Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv.

Transcript

1 Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv. Pierluigi Perri Dottore di ricerca in Informatica giuridica e diritto dell informatica nell Università degli Studi di Milano

2 About me Avvocato (privacy, computer crimes, computer forensics, proprietà intellettuale) Dottore di ricerca in informatica giuridica e diritto dell informatica Fellow presso l Università di Stanford Ricercatore presso l Università degli Studi di Milano Socio AIPSI e CLUSIT

3 Il potere di controllo Come ricorda la Cassazione (Sent /09 dep. 10 luglio 2009) le norme poste dagli artt. 2 e 3 della legge 20 maggio 1970 n. 300, a tutela della libertà e dignità del lavoratore, delimitano la sfera d intervento di persone preposte dal datore di lavoro a difesa dei suoi interessi [ ] ma non escludono il potere dell imprenditore ai sensi degli artt e 2104 c.c., di controllare direttamente o mediante la propria organizzazione gerarchica o anche attraverso personale esterno l adempimento delle prestazioni lavorative, e ciò indipendentemente dalle modalità del controllo, che può avvenire anche occultamente senza che vi ostino [ ] il divieto di cui all art. 4 della stessa legge n. 300 del 1970, riferito esclusivamente all uso di apparecchiature per il controllo a distanza.

4 I termini del problema / 1 Lo Statuto dei lavoratori prevede in termini generali ed assoluti un divieto di utilizzare impianti audiovisivi e altre apparecchiature o tecnologie per finalità di controllo a distanza dell'attività dei lavoratori (art. 4, L. 300/1970)

5 I termini del problema / 2 Tuttavia il medesimo articolo prevede che, qualora determinate tecnologie di controllo a distanza siano richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro (c.d. controllo preterintenzionale), queste possano essere utilizzate previo accordo con le RSA o con la commissione interna, ovvero, in difetto di accordo, su istanza del datore di lavoro, con provvedimento dell'ispettorato del lavoro.

6 I termini del problema / 3 L'esigenza, in ultima analisi, è quella di riuscire a conseguire un adeguato bilanciamento tra: le legittime istanze di libertà, autonomia e riservatezza del lavoratore nello svolgimento delle proprie mansioni le necessità di controllo del datore di lavoro finalizzate ad un'efficiente organizzazione dell'attività produttiva

7 Tecnologie, controllo, rischi Come incidono le tecnologie tecnologie informatiche e telematiche su tale bilanciamento? per un verso esse consentono un maggiore controllo, anche indiretto, da parte del datore di lavoro, sull'attività svolta da dipendenti e collaboratori sotto un diverso profilo, d'altra parte, esse espongono a rischi sempre maggiori l'azienda in relazione ad utilizzi non autorizzati, illeciti o semplicemente a condotte imprudenti da parte del lavoratore

8 Tentazioni tecnologiche... Al di là di possibili comportamenti fraudolenti, la disponibilità della posta elettronica e, magari, di un collegamento veloce alla Rete possono costituire per dipendenti e personale dell azienda una forte tentazione a prendersi una pausa dal lavoro per inviare, ad esempio, un di carattere privato, per chiacchierare con qualche amico tramite programmi di instant messaging o per navigare sui propri siti preferiti.

9 ...ed i rischi connessi alcune di queste attività, oltre una certa misura, possono distrarre il dipendente dal proprio lavoro a scapito della produttività aziendale e della qualità stessa del lavoro prestato altre, ben più seriamente, possono compromettere la sicurezza dei sistemi informatici e telematici aziendali, come nel caso di virus, dialer o trojan che si insinuino in tali sistemi a causa di una malaccorta navigazione su siti web non fidati o perché veicolati tramite la posta elettronica altre, ancora, possono integrare comportamenti illeciti la cui responsabilità può coinvolgere anche il datore di lavoro

10 Uso ed abuso tecnologico: alcuni comportamenti a rischio utilizzo della posta elettronica aziendale o di altri strumenti (e.g. programmi di file sharing, blog, etc.) per scopi personali o comunque extralavorativi installazione non autorizzata di software downloading o uploading di contenuti (potenzialmente) illeciti navigazione su siti estranei all'attività lavorativa diffusione di documenti aziendali riservati etc.

11 I rischi per l'azienda I rischi per l'azienda sono molteplici e si possono sostanzialmente ricondurre a due insiemi: rischi economici compromissione della sicurezza aziendale perdita (o perdita di controllo) sui dati danni ai sistemi informatici e telematici Etc. rischi legali responsabilità civile (2049 c.c.) responsabilità da illecito penale Responsabilità ex D.Lgs. 231/01

12 Il D.Lgs. 231/2001 Il D.Lgs. 231/2001 ha introdotto nel nostro ordinamento la responsabilità penale degli enti per una serie di reati commessi dal proprio personale tra cui, ad esempio: accesso abusivo ad un sistema informatico o telematico (615-ter c.p.) detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (615- quater c.p.) diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (615-quinquies c.p.) intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (617-quater) installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (617-quinquies c.p.) danneggiamento di informazioni, dati e programmi informatici (635-bis c.p.) danneggiamento di sistemi informatici o telematici (635-quater c.p.) pedopornografia (600-ter c.p.) pornografia virtuale (600-quater c.p.)

13 Il concetto di controllo difensivo

14 E gli altri controlli?

15 Ricapitolando

16 La posizione del Garante privacy

17 Punti essenziali del Provvedimento

18 Punti essenziali del Provvedimento /2

19 L'importanza dell'informativa

20 Come redigere una policy

21 Come redigere una policy /2

22 Controlli non consentiti

23 Limiti nei controlli

24 Quanto conservare i dati?

25 Ricapitolando

26 Alcune decisioni rilevanti Garante su controllo della posta elettronica del dipendente 2 aprile 2008 Garante su formazione a distanza e controllo a distanza dei lavoratori 2 aprile 2008 Garante su monitoraggio degli accessi internet del dipendente 2 aprile 2009 Garante su strumenti informatici aziendali e privacy del dipendente 2 ottobre 2009 Corte di Cass. Sez. Lavoro, Sent. del 23 febbraio 2010 n. 4375

27 Grazie! Avv. Pierluigi Perri