di


Skip Intro: Navigare in acque sicure. Cosa dice la legge

Nel numero di Luglio di Preziosa, abbiamo affrontato la questione dell’uso dei Social Media e dei potenziali rischi dal punto di vista della sicurezza. Questa volta proseguiamo con un approfondimento del tema dal punto di vista legale, per cercare di capire quali sono gli adempimenti concreti di competenza del datore di lavoro relativamente all’uso degli strumenti informatici da parte dei dipendenti. Ad aiutarci, questa volta, l’Avvocato Stefano Mele, specializzato in Diritto delle Tecnologie, Privacy, Sicurezza e Intelligence.

Quali sono, oggi, i principali rischi relativi a un uso non disciplinato dei sistemi informatici in azienda?

Esistono principalmente due rischi, intimamente legati tra loro. Il primo riguarda prettamente l’aspetto tecnico, connesso all’assenza dei requisiti minimi di sicurezza informatica dell’infrastruttura tecnologica dell’azienda. Questa mancanza potrebbe permettere, a seguito di attacchi informatici provenienti tanto dall’esterno quanto soprattutto dall’interno (ad opera di dipendenti infedeli), la fuoriuscita non autorizzata delle informazioni che sono alla base del core business aziendale. Proteggersi, pertanto, risulta di fondamentale importanza per evitare rilevanti danni economici per l’azienda e d’immagine per il suo brand. Il secondo rischio, invece, è strettamente legato all’adeguamento dei sistemi informatici alla normativa vigente imposta dal legislatore. Non procedere alla loro attenta e puntuale disciplina attraverso, ad esempio, la redazione e l’aggiornamento annuale del Documento Programmatico sulla Sicurezza (DPS), l’elaborazione delle policy e delle linee guida obbligatorie, dell’informativa per la privacy e delle nomine dei responsabili e degli incaricati al trattamento dei dati, può comportare, in caso di controllo, non solo consistenti sanzioni pecuniarie, quant’anche, soprattutto, sanzioni penali per il titolare del trattamento dei dati personali dell’azienda (normalmente, il suo rappresentante legale).

In aziende medio-piccole spesso connessioni mobili e uso dei Social Media non sono controllate o protette adeguatamente: cosa può fare un datore di lavoro? Ma soprattutto, fino a che punto può spingersi nel controllo dei suoi dipendenti?

Per il Codice della Privacy un dato personale è “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Quest’ampia definizione comporta, nella pratica, che un soggetto terzo non possa venire a conoscenza di qualunque informazione personale relativa a una persona fisica o giuridica, senza l’espresso consenso dell’interessato, ovvero della persona a cui il dato si riferisce.
L’argomento è di scottante attualità se lo si analizza in relazione alle problematiche inerenti ai contenuti generati dagli utenti che, da ultimo, soprattutto con l’avvento dei social network , hanno visto riversare sulla rete Internet un’incredibile mole di dati personali. L’incontenibile successo in termini di utenti e di attività online di questi aggregatori sociali (come Facebook, LinkedIn, Google+, ecc.) e dei siti web 2.0 (come YouTube), infatti, se da un lato garantiscono rivoluzionarie possibilità e metodologie di comunicazione e di interrelazione sociale, dall’altro stanno facendo emergere numerose e “nuove” strade di responsabilità giuridica.
Occorre evidenziare, in prima battuta, che il Garante per la protezione dei dati personali ha più volte ribadito per il settore privato la regola generale che, tanto sul posto di lavoro quanto nella vita privata, la privacy degli utenti è un bene primario e non può, pertanto, essere sottoposta ad attività di monitoraggio, registrazione e controllo.
L’art. 4 della legge 20 maggio 1970, n. 300 (il c.d. “Statuto dei lavoratori”) stabilisce infatti che “è vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”. Inoltre, qualora gli impianti e le apparecchiature di controllo siano richiesti per far fronte ad esigenze organizzative e produttive ovvero di sicurezza sul lavoro, se dalla loro installazione ne deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori, il datore di lavoro è obbligato ad informare i dipendenti in modo particolareggiato e prendere opportuni accordi con i loro rappresentanti sindacali oppure, in mancanza, con la commissione interna. Pertanto, è consentita la vigilanza dell’impresa (c.d. controlli difensivi), ma non il controllo investigativo sull’attività dei lavoratori.
Medesimo ragionamento deve essere fatto per i controlli del datore di lavoro sugli strumenti informatici in dotazione ai dipendenti, ad esclusione della casella di posta elettronica aziendale – che si ritiene essere strumento di lavoro e pertanto in alcuni casi controllabile – ritenuti controlli a distanza a tutti gli effetti e, quindi, ricompresi nel dettato dell’articolo 4 appena richiamato.
Anzi, per quanto attiene la navigazione su Internet, i sistemi informatici predisposti dal datore di lavoro devono essere configurati per cancellare periodicamente i dati personali relativi agli accessi ad Internet e al traffico telematico dei dipendenti, la cui conservazione non sia strettamente necessaria. Concetto questo ripreso anche dal Garante della Privacy con il “Divieto 2 aprile 2009 – Lavoro privato: monitoraggio degli accessi Internet del dipendente”, in cui si afferma in maniera lapalissiana che “è illecito monitorare in modo sistematico e continuativo la navigazione in Internet dei lavoratori”, violando questa condotta lo Statuto dei lavoratori.
Il datore di lavoro, ad ogni modo, non risulta completamente sguarnito di mezzi di “difesa” dai comportamenti non corretti dei propri dipendenti. Le “Linee Guida del Garante per la posta elettronica e Internet” del 2007, infatti, ammettono per il datore di lavoro la possibilità di controllare l’effettivo adempimento della prestazione lavorativa e il corretto utilizzo degli strumenti di lavoro informatici, purché venga seguito un procedimento ben preciso, teso a garantire il rispetto della libertà e della dignità dei lavoratori. Peraltro, di questa possibilità e del relativo procedimento di attuazione, comprensivo dei limiti, il datore di lavoro è obbligato a darne conoscenza ad ogni dipendente attraverso la redazione di uno specifico documento interno (c.d. “Policy”) sull’utilizzo delle attrezzature informatiche, della posta elettronica aziendale e Internet.
Occorre evidenziare infine che, in caso di controlli presso la società da parte del Nucleo Speciale Privacy della Guardia di Finanza, la mancanza di questa Policy comporta rilevanti sanzioni pecuniarie.

L’E-commerce è un tema particolarmente caldo nel settore orafo e – per la tipologia di prodotto trattato – molto delicato. Quali sono i rischi più frequenti, le truffe più comuni? Come difendersi?

Sebbene, la disciplina sull’e-commerce sia particolarmente orientata alla tutela del consumatore, non bisogna trascurare anche il diritto del venditore ad operare online in maniera serena e protetta. In questo senso, una delle principali problematiche ravvisabili è sicuramente quella del ripudio da parte dell’acquirente della transazione effettuata. Uno strumento tecnico a cui spesso si fa ricorso per ovviare ad una simile situazione è l’implementazione di un sistema di firma digitale, per mezzo del quale un contratto firmato digitalmente non può essere successivamente disconosciuto da coloro che l’hanno sottoscritto.
In aggiunta a questo, è opportuno porre in evidenza anche i rischi relativi alla violazione del marchio dell’azienda, nonché alla violazione del design e agli atti di concorrenza sleale, come l’imitazione servile dei prodotti di un concorrente.
Purtroppo per questi casi non esistono degli escamotage tecnici ben precisi, tali da garantire un’adeguata protezione. L’unica strada percorribile è quella di affidarsi ad Avvocati specializzati che sappiano agevolmente risolvere problemi così delicati.

Sono più frequenti i danni nei confronti di chi vende o di chi acquista? Nel primo caso, è facile ottenere l’intervento delle Autorità competenti?

Le stime continuano ad evidenziare, almeno allo stato attuale, un maggior rischio per chi acquista.
Le Autorità competenti garantiscono come sempre un intervento tempestivo, capillare sul tutto il territorio nazionale e, cosa ancora più importante, di assoluta ed eccellente professionalità.
Per di più, la Polizia Postale e delle Comunicazioni offre sul suo sito un sistema di notificazione delle violazioni anche attraverso Internet (“Commissariato di PS online”), permettendo così un dialogo diretto tra Autorità e cittadini.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *