15 Ottobre 2013. Cyber Risk: Internal investigation e digital forensics nel rispetto della normativa in vigore. Giuseppe Vaciago

Documenti analoghi
16 novembre E-privacy. Big Data e Cyber Risk. Giuseppe Vaciago

Il trattamento dei dati e le misure minime di sicurezza nelle aziende

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

Guardie Giurate. Art. 2 Statuto dei lavoratori.

SICUREZZA DEGLI EDIFICI E DOMOTICA Linee guida e compiti in fase di progettazione Privacy

Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv.

Nuovo art. 4 St. Lav. e privacy

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

Privacy e lavoro. Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati

COMUNE DI RENATE Provincia di Monza e Brianza

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

Università degli Studi di Palermo Servizio di Prevenzione e Protezione di Ateneo

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Circolare N.98 del 28 Giugno Assolvimento degli obblighi relativi al prospetto paga tramite sito web

Politica per la Sicurezza

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

FORMAZIONE PRIVACY 2015

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

REGOLAMENTO RELATIVO AL FUNZIONAMENTO DEL SERVIZIO ISPETTIVO

Privacy - poteri di controllo del datore di lavoro e nuove tecnologie

Tutela legale delle aziende in caso di cyber crime e attacchi informatici

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.8) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio.

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

News per i Clienti dello studio

COMUNE DI LAZISE - PROVINCIA DI VERONA - REGOLAMENTO SUL PROCEDIMENTO E SULL'ACCESSO AI DOCUMENTI AMMINISTRATIVI

Infosecurity. La computer forensics in azienda

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

REV. 2015/00 Pag. 1 di 5

La CASSAFORTE DIGITALE per

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

Documento informatico e firme elettroniche

STUDIO BD e ASSOCIATI Associazione Professionale Cod. Fisc. e Partita Iva web: info@bdassociati.

Regolamento interno per la gestione di informazioni riservate e per la gestione e comunicazione all esterno di informazioni privilegiate

Privacy Policy del sito Web meseum.network

PROVINCIA DI LECCE SERVIZI INFORMATICI

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

La responsabilità penale dell amministratore e del legale rappresentante di una società

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

INCONTRO SUL TEMA: D. LGS. N. 81/2008, ART. 300

SCHEMA DI DELIBERAZIONE

INTRODUZIONE AL PROSPETTO INFORMATIVO DISABILI

2. Test di interoperabilità del sistema di gestione della PEC - Punto 1 della circolare 7 dicembre 2006, n. 51.

La soluzione software per Avvocati e Studi legali

L adempimento della notificazione al Garante per la Privacy

Trasmesso dal Presidente della Camera dei deputati alla Presidenza il 18 ottobre 2013

Impianti e apparecchiature per finalità di controllo da installare negli ambienti di lavoro VIDEOSORVEGLIANZA

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

COMUNE DI NORMA PROVINCIA DI LATINA

Associazione Comunità IL GABBIANO ONLUS

REGOLAMENTO PER LA VIDEOSORVEGLIANZA

CARTA INTESTATA PREMESSA

Informativa privacy. Data: 01/01/2010 Versione: 2.0

ll sito Internet è di proprietà di: Nesocell Srl via Livorno n.60 I Torino - Italia P. IVA

Dati e informazioni in azienda: sicurezza, vincoli legali e novità legislative. Gabriele Faggioli

PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE E DELL ILLEGALITA

Regolamento emittenti

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Comune di San Martino Buon Albergo Provincia di Verona

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

Lezione 11 Abuso di internet e di posta elettronica in azienda I vincoli al controllo

La prevenzione e il contrasto dei reati ambientali. polizia municipale. Normativa, casi pratici, modulistica. Mar c o Ma s s a v e l l i

MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI

La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013.

Seminario Formativo. La Posta Elettronica Certificata (PEC)

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Il nuovo CAD L atto pubblico informatico

PRIVACY POLICY SITO INTERNET

INFOSECURITY 2005 La privacy nelle PMI Gabriele Faggioli. Milano febbraio 2005

REGOLAMENTO PER LE MODALITÀ DI ACCESSO E DI USO DELLA RETE INFORMATICA DELL ITIS P. LEVI E ACCESSO E DI USO ALLA RETE INTERNET INDICE

Sottoscrizione dell accordo

R E G I O N E U M B R I A GIUNTA REGIONALE. Direzione Affari Generali della Presidenza e della Giunta regionale. Servizio Segreteria della Giunta

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

Notiziario settimanale giugno Indirizzi e invio di pubblicità. Documento dei Garanti UE sul nuovo software Microsoft

atf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia

Conservazione elettronica della fatturapa

EUROCONSULTANCY-RE. Privacy Policy

Studio legale Avv. Paolo Savoldi Bergamo, Via Verdi, 14. SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO

Codice di Comportamento

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

MinisterodelloSviluppoEconomico

Il responsabile della prevenzione della corruzione. Ai collaboratori del Consorzio Ai rappresentanti degli organi di indirizzo politico del Consorzio

Comune di Bracciano. Regolamento per la pubblicazione di atti e documenti amministrativi sul sito Internet Istituzionale

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Regolamento attuativo delle linee guida del Garante in tema di utilizzo e controllo degli strumenti elettronici

PRIVACY POLICY DEL SITO WEB

REGOLAMENTO PER L'UTILIZZO DEGLI IMPIANTI DI VIDEO SORVEGLIANZA NELLE STRUTTURE DELL A.S.L. DI NUORO PREMESSA

Strumenti digitali e privacy. Avv. Gloria Galli

Nomina RLS Rappresentante dei lavoratori per la sicurezza

DETERMINA DEL DIRETTORE GENERALE

* Creare un documento unico di iscrizione in formato tessera (card) per tutti gli iscritti all Ordine dei Consulenti del Lavoro che:

Oggetto: ATTO di INDIRIZZO per l attuazione degli adempimenti relativi alle comunicazioni all AVCP e riguardanti l attuazione del P.T.T.I.

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

SEZIONE V TECNICHE DI COMUNICAZIONE A DISTANZA

Circolare N.24 del 07 Febbraio Sicurezza sul lavoro. Obblighi e scadenze

Identità e autenticazione

Transcript:

15 Ottobre 2013 Cyber Risk: Internal investigation e digital forensics nel rispetto della normativa in vigore Giuseppe Vaciago

Alcuni dati: un primato europeo In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno smartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sono attaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).

Alcuni dati: un analisi degli attacchi Il rapporto Clusit 2013 identifica un rapido cambiamento del trend: iniziano ad essere colpiti tutti i settori industriali e non solo più il settore governativo o quello dell industria multimediale

Alcuni dati: un analisi degli attacchi Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli attivisti. 1 attacco su 2 è non è per finalità dimostrative.

Alcuni dati: tipologie di attacchi Attività fraudolente poste in essere da insider e outsider Attività di phishing Furto di dati confidenziali, furto di dati e spionaggio industriale Accessi non autorizzati da parte dei lavoratori Accessi non autorizzati da parte di esterni (hacking) Violazioni contrattuali Diffamazione e molestie sessuali Acquisizione e commercio di materiale pornografico e pedopornografico Furto di codici di accesso e pirateria informatica Modifica non autorizzata di dati (virus, cavallo di Troia, etc.) Furto di risorse informatiche aziendali per fini personali Denial of Services Abuso dell utilizzo della posta elettronica e di internet Violazione di policy e regolamenti aziendali

Alcuni Casi: La banda della firma digitale Un imprenditore perde la sua azienda perché il truffatore usando la sua smart card cede a sé stesso e al suo coimputato la totalità delle quote sociali. Ciò avviene perché il truffatore ottiene la firma digitale dell imprenditore incarica uno studio commercialista che facendone richiesta a suo nome non è tenuto a portare con sé l imprenditore al momento della consegna.

Alcuni Casi: Social Botnet Da una approfondita indagine dell FBI emerge che nel 2012 più di 11 milioni di utenti di Facebook sono rimasti affetti da un particolare malware in grado di fare un danno di circa 850 milioni di dollari.

Social Media Security and Big Data

Behavioral security

BYOD e Consumerization Perdità del controllo dei device aziendali + Aumento del rischio di introduzione di malware = Aumento del rischio di perdita di dati aziendali

Sicurezza fisica del device Lontano da occhi indiscreti

Sicurezza fisica del device Security by Design V. Privacy by Design?

Alcuni Casi: Una esemplificazione

Normativa su protezione cibernetica : Awareness DPCM 24 gennaio 2014 Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionale devono comunicare al Nucleo per la Sicurezza Informatica (CISR - Comitato Interministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni e Sicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - Nucleo Interministeriale Situazione e Pianificazione) ogni significativa violazione della sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti Provvedimento Generale del Garante del 4 aprile 2013 Obbligo per ISP e TELCO di segnalazione di Data Breach I fornitori di servizi di comunicazione elettronica hanno l obbligo di segnalare al Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire, successivamente gli interessati cui i dati si riferiscono.

Alcuni dati: statistiche ABI Lab

Alcuni dati: statistiche ABI Lab

Digital e Corporate Forensics In questo contesto, la diventa sempre più necessario ricercare all interno dei sistemi informativi della banca (corporate forensics) e del cittadino (digital forensics) la prova digitale utilizzabile nel successiva fase giudiziale (penale, civile e amministrativa). La prova digitale è qualunque informazione generata, memorizzata o trasmessa attraverso uno strumento elettronico che possa essere ammessa in giudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013). Autentica: non deve subire alcuna alterazione Ammissibile: essere utilizzabile in giudizio come fonte di prova Proporzionale: ossia rispettare I diritti fondamentali Credibile :Facilmente comprensibile dall autorità giudiziaria

Sistema di Gestione della Digital Forensics È necessario un sistema di gestione con un approccio di tipo preventivo rispetto alle esigenze di investigazione informatica, fondato su 4 presupposti: Formalizzazione delle procedure in caso di incidenti IT Monitoraggio e analisi dell evoluzione normativa Progettazione e erogazione di iniziative di training Pianificazione periodica di attività di assessment

Digital Forensics preventiva: esempio pratico Mappatura (asset inventory) delle fonti di prova digitale Fonte di prova Tempi di conservazione Luogo e modalità di conservazione Copie di back up Note CCTV 72 ore Registrazione su server dedicato No Tempi di conservazione compliant con Garante Privacy Log di accesso applicazione X 6 mesi log in e log out 1 mese log in utenti generici Registrazione su log server xyz Registrazione in locale su application server Si Copie notturne registrazione su nastro No Tempi di conservazione compliant con Garante Privacy

La compliance nelle investigazioni difensive Linee Guida di categoria Sistema di gestione della sicurezza delle informazioni ISO/IEC 27037, 27041, 27042 e 27043 Compliance program (D.lgs. 231/01) Investigazioni difensive Codice Privacy e Provvedimenti Garante Privacy

Internal Investigation e Digital Forensics LA NORMATIVA IN VIGORE

I limiti legali delle investigazioni difensive Utilizzabilità in ambito penale Investigazioni difensive Artt. 113 e 114 Codice Privacy I controlli difensivi Utilizzabilità in ambito civile

La digital evidence in ambito civile Nel processo civile, il giudice fonda il proprio convincimento sulla base delle prove a fondamento dei diritti e delle eccezioni reperite e prodotte dalle parti. Le riproduzioni informatiche di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime. Ove disconosciute, esse conservano il valore probatorio di un semplice elemento di prova, liberamente valutabile dal giudice. Solo nel rito del lavoro, le prove a fondamento dei diritti e delle eccezioni devono essere cercate e prodotte dalle parti, ma il giudice ha poteri istruttori non previsti nel rito ordinario

La digital evidence in ambito penale La prova in sede penale è valutata liberamente dall organo giudicante e viene raggiunta a seguito del giudizio come disciplinato dal codice di procedura penale. La legge 48/2008 si è posta il problema della peculiarità delle tradizionali attività di ricerca dei mezzi di prova (ispezioni, perquisizioni, sequestri e accertamenti urgenti), in relazione alle prove digitali, prevedendo l adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l alterazione. I mezzi di ricerca della prova sono strumenti di indagine a disposizione del pubblico ministero e in via residuale della polizia giudiziaria, ma anche al difensore dell indagato e della parte offesa è concessa la facoltà di compiere indagini difensive, anche in ottica preventiva.

Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori a meno che non siano richieste da: Esigenze organizzative Esigenze produttive Esigenze di sicurezza CONTROLLI LEGITTIMI O PRAETERINTENZIONALI Previo accordo con RSA e in difetto di accordo su istanza del datore di lavoro e provvedimento dell ispettorato del lavoro

Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi su: 1. Opinioni politiche, religiose o sindacali del lavoratore. 2. Su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori Le violazioni degli articoli 4 e 8 comportano: Ammenda da 154,95 a 1549,5 o arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Se il giudice ritiene l ammenda troppo bassa ha facoltà di aumentarla fino al quintuplo. Nei casi più gravi l'autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna

I controlli difensivi La giurisprudenza ha introdotto con i controlli difensivi una ulteriore ipotesi di non applicazione del divieto dell art. 4 dello Statuto dei Lavoratori: devono ritenersi certamente fuori dall ambito di applicazione dell art. 4 Statuto dei Lavoratori i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell accesso ad aree riservate, o appunto gli apparecchi di rilevazione di telefonate ingiustificate.

Investigazioni difensive in ambito penale L attività principale riconosciuta dall art. 327-bis c.p.p., è senza dubbio l assunzione di informazioni da soggetti che possono rendere informazioni utili all indagine. Tuttavia, è prevista dall art. 391-sexies anche la possibilità di effettuare un sopralluogo e di redigere un verbale che documenti l attività svolta. In questa attività investigativa, potrebbe rientrare l accesso a un sistema informatico aziendale da parte di un consulente tecnico nominato dall avvocato, finalizzato a controllare la commissione di eventuali illeciti da parte del lavoratore. È importante rilevare che, ai sensi dell art. 391-decies, qualora l attività sia qualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., il difensore ha il dovere di darne avviso, senza ritardo, al pubblico ministero. La dottrina si è interrogata molte volte sulla ripetibilità o meno dell analisi forense di un sistema informatico.

Garante Privacy: Caso Marsh La società Marsh S.p.A. attraverso la società di investigazione tedesca Kroll Ontrack GMBH effettuava un controllo sulla posta elettronica del lavoratore senza alcun avviso. Il dipendente ricorre al Garante della Privacy e la società si difende sostenendo che: 1. Era specificato nel Manuale sulla privacy l esclusione per fini personali dell utilizzo della e-mail aziendale 2. Era stato espletato in forza sia dalla legislazione americana che impone alle aziende accertamenti di tal specie in relazione a presunti illeciti penali commessi dal top management (Sarbanes Oxley Act Sox), sia dalla legislazione italiana, che prevede sanzioni per le imprese che non vigilino sull'osservanza di modelli organizzativi volti a prevenire la commissione di specifici reati da parte degli stessi vertici aziendali (d.lg. n. 231/2001)

Garante Privacy: Caso Marsh Il Garante accoglie il ricorso del dipendente in quanto il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (Caso Copland in UK). Nel caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli ai sensi delle linee guida del Garante della Privacy del 1/3/2007. In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati, salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.

Garante Privacy: Caso Telepost La società Telepost licenzia un dipendente che aveva all interno del suo notebook aziendale file contenenti materiale pornografico. L azienda accede all hard disk in sua assenza e con l ausilio di un consulente tecnico terzo, dopo aver inviato solo il giorno prima la normativa per l'utilizzo dei servizi informatici. Il Garante accoglie il ricorso sostenendo che la società ha esperito il controllo informatico in assenza di una previa idonea informativa all'interessato relativa al: trattamento dei dati personali (art. 13 del Codice) modalità da seguire per gli stessi (presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato)

Linee Guida Garante Privacy su posta elettronica e internet I datori di lavoro privati e pubblici devono indicare chiaramente le modalità di uso degli strumenti elettronici messi a disposizione e se e in che misura e con quali modalità vengono effettuati controlli Divieti (es. file-sharing o downloading di mp3 e software illegale) Posta privata: come (webmail o client?) e quando? Memorizzazione di dati (es. log file): quali e per quanto tempo? Controlli del datore di lavoro: specifici con indicazione dei tempi

Linee Guida Garante Privacy su posta elettronica e internet I datori di lavoro devono adottare e pubblicare un disciplinare interno e adottare misure di tipo organizzativo affinché: si proceda ad un attenta valutazione lavoratori; dell impatto sui diritti dei si individuino preventivamente i lavoratori cui è consentito l utilizzo di internet e della posta elettronica; si individui quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi.

Linee Guida Garante Privacy su posta elettronica e internet È vietato il trattamento di dati personali da parte dei datori di lavoro mediante software e hardware che mirano al controllo a distanza dei lavoratori attraverso: la lettura sistematica dei messaggi di posta elettronica; memorizzazione riproduzione delle pagine web visionate dal lavoratore; la lettura e la registrazione dei caratteri inseriti tramite la tastiera; l analisi occulta dei computer portatili affidati al lavoratore.

Linee Guida Garante Privacy su posta elettronica e internet In ogni caso tutti i trattamenti devono rispettare i principi di: CORRETTEZZA Le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori PERTINENZA Divieto di un'ingiustificata interferenza sui diritti e sulle libertà fondamentali di lavoratori NECESSITÀ Elenco di siti attendibili Filtri inseriti su black list (download Anonimizzazione dei log file Retention limitate file NON INVASIVITÀ Monitoraggio effettuato solo su soggetti a rischio ed effettuato nel rispetto del principio della segretezza della corrispondenza

Giurisprudenza penale su art. 616 c.p. Non incorre nel reato di cui all art. 616 c.p. il datore di lavoro che legge le e-mail aziendali dei propri dipendenti se esiste un regolamento dettato dall impresa che impone la comunicazione della password del PC (Cass. Pen., Sez. V, 11/12/2007, n. 47096) L indirizzo aziendale, proprio perché tale, può essere nella disponibilità di accesso e lettura da parte di persone diverse dall utilizzatore consuetudinario a prescindere dalla identità o diversità di qualifica o funzione (Tribunale di Milano, 10/5/2002) Il dipendente che utilizza la casella di posta elettronica aziendale si espone al rischio che anche altri della medesima azienda possano lecitamente accedere alla casella in suo uso previa acquisizione della relativa " password (Tribunale Torino, 15 settembre 2006)

Giurisprudenza civile su controlli difensivi Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet dei dipendenti, sul presupposto che gli stessi consentono al datore di lavoro di controllare a distanza ed in via continuativa l'attività lavorativa durante la prestazione, e di accertare se la stessa sia svolta in termini di diligenza e corretto adempimento (Cassazione civile sez. lav., 23/2/2010, n. 4375) Non sono utilizzabili i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8 st. lav., posto che il monitoraggio e la conservazione per un certo lasso di tempo dei dati acquisiti può concretare trattamenti dei dati sensibili che consentono al datore di lavoro di acquisire indicazioni sulle "opinioni politiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dello stesso statuto, ove non sia attivata la procedura prevista per l'installazione delle apparecchiature necessarie per soddisfare esigenze aziendali (C. App. Milano, 30/09/2005)

Conclusioni Quadro normativo e giurisprudenziale caotico: dall art. 4 Statuto Lavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, dai Provvedimenti del Garante Privacy alle decisioni della Corte di Cassazione civile e penale. Il D.lgs. 231/01 rischia di essere in contrasto con quanto stabilito dal Garante Privacy rendendo difficile la redazione del modello di organizzazione gestione e controllo. La digital forensics, riveste e rivestirà sempre di più un ruolo di fondamentale importanza per garantire la corretta cristallizzazione della prova digitale che dovrà essere successivamente prodotta in giudizio.

Grazie per l attenzione giuseppe.vaciago@replegal.it http://it.linkedin.com/in/vaciago https://twitter.com/giuseppevaciago

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back