ritenuti offensivi, ma non diffamatori;
  2. per alcuni post non è stato possibile individuare l’autore, in quanto l’Internet Service Provider che regola il social media, in cui è stato pubblicato il messaggio, non ha comunicato, benché richiesto, all’Autorità Giudiziaria, l’IP da cui sono stati inviati i messaggi.

Il giudice per le indagini preliminari, con il provvedimento in esame, ha fornito le coordinate entro cui iscrivere i diversi messaggi, adottando i conseguenti provvedimenti, che spaziano dall’archiviazione per quei messaggi diffamatori i cui autori sono rimasti ignoti, alla disposizione di ulteriori indagini al fine di identificare gli autori dei post diffamatori, all’ordine di formulare l’imputazione, laddove sia possibile attribuire il messaggio diffamatorio ad un autore. Va registrato il rilievo fondamentale su cui poggia l’intero provvedimento: il web non può rappresentare «un terreno franco dove ogni insulto e dove la reputazione egli individui può essere calpestata impunemente». Alla luce di tale osservazione, quindi, il giudice ha ordinato al pubblico ministero di completare le indagini, individuando l’autore dei messaggi che si risolvono in gratuiti attacchi personali alla persona offesa, anche attraverso l’epiteto “nazista”. Se tale espressione – ha osservato il giudice – può essere considerata una forma di manifestazione di un pensiero critico che, per quanto discutibile, sarebbe comunque legittimo nel dibattito democratico, costituisce invece «uno sfregio alla verità oggettiva e rappresenta la più infamante delle offese per la reputazione» della persona offesa che ha speso la propria vita per testimoniare gli orrori del regime e per coltivare la memoria dell’Olocausto.

La seconda parte del provvedimento che merita attenzione da parte dell’interprete riguarda i messaggi diffamatori che provengono dalle piattaforme quali Facebook, Instagram, Google, Twitter e Telegram, per i quali non è stato possibile individuare l’autore, in quanto gli Internet Service Provider non hanno risposto all’Autorità Giudiziaria. Come infatti osservato nelle motivazioni del provvedimento in esame, questi Internet Service Provider, avendo la sede legale Oltreoceano, non ritengono di essere assoggettati alla disciplina continentale di discovery e di data retention dei file di log.

Il giudice non ha ritenuto percorribile neppure la strada della cooperazione giudiziaria tramite il sistema delle rogatorie, rilevando che il Dipartimento di Giustizia degli Stati Uniti d’America (DOJ) non presta la richiesta di collaborazione per l’identificazione degli autori del reato di diffamazione, ma solo per fatti configurabili come grave espressione di minaccia reale o come istigazione o propositi di un’azione illegale imminente. Ed infatti, qualora i messaggi pubblicati nel web abbiano contenuto diffamatorio, il DOJ, di regola, ritiene prevalente la libertà di manifestazione di pensiero e la libertà di stampa garantiti dal Primo Emendamento della Costituzione

americana, con la conseguente rigetto della richiesta di assistenza giudiziaria.

Il giudice, quindi, ha ordinato lo svolgimento di indagini finalizzate ad acquisire informazioni personali per quelle piattaforme, come Facebook, Twitter e Instagram, dove l’utente registra il proprio profilo come reale, inserendo altresì numerose informazioni personali, escludendo invece Telegram, dove tali informazioni non sono reperibili.

Ecosistema Dati Sanitari (EDS): innovazione digitale nel rispetto della privacy .

L’Ecosistema Dati Sanitari (EDS) rappresenta un sostegno del processo di digitalizzazione del sistema sanitario nazionale e si configura come un sistema integrato che raccoglie, elabora e rende disponibili dati sanitari provenienti da diverse fonti in modo strutturato e sicuro. L’EDS è parte del più ampio sistema del Fascicolo Sanitario Elettronico (FSE) e ne completa le funzionalità, consentendo l’utilizzo dei dati sanitari per diverse finalità predeterminate.

L’EDS è stato istituito con il Decreto del Ministero della Salute del 31 dicembre 2024, in attuazione dell’articolo 12, comma15 quater del D.L. 179/2012 (convertito con la L. 221/2012).

E prevede la realizzazione di un ecosistema di dati finalizzato a garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale.

Il Ministero della Salute, d’intesa con la struttura della Presidenza del Consiglio competente per l’innovazione tecnologica, cura la realizzazione dell’EDS, mentre la gestione operativa è affidata all’Agenzia Nazionale per i Servizi Sanitari Regionali (Agenas).

Gli obiettivi principali dell’EDS sono:

  • garantire un coordinamento informatico dei dati sanitari a livello nazionale, assicurando servizi omogenei su tutto il territorio;
  • consentire l’elaborazione dei dati per diverse finalità (cura, prevenzione, profilassi internazionale, governo, ricerca scientifica);
  • supportare il processo decisionale clinico e amministrativo, migliorando contestualmente la qualità delle cure e l’efficienza del sistema sanitario.

Nel contesto descritto è importante comprendere la differenza che sussiste tra il Fascicolo Sanitario Elettronico (FSE) e l’Ecosistema Dati Sanitari (EDS).

Mentre il FSE raccoglie e conserva i documenti sanitari agli assistiti (quali possono essere referti, lettere di dimissione e prescrizioni), l’EDS estrae, valida ed elabora i dati contenuti in questi documenti, consentendone un utilizzo più avanzato e granulare.

L’EDS non duplica, quindi, i documenti presenti nel FSE, ma ne estrae le informazioni rilevanti, garantendo la tracciabilità del dato al documento originale.

Le unità di archiviazione per dati in chiaro contengono dati identificabili degli assistiti.

È previsto che tali unità siano create una per ciascuna regione e provincia autonoma e una per i Servizi di Assistenza Sanitaria al personale Navigante (SASN).

L’unità di archiviazione per dati pseudonimizzati conserva dati codificati, privi di elementi identificativi diretti, sostituiti da codici. L’unità di archiviazione per dati anonimi registra dati completamente anonimizzati utilizzabili per ricerca e analisi statistica.

Il flusso di informazioni che alimenta l’EDS prevede che le strutture sanitarie e sociosanitarie del SSN trasmettano i dati attraverso le soluzioni tecnologiche fornite da Agenas, che garantiscono la validazione e standardizzazione dei medesimi.

L’impianto dell’EDS è strutturato, infatti, in maniera che i dati condivisi con l’ecosistema mantengano sempre la riconducibilità al documento originale presente nel FSE, garantendo il pieno allineamento con quest’ultimo.

Ogni operazione compiuta sul FSE (quale oscuramento, rettifica o cancellazione di un documento) si riflette anche nei dati da questo estratti e condivisi mediante EDS.

I dati conservati sull’EDS sono cancellati trascorsi trent’anni dal decesso dell’assistito ad opera del Ministero della salute che provvede, a tale operazione, con periodicità annuale.

Il sistema EDS è stato progettato per supportare diverse finalità, ciascuna caratterizzata da specifiche modalità di accesso e tipologie di dati disponibili, garantendo, in tal modo, la tutela dei dati personali degli interessati.

Nel contesto della cura del paziente, l’EDS si rivela uno strumento di supporto all’attività di cura per i professionisti. Medici convenzionati, strutture sanitarie e sociosanitarie del SSN, nonché tutti gli esercenti le professioni sanitarie possono accedere ai dati in chiaro, previa acquisizione del consenso dell’assistito. Tale accesso, subordinato alla dichiarazione che il processo di cura è in corso, permette di consultare dati di sintesi, il dossier farmaceutico e visualizzare l’andamento dei parametri clinici.

Un valore aggiunto è rappresentato dal supporto alla compilazione del Profilo Sanitario Sintetico, strumento essenziale per la continuità assistenziale.

La prevenzione costituisce un altro ambito di applicazione fondamentale dell’EDS.

Gli attori coinvolti dai soggetti del Servizio Sanitario Nazionale agli uffici regionali competenti in materia di prevenzione sanitaria possono, sempre previo consenso dell’interessato, estrarre e analizzare dati per pianificare attività preventive, identificare andamenti anomali e valutare casi sospetti di patologie infettive, contribuendo così a una gestione proattiva della salute pubblica.

Sul fronte della profilassi internazionale, il Ministero della Salute, attraverso la Direzione generale competente, può accedere ai dati in chiaro per monitorare l’emergere di nuovi patogeni, sintomatologie sconosciute, fattori di rischio e fenomeni di farmacoresistenza.

Anche in questo caso, il consenso dell’assistito rappresenta la base giuridica per l’accesso ai dati.

Infine, nel campo della ricerca scientifica, l’EDS offre la possibilità di accedere al patrimonio informativo dei dati sanitari in forma anonima.

Tale facoltà è prevista per il Ministero della Salute, l’Agenas, le regioni e gli enti di ricerca, sia pubblici che privati. A quest’ultimi, la possibilità di accesso è subordinata all’autorizzazione dell’Agenas, a cui deve essere presentata una richiesta di estrazione di dati anonimizzati, corredata da un relativo progetto di ricerca redatto conformemente alle regole metodologiche, etiche e deontologiche per trattamenti compiuti per fini statistici e di ricerca scientifica.

La normativa rinvia, poi, a successivo decreto del Ministero della salute l’adozione di specifiche disposizioni per l’attivazione di appositi servizi dell’EDS che consentono trattamenti dei dati personali per le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nel rispetto delle garanzie di cui all’art. 89 del regolamento.

L’EDS opera nel rispetto della normativa sulla protezione dei dati personali, indicando il consenso quale base giuridica del trattamento per i dati accessibili in chiaro e prevedendo, in ottemperanza di ciò, meccanismi per la gestione dei consensi.

Gli interessati devono, infatti, esprimere un consenso esplicito, libero e informato per autorizzare l’elaborazione dei propri dati mediante l’EDS.

Per assicurare una comunicazione omogenea dell’informativa al trattamento dati per EDS, il Ministero della Salute, in collaborazione con le regioni e le province autonome, ha il compito di integrare il modello di informativa relativo al FSE (già definito dall’articolo 7, comma 4 del decreto ministeriale del 7 settembre 2023) con i trattamenti compiuti attraverso l’ecosistema.

I consensi al trattamento dati possono essere espressi in modo disgiunto dagli assistiti in riferimento alle singole finalità, garantendo così un controllo granulare sui propri dati sanitari.

L’eventuale revoca comporta, quindi, la disabilitazione allo specifico servizio dell’EDS per cui si nega il trattamento.

Gli assistiti possono esprimere i propri consensi per via telematica, accedendo al FSE.

Parallelamente, le regioni e le province autonome sono tenute a garantire e comunicare agli assistiti ulteriori modalità di espressione dei consensi, in base alle proprie strutture organizzative.

L’architettura dell’EDS regola, in ogni caso, meccanismi di tutela degli interessati in contesti di emergenza, ammettendo la possibilità agli operatori del SSN, dei servizi sociosanitari regionali e gli esercenti le professioni sanitarie di accedere ai dati anche in assenza di consenso esplicito per il tempo strettamente necessario alla cura dell’assistito.

L’EDS prevede, inoltre, che i servizi di accesso ai dati sanitari debbano garantire la trasparenza dei medesimi offrendo indicazioni dettagliate su chi e per quale ragione ha avuto accesso ai dati, in ottemperanza ai principi sanciti dal Regolamento UE 679/2016 (GDPR).

Tramite l’EDS gli interessati possono, infatti, visualizzare l’elenco degli accessi compiuti e ricevere notifiche in caso di consultazione dei propri dati.

Gli assistiti possono esercitare i propri diritti in materia di privacy (quali il diritto di rettifica, cancellazione e limitazione ai dati) accedendo al FSE e operando sui documenti ivi conservati.

Le azioni compiute vengono, così, automaticamente riportate sui dati presenti nell’ecosistema.

I servizi dell’Eds saranno attivi entro il 31 marzo 2026 e, comunque, non prima della completa attuazione della disciplina sul FSE 2.0.

Dati sensibili usati per fini personali: scatta il licenziamento per giusta causa.

La Corte d’appello di Milano, con la sentenza n. 302 del 24 aprile 2025, conferma la sentenza del Giudice di prime cure confermando la legittimità del licenziamento per giusta causa comminato ad un dipendente, addetto allo smistamento della posta interna aziendale che, approfittando del proprio ruolo, si era appropriato del numero di telefono indicato nel curriculum vitae di una candidata per contattarla per scopi del tutto estranei all’attività lavorativa.

Nell’ottobre del 2023 un dipendente di una Società, addetto alla ricezione e smistamento della posta interna aziendale, riceveva una lettera di contestazione disciplinare per aver acquisito illecitamente, dal curriculum vitae consegnato da una giovane donna presso una delle sedi aziendali per candidarsi all’assunzione, il numero di telefono cellulare privato della suddetta, poi contattata via whatsapp veniva quindi contestata al lavoratore la violazione delle norme di legge, di contratto, di regolamento in materia di privacy e delle disposizioni aziendali in relazione al comportamento da tenere sul luogo di lavoro, oltre che di aver tenuto condotte lesive dell’immagine e reputazione aziendale. Il lavoratore nella propria lettera di giustificazioni confermava il fatto storico contestato, ma respingeva ogni addebito, ritenendo il proprio comportamento privo di rilievo disciplinare. All’esito del procedimento disciplinare l’azienda procedeva al licenziamento per giusta causa del lavoratore. Il Lavoratore impugnava pertanto il licenziamento, contestando la sproporzione tra la condotta contestata, a sua detta priva di disvalore tale da giustificare il recesso. Il Giudice di prime cure respingeva il ricorso, ritenendo che la condotta tenuta dal lavoratore sottoposte alla sua valutazione fosse “del tutto idonea a concretizzare una grave violazione degli obblighi di diligenza”. Concludeva pertanto il Tribunale di Milano la propria motivazione in questi termini un siffatto uso dei dati personali della candidata, da parte di un soggetto adeguatamente formato in materia di privacy nonché consapevole del trattamento da riservare agli stessi, non può che avere una significativa valenza negativa, traducendosi in lesione irreparabile del vincolo fiduciario.

La Corte d’appello di Milano, all’esito del giudizio di appello, rigetta il ricorso confermando le motivazioni del giudice di prime cure, ritenendo sussistente la giusta causa di licenziamento e la sanzione espulsiva adottata dall’azienda proporzionata rispetto alla gravità dei fatti contestati e non contestati nella loro materialità dal ricorrente. La Corte d’appello fonda in particolare la propria decisione su tre argomentazioni principali, conformi ai più recenti e maggioritari orientamenti giurisprudenziali in tema di licenziamento disciplinare: in particolare infatti in questa sentenza la Corte ritiene necessario valutare con attenzione l’elemento soggettivo della fattispecie, pertanto le peculiarità proprie del lavoratore, le mansioni in concreto svolte, il ruolo rivestito, le sue conoscenze e la sua formazione, le responsabilità a lui affidate dalla Società. Inoltre la Corte, nel valutare se il comportamento del lavoratore potesse essere qualificato, secondo la declaratoria contrattuale, quale giusta causa di recesso, applica il principio, più volte ribadito dalla giurisprudenza della Suprema corte, dell’autonomia del Giudice del merito nel determinare la gravità del comportamento illecito sottoposto al suo apprezzamento, anche al di fuori dell’elencazione delle ipotesi previste dalla contrattazione collettiva quale giusta causa, elencazione che deve ritenersi meramente esemplificativa (contrariamente a quanto invece è previsto per le sanzioni conservative). Infine, ricorda la Corte d’appello che ai fini della valutazione della proporzionalità tra la sanzione adottata e il comportamento contestato al lavoratore il Giudice del merito, anche in assenza di apposita contestazione da parte del datore di lavoro della recidiva di comportamento, abbia comunque facoltà di considerare anche i precedenti procedimenti disciplinari condotti nei confronti del lavoratore da cui il datore di lavoro avrebbe potuto desumere elementi importati in relazione alla futura affidabilità del dipendente. Afferma quindi in primo luogo la Corte meneghina che, ai fini della valutazione della sussistenza dei requisiti della giusta causa di licenziamento, la condotta tenuta dal lavoratore debba essere necessariamente valutata nel suo complesso. Così operando, osserva la Corte che nel caso di specie i motivi di particolare gravità, tali da ritenere fondata l’intimata giusta causa di recesso, possano desumersi da diversi elementi: in primo luogo, dal fatto che in considerazione delle mansioni svolte (e non contestate) il lavoratore aveva libero accesso a molteplici informazioni e dati personali; dalle svariate violazioni della normativa in tema di trattamento dei dati personali e delle precise disposizioni aziendali ricevute sul tema nel 2020; dalla formazione specifica che la Società aveva assegnato al lavoratore in materia di privacy, inviato a partecipare a periodici corsi di aggiornamento; dalla conseguente consapevolezza che il lavoratore doveva necessariamente avere dell’illiceità della condotta tenuta. La Corte d’appello, aderendo integralmente alla decisione assunta dal Tribunale di Milano nell’impugnata sentenza, ritiene inoltre che il lavoratore, utilizzando il numero di telefono personale della candidata a scopi esclusivamente personali, avesse anche palesemente violato le disposizioni aziendali che imponevano che i dati personali da lui acquisiti nell’esercizio delle proprie mansioni venissero utilizzati esclusivamente al fine di compiere i compiti attribuitigli dal datore di lavoro, quali la gestione e smistamento della posta. Il fatto che proprio un lavoratore adeguatamente formato in materia di privacy avesse fatto un uso così improprio di dati personali di una candidata non poteva quindi che rivestire una valenza particolarmente negativa, tradotta in una lesione grave ed irreparabile del vincolo fiduciario. Argomenta quindi la Corte meneghina “la specificità della mansione e la durata ultraventennale del rapporto di lavoro alle dipendenze della società rendono ancor più intollerabile la condotta posta in essere dal dipendente la violazione degli obblighi del lavoratore si è infatti realizzata nel momento in cui ha utilizzato il numero di telefono per finalità diverse da quelle per le quale era stato comunicato dalla candidata e assolutamente estranee alle esigenze aziendali. La datrice di lavoro ha reputato la gravità della condotta sia in considerazione del peculiare elemento soggettivo, rapportato alla funzione ed al grado di fiducia attribuito al dipendente con la nomina a persona autorizzata al trattamento dei dati personali, sia in relazione al danno all’immagine ed alla reputazione della società”. In ragione pertanto delle suddette argomentazioni, conformi a consolidati e più recenti orientamenti giurisprudenziali in tema di licenziamento disciplinare, la Corte d’appello di Milano conferma la sentenza del Tribunale di Milano e rigetta il ricorso.

L’Intelligenza Artificiale sbaglia, l’avvocato paga

La recente pronuncia resa nel Regno Unito dalla High Court of Justice rappresenta l’occasione per riflettere sui rapporti tra avvocatura e tecnologie, su come l’intelligenza artificiale potrà cambiare la professione forense.

Il provvedimento è stato pronunciato dalla High Court of Justice King’s Bench Division, Administrative Court nella causa promossa dal signor F. A. contro il London Borough of Haringey. L’Alta Corte ha accertato che nel ricorso per “judicial review” proposto dal signor Ayinde erano stati inseriti cinque precedenti giurisprudenziali inesistenti, non verificati da parte dei difensori che li avevano citati. Il giudice inglese ha qualificato tale condotta come impropria, irragionevole e negligente, ipotizzando un uso non controllato di strumenti di intelligenza artificiale e disponendo un “wasted costs order” per l’importo complessivo di 4.000 sterline, oltre alla trasmissione della sentenza agli organi disciplinari competenti (Bar Standards Board e Solicitors Regulation Authority).

Il giudice inglese rileva, quindi, che sebbene non sia stato possibile acquisire la prova circa un effettivo utilizzo di strumenti basati sull’intelligenza artificiale nella redazione dell’atto è stato accertato in fatto che l’autrice dell’atto ha inserito riferimenti a precedenti giurisprudenziali la cui esistenza non è stata verificata con la dovuta diligenza, o che sono stati utilizzati con consapevole indifferenza rispetto alla loro veridicità. Ciò comporta una responsabilità personale piena e diretta, indipendentemente dallo strumento eventualmente impiegato nella redazione. Il punto centrale correttamente evidenziato dalla Corte non consiste nell’utilizzo o meno di uno strumento di intelligenza artificiale, che rappresenta una circostanza in sé neutra, ma nel fatto che sono stati citati dei casi giudiziari (inesistenti) senza averne verificato la fonte con la necessaria diligenza.

Al riguardo, si richiama l’attenzione alla “Carta dei Principi per un uso consapevole di strumenti di intelligenza artificiale in ambito forense”, recentemente adottata da parte dell’Ordine degli Avvocati di Milano, la quale prescrive il rispetto dei principi di legalità, correttezza, trasparenza e responsabilità.

In una prospettiva più ampia, anche la Commissione europea con la recente pubblicazione delle FAQ sull’AI Literacy in attuazione dell’art. 4 dell’AI Act ha chiarito gli obblighi per le società che sviluppano o utilizzano sistemi di intelligenza artificiale di garantire un adeguato livello di competenza in materia di AI a tutto il personale (dipendenti e collaboratori coinvolti nell’uso e nella gestione di tali tecnologie).

Leggi anche:

  • NEWSLETTER PRIVACY 7/2025 - Diffamazione on line: internet non è una zona franca. In caso di diffamazione commessa con il mezzo telematico, al fine di individuare l’autore del messaggio, vanno disposte ricerche sulle informazioni personali eventualmente presenti nei profili social, nonché acquisire i dati di traffico telematico. Sempre in materia di diffamazione, il termine “nazista” non può essere considerato… Read More
  • NEWSLETTER 7/2025 - Novita’ normative AEC 4 giugno 2025 Agenti e Rappresentanti di Commercio. È stata sottoscritta l’ipotesi di rinnovo dell’Accordo Economico Collettivo (AEC) per gli Agenti e Rappresentanti di Commercio nel settore del commercio. L’accordo è stato firmato da Confesercenti e dalle principali organizzazioni di categoria, tra cui FNAARC, USARCI, FISASCAT, CISL, UILTUCS, UIL e FILCAMS, CGIL.… Read More
  • NEWSLETTER 6/2025 - Novita’ normative Dimissioni per fatti concludenti – Modello di comunicazione all’ITL. L’Ispettorato Nazionale del Lavoro ha emanato la nota prot. n. 3984 del 29 aprile 2025, con la quale, tenendo conto delle indicazioni fornite dal Ministero del Lavoro con la circolare n. 6 del 27 marzo 2025, aggiorna il modello di comunicazione all’Ispettorato Territoriale del… Read More
Ultime News