LA GUIDA PRATICA

Policy aziendali per la protezione dell’impresa e dei diritti del lavoratore: ruolo e contenuti

Tramite le policy aziendali le imprese, oltre a specificare le corrette modalità di esecuzione delle attività, possono fornire indicazioni tecnico-organizzative per l’uso degli strumenti ICT prevenendo così i rischi connessi a comportamenti pericolosi con riferimento al profilo della cyber security aziendale. Ecco come predisporle in maniera efficace

28 Ott 2019
R
Alessandro Ronchi

Digital and data protection lawyer – Studio RonchiLegal


Un importante strumento a disposizione delle imprese è costituito dalla possibilità di predisporre policy aziendali tramite le quali specificare quali siano le corrette modalità di esecuzione delle attività affidate ai singoli lavoratori.

È notorio che, nell’ambito dell’attività d’impresa, l’utilizzo degli strumenti di Information and Communications Technology (cosiddetti “strumenti ICT”) riveste un ruolo fondamentale per l’imprenditore in termini di riduzione dei costi ed efficienza produttiva.

L’utilizzo di queste tecnologie espone, tuttavia, il datore di lavoro ad una duplice responsabilità in caso di illeciti nell’ambiente lavorativo:

  1. responsabilità diretta verso i lavoratori, nel caso di violazione dei loro diritti;
  2. responsabilità ex art. 2049 c.c., per gli eventuali danni causati da fatti illeciti posti in essere dai dipendenti nell’esercizio dell’attività lavorativa.

È pertanto imprescindibile che l’imprenditore vigili costantemente, da un lato, sulla corretta applicazione di tutte le norme a tutela dei diritti dei lavoratori, ivi comprese le norme a tutela della loro privacy sul luogo di lavoro; dall’altro lato, sia, però, in grado, pur nel rispetto dei loro diritti, di vigilare e, all’occorrenza, controllare che i dipendenti svolgano la propria attività in conformità alle normative vigenti, senza pregiudizio per i terzi.

Il ruolo delle policy aziendali e il loro contenuto

Con riferimento agli strumenti ICT, le policy aziendali potranno fornire anche indicazioni di carattere tecnico-organizzativo sui comportamenti che i lavoratori saranno tenuti adottare nell’utilizzo degli strumenti informatici, anche per prevenire i rischi connessi a comportamenti pericolosi soprattutto con riferimento al sempre più rilevante profilo della cyber security aziendale.

Per avere policy aziendali efficaci a tutela del patrimonio informativo dell’azienda, l’imprenditore dovrà individuare in modo chiaro perlomeno i seguenti elementi:

  1. eventuali specifici limiti alla navigazione Internet – con riferimento ai tempi, agli accessi, ai download, agli upload ecc. – esplicitando, ad esempio, se il lavoratore può o non può utilizzare gli strumenti aziendali per effettuare acquisti on-line, anche di natura personale;
  2. quali categorie di siti web l’azienda considera affidabili in quanto correlati con l’attività di impresa e, pertanto, consentiti e legittimamente accessibili dal lavoratore. Quando questo requisito viene garantito a monte dall’IT manager tramite l’utilizzo sistemi di filtro automatico, l’imprenditore dovrà specificare al lavoratore la presenza di questi filtri o degli altri sistemi adottati, in grado di impedire l’accesso a determinati siti ritenuti pericolosi per l’azienda e/o di scaricare file, allegati o software non sicuri e via dicendo;
  3. se e quando è possibile conservare file di natura personale scaricati da Internet o dalla posta elettronica sulla rete interna aziendale;
  4. qual è il tempo di conservazione dei dati di navigazione delle singole postazioni e se viene garantita la anonimizzazione di tali dati (misura che garantirebbe la tutela della privacy dei lavoratori, consentendo verifiche sul sistema IT senza necessità di individuazione di ciò che ciascun lavoratore ha visitato e quando);
  5. se e in quale misura è possibile utilizzare l’account di posta elettronica aziendale per ragioni personali;
  6. chi può accedere alle informazioni memorizzate sugli strumenti informatici affidati ai singoli lavoratori in caso di loro assenza prolungata o di necessità di eseguire urgenti verifiche tecniche sulla rete IT (ad esempio, al fine di proteggerla da un attacco esterno);
  7. se e quali informazioni possono essere conservate più a lungo del termine di data retention ordinario stabilito in via generale dall’impresa per esigenze, ad esempio, di backup, di gestione della rete, di registrazione dei file log. Questi ultimi, ad esempio, sono importantissimi elementi da monitorare e conservare per individuare l’origine e le conseguenze di un data breach: conservare questi dati, pertanto, rientra sicuramente nel legittimo interesse dell’impresa, soprattutto quando tali elementi siano essenziali per dimostrare al Garante per la Protezione dei Dati Personali – in ottemperanza all’obbligo di accountability – l’adempimento dell’imprenditore ai propri obblighi di protezione dei dati, come sancisce l’art. 32 del Regolamento UE 2016/679;
  8. se e in quale misura il datore di lavoro si riserva di verificare/controllare gli strumenti informatici affidati al dipendente, con la specifica e dettagliata indicazione delle relative modalità di accesso;
  9. quali sono le soluzioni tecniche individuate dall’impresa per garantire la continuità dell’attività lavorativa dell’impresa in caso di assenza del dipendente: ad esempio, risponditore automatico o inoltro automatico su altra casella di posta elettronica ecc.;
  10. le prescrizioni interne da osservare per la sicurezza dei dati e dei sistemi.

Al fine di dare maggiore forza persuasiva e cogenza a tali norme di comportamento interno nell’uso delle risorse ICT aziendali, è consigliabile che l’imprenditore qualifichi eventuali violazioni della policy aziendale come vera e propria infrazione disciplinare, assoggettando le prescrizioni a specifiche sanzioni.

Policy aziendali: tutela del lavoratore ed esigenze organizzative

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

Per minimizzare il rischio di violazioni, la previsione, nelle policy aziendali, di chiare e precise regole di comportamento per l’utilizzo dell’account e-mail aziendale è un fattore cruciale, dato che, notoriamente, la casella di posta elettronica aziendale è un delicato punto di accesso all’intera infrastruttura IT delle imprese.

Uno dei rischi maggiori per le aziende è, poi, quello derivante dall’uso promiscuo (privato e aziendale) dell’account di posta elettronica aziendale, che incrementa i fattori di rischio sia per quanto riguarda la sicurezza dell’infrastruttura IT sia per quanto riguarda le possibili lesioni alla sfera privata del dipendente.

In questi casi, l’utilizzo di una specifica policy aziendale permette di risolvere a priori la delicata questione circa la legittimità, per il datore di lavoro, di accedere alla casella di posta elettronica utilizzata dal dipendente.

Com’è noto, la posta elettronica, pur con le sue peculiarità, è uno strumento di comunicazione equiparato alla posta tradizionale e, pertanto, anche ad essa si applica il principio di inviolabilità e segretezza della corrispondenza, sancito dall’art. 15 della nostra Costituzione.

Quando, però, i messaggi e-mail sono originati da una casella di posta elettronica aziendale (del tipo nome.cognome@nomeazienda.com), diviene legittimo domandarsi se l’assegnazione in uso esclusivo di quell’account al dipendente sia sufficiente ad escludere, per il datore di lavoro, ogni possibilità di accesso a quella casella, sulla base del principio di segretezza della corrispondenza citato sopra, esattamente come fosse una casella di posta elettronica personale.

In assenza di una policy aziendale che ne disciplini l’uso da parte del lavoratore e le modalità di verifica da parte del datore di lavoro, il tema diviene, nella pratica quotidiana, ancora più complesso quando il lavoratore utilizzi il proprio account di posta (con dominio aziendale) in maniera promiscua, cioè sia per comunicazioni di natura lavorativa sia per comunicazioni di natura personale.

In questi casi, infatti, la personalizzazione dell’indirizzo e-mail e l’assegnazione di una password al lavoratore potrebbe ingenerare nel lavoratore e nei terzi l’aspettativa che i messaggi scambiati tra le parti godano di quel regime di segretezza sancito a livello costituzionale per la posta privata.

Sarebbe lecito il comportamento del datore di lavoro che, ad esempio, in assenza del lavoratore, verifichi i messaggi in entrata e in uscita dall’indirizzo e-mail aziendale del dipendente?

Dopo un periodo di incertezza iniziale, la Corte Europea dei diritti dell’uomo, con la sentenza del 5 settembre 2107, ha stabilito che “il datore di lavoro può controllare l’uso dei dispositivi aziendali da parte dei dipendenti solo informando preventivamente il lavoratore sulla possibilità e sulle modalità di accesso. Il lavoratore deve essere edotto della possibilità che l’azienda controlli la sua corrispondenza. Senza una previa informativa l’amministratore del sistema non può, pertanto, accedere alle comunicazioni del lavoratore. Il mancato rispetto di questi parametri configura violazione dell’articolo 8 della Convenzione europea dei diritti umani”.

La posizione del nostro Garante Privacy

La sentenza della Corte Europea ha confermato indirettamente la validità delle Linee Guida per la posta elettronica e internet, pubblicate dal nostro Garante per la Protezione dei Dati personali già nel 2007.

Nelle Linee Guida, il Garante invitava, infatti, i datori di lavoro ad indicare chiaramente e nel dettaglio le modalità di utilizzo corrette degli strumenti messi a disposizione del lavoratori, tramite un disciplinare “redatto in modo chiaro e senza formule generiche (…) da sottoporre ad aggiornamento periodico”.

Inoltre, per quanto riguarda l’utilizzo della posta elettronica aziendale, al fine di contemperare le esigenze organizzative aziendali con la necessità di evitare intrusioni nella sfera personale dei lavoratori, il Garante suggeriva di:

  • rendere disponibili indirizzi e-mail condivisi tra più lavoratori (info@, ufficiovendite@, etc.);
  • mettere a disposizione funzionalità di sistema che, in caso di assenze, fossero in grado di evitare la necessità di aprire la posta elettronica del dipendente,
  • ammettere la facoltà, per il dipendente, di delegare un altro lavoratore a verificare il contenuto dei propri messaggi ed inoltrare al datore di lavoro solo quelli rilevanti per l’attività lavorativa;
  • inserire un footer nelle e-mail in cui si avvisino i terzi che i messaggi inviati e ricevuti da quella casella di posta non hanno natura personale e che le risposte potrebbero essere conosciute anche da altri membri dell’organizzazione aziendale.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Sono, pertanto, evidenti i vantaggi, per l’azienda, di adottare un’adeguata policy destinata a regolamentare, in via preventiva e nel migliore modo possibile in relazione alle specifiche esigenze produttive di ciascun imprenditore, l’utilizzo degli strumenti ICT da parte dei lavoratori, così prevenendo qualsiasi eventuale contestazione del dipendente in merito alla violazione della sua sfera personale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5