Dipendente avvisato…controllo autorizzato

Sicurezza

Spesso i responsabili It aziendali sono frenati nell’adozione di strumenti di
controllo per paura di violare la privacy dei dipendenti o qualche normativa
vigente. In quest’intervista il parere di un legale specializzato

Abbiamo chiesto allo specialista nello sviluppo di soluzioni per la sicurezza di Internet e il web filtering Websense, come sia possibile tutelare gli interessi aziendali pur rispettando i diritti dei dipendenti. Per dare la giusta valenza giuridica alla risposta e fornirle maggiore legittimità Websense ha rigirato la domanda all’Avv. Gabriele Faggioli, legale specializzato in Information Technology Law, docente dell’Area Sistemi Informativi della Sda Bocconi e Presidente di A.N.GA.P. (Associazione Nazionale Garanzia della Privacy). Vediamo quindi nel seguito come sia possibile per le aziende evitare scenari disastrosi per i propri interessi utilizzando legalmente strumenti di sicurezza che possano potenzialmente prevedere diverse forme di controllo nei confronti dei propri dipendenti.

Botta e risposta

Un numero sempre maggiore di aziende adotta delle policy aziendali per l’utilizzo delle strumentazioni informatiche, di Internet e della posta elettronica. Questo tipo di policy è vincolante nei confronti del dipendente?

Avv. Faggioli: Spetta all’azienda scegliere se adottare una policy per le strumentazioni informatiche vincolante o limitarsi ad adottare un documento non vincolante. La policy di utilizzo delle strumentazioni informatiche per essere vincolante nei confronti del lavoratore deve però essere integrata nel regolamento interno dell’azienda e deve rispondere ad alcuni requisiti di legge. Infatti ai sensi dell’articolo 7 dello Statuto dei lavoratori ?le norme disciplinari relative alle sanzioni, alle infrazioni in relazione alle quali ciascuna di esse può essere applicata ed alle procedure di contestazione delle stesse, devono essere portate a conoscenza dei lavoratori mediante affissione in luogo accessibile a tutti?. Pertanto il datore di lavoro dovrà provvedere a rendere nota mediante affissione la policy per l’uso delle strumentazioni informatiche. Inoltre la policy dovrà fare riferimento sempre sulla base dell’articolo 7 dello Statuto dei lavoratori alle sanzioni disciplinari stabilite nel contratto collettivo di lavoro.

Esiste nell’ordinamento italiano un divieto all’utilizzo di strumentazioni tecnologiche volte a proteggere l’azienda contro attacchi informatici o altre violazioni del loro sistema informativo?

Avv. Faggioli: Non esiste nell’ordinamento italiano nessun divieto espresso all’utilizzo di tecnologie volto a proteggere l’azienda contro attacchi informatici. Al contrario il Codice in materia di trattamento dei dati personali impone ai titolari del trattamento l’adozione di misure di sicurezza idonee volte a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati trattati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Il Codice impone anche l’adozione di misure minime di sicurezza per il trattamento dei dati con strumenti elettronici. In particolare il titolare del trattamento deve:

  • adottare un sistema di autenticazione informatica e un sistema di autorizzazione;
  • utilizzare idonei strumenti elettronici contro i rischi di intrusione e di diffusione di virus e altri software maligni
  • aggiornare periodicamente i software che prevengono le vulnerabilità dei sistemi e che ne correggono i difetti
  • provvedere al salvataggio dei dati

L’azienda potrà inoltre adottare anche misure di sicurezza volte ad evitare o prevenire la commissione di reati da parte dei propri dipendenti quali ad esempio il download di file a contenuto pedopornografico o lo scambio di file audio o video protetti da diritto d’autore.

Esistono nell’ordinamento italiano dei limiti o dei divieti al controllo dell’uso delle strumentazioni informatiche da parte dei lavoratori?

Avv. Faggioli:Queste problematiche non sono state puntualmente disciplinate dal legislatore italiano. Sono infatti ancora fondamentali le norme stabilite dallo Statuto dei lavoratori. In base al primo comma dell’articolo 4, è vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori?. Il secondo comma prosegue disponendo che ?gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna?. La giurisprudenza ha contribuito a interpretare tali principi; innanzitutto ha precisato che per altre apparecchiature non bisogna intendere macchinari esterni o separabili dagli strumenti di lavoro ma che invece è necessario considerare le funzioni che l’apparecchiatura possiede. Le altre attività, inoltre, non sono solo i comportamenti legati alla prestazione lavorativa ma anche quelli esulanti da tale attività, comunque in grado di caratterizzare il dipendente. Da queste norme si deduce che se un controllo intenzionale sul comportamento dei dipendenti è sicuramente vietato, uno indiretto e conseguente ad esigenze organizzative, produttive o di sicurezza è invece possibile a determinate condizioni. Vero quanto detto occorre considerare che i controlli sull’utilizzo delle strumentazioni informatiche comportano la raccolta di dati personali dei dipendenti. Il Garante per la protezione dei dati personali si è di recente pronunciato in materia di controllo dell’utilizzo di internet da parte di una lavoratrice confermando le tesi già esposte dal Data Protection Working Party, organo della Comunità Europea istituito per monitorare e fornire alcuni pareri riguardo all’applicazione della direttiva europea sulla privacy. Il Garante ha ribadito la necessità di informare preventivamente i lavoratori sui controlli effettuati e sulle relative modalità e di rispettare il principio di proporzionalità che comporta l’adozione di misure di controllo adeguate alle possibili violazioni poste in essere dai dipendenti. In conclusione il provvedimento ha ribadito la legittimità di questa tipologie di controlli purché rispondente ai principi di trasparenza, di legittimità e di proporzionalità.

Conclusioni

Al giorno d’oggi le aziende si trovano dibattute tra la necessità di garantire la propria sicurezza informatica, rispettando contemporaneamente le numerose limitazioni imposte dalla legislazione e dalla garanzia di tutela della privacy dei dipendenti. Ogni volta che i responsabili It si trovano quindi a valutare la scelta di una nuova soluzione di sicurezza, devono anche garantirsi del fatto che il nuovo strumento non vada ad impattare contro qualche normativa vigente in tema di tutela dei diritti di privacy o dello Statuto dei Lavoratori. Grazie alla disponibilità di Websense, nel corso dell’articolo abbiamo verificato con l’Avvocato Gabriele Faggioli, quali siano i comportamenti grazie ai quali i vertici aziendali possono sviluppare le idonee soluzioni di sicurezza a tutele dei propri interessi, con la contemporanea certezza di non ledere acun diritto dei propri dipendenti.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore