L’adozione di sistemi di autenticazione per accesso a reti o dati è andata recentemente consolidandosi nel nostro Paese grazie alla “famigerata” legge privacy, dove all’Allegato B si prescrive l’obbligo di adozione da parte del titolare, di credenziali di autenticazione che ogni incaricato dovrà preservare e mantenere segrete. Eppure sono sempre più numerose le sentenze emesse in materia di divulgazione, diffusione o cessione di credenziali di autenticazione, in particolare nell’ambiente lavorativo. L’ultima pronuncia emessa dalla Corte di Cassazione (Sezione del Lavoro) sembra di rilievo, in quanto dimostra come la sola comunicazione di password senza autorizzazione, possa giustificare un licenziamento con biglietto di sola andata.
Nei fatti, Caio lavoratore dipendente della Ditta Beta, comunicava ad un ex collega (ex dipendente della Ditta Beta stessa) le proprie credenziali di autenticazione per accedere alla rete. In sostanza mediante l’utilizzo delle credenziali di autenticazione di Caio, Tizio accedeva esclusivamente a statistiche ed illustrazioni pubblicitarie del prodotto commercializzato dalla Ditta Beta. Ebbene, queste condotte sono state oggetto di contestazione da parte della Ditta Beta la quale al termine dei vari gradi relativi al processo dinnanzi al Giudice del lavoro, ha ottenuto ragione circa la giustezza del licenziamento di Caio.
Accertato nei fatti che la password di accesso alla rete era stata comunicata da Caio a Tizio (e non che quest’ultimo avesse utilizzato canali diversi per procurarsela) la Cassazione ha rinvenuto nella condotta del dipendente Caio una forma di inadempimento talmente grave da giustificare in proporzione il licenziamento attuato.
Il diritto applicabile
È incredibile come ad oggi continuino ad emergere fatti molto simili a quelli che hanno visto coinvolti la Ditta Beta, Caio e Tizio. Difatti, sempre più frequentemente le password di accesso a connessioni e dati sono utilizzate maldestramente da chi ne dovrebbe mantenere cura e segretezza; la causa di questo modo di pensare e sottovalutare i rischi che potrebbero derivare dalla comunicazione non autorizzata delle credenziali di accesso, spesso non è da attribuirsi al dipendente però, ma proprio al datore di lavoro. Difatti, se da una parte oggettivamente il lavoratore deve prendere atto che le credenziali di autenticazione altro non sono che una risorsa aziendale messa a disposizione dalla struttura lavorativa e che la loro destinazione deve essere prettamente connessa al motivo per cui sono state introdotte, dall’altra il datore di lavoro omette talvolta ingenuamente talvolta dandolo per scontato, di informare e formare i propri dipendenti del motivo che sta alla base di una gestione dei dati o delle reti protetta da password. Oggi la tanto criticata legge sulla privacy (il decreto legislativo n. 196/2003) è un “perno” non trascurabile mediante il quale cercare di imporre un po’ di evoluzione nella mentalità degli italiani, che sottovalutano i rischi a cui sono esposti i loro dati (sia in qualità di titolari dei trattamenti sia in qualità di intestatari dei dati stessi) e le falle di sicurezza esistenti nei sistemi informatici aziendali.
Il punto critico della sicurezza informatica in Italia
Potrà momentaneamente lasciare perplessi quello che sto per scrivere, ma posso tranquillamente affermare che in Italia le password non sono l’ultimo dei problemi in ambito di sicurezza, ma il primo. Ebbene sì! Come formatrice in ambito di privacy, ho a che fare con enti pubblici ed aziende, e se il back-up, i sistemi anti-intrusione e l’antivirus sono ormai familiari e imprescindibili nel privato e nel pubblico per conservare sicurezza ed integrità di dati, progetti ed informazioni, il “pianeta password” resta incontrollabile, troppo spesso “auto-gestito” dai dipendenti che frequentemente ignorano la ratio che sta alla base dell’utilizzazione di una password sul posto di lavoro! Quando durante la formazione ripeto “mi raccomando: non usate come password il vostro nome o cognome, o il nome del cane, del gatto o la data di nascita di vostro figlio” gran parte dei presenti mi guarda con sguardo colpevole, ed io capisco benissimo che bypassare la loro password sarebbe una sciocchezza! Ma questo perché succede in un comune, come in un ospedale come in una azienda privata? Semplicemente perché il titolare della struttura non investe “nell’informatizzazione della mentalità” delle persone. Informatizzarsi non vuol dire solo cambiare il parco macchine, ma spiegare perché è meglio un sistema operativo di un altro, perché alterare una misura di sicurezza è rischioso, perché urlarsi da una stanza all’altra la password di accesso alla rete non può rappresentare una abitudine!!!!
Le sentenze sono un campanello di allarme
Le sentenze che si stanno originando nelle aule di tribunale italiane, sono sintomatiche dello status di superficialità ed ignoranza (nel senso proprio dell’ignorare) della centralità delle credenziali di autenticazione quali elemento primario della sicurezza aziendale. Caio che comunica a Tizio la propria password affinché quest’ultimo si introduca nel sistema aziendale per visionare dei dati, è sostanzialmente un soggetto che ha ignorato i rischi a cui andava incontro: non sapendo che è possibile verificare da dove avvengono le connessioni alla rete nonché chi è l’intestatario di quella password di accesso. Altrettanto Tizio ha ignorato che utilizzando la password comunicata da Caio, poteva incorrere in un reato penale di accesso abusivo, dove l’abusività è data dalla consapevolezza di entrare in un sistema da cui il titolare lo ha a suo tempo escluso. Manca una cultura del diritto informatico. Mancano le basi e da queste mancanze nascono sentenze che i giornali titolano talvolta increduli delle conseguenze, talvolta entusiasti della notizia legata alla nuova tecnologia come se fosse un fatto isolato e straordinario. Ma il futuro è adesso ed adesso bisogna imparare a gestire l’informatizzazione, anche nelle situazioni che si danno per scontato.
Visualizzazione post con etichetta Legislazione. Mostra tutti i post
Visualizzazione post con etichetta Legislazione. Mostra tutti i post
Il proprio responsabile in ufficio può accedere a file e cartelle del dipendente?
La Corte di Cassazione francese ha giudicato improprio il comportamento di un lavoratore che aveva utilizzato un codice crittografico per impedire, anche al suo datore di lavoro, di accedere ai propri file. Secondo i giudici, essendo il computer uno strumento messo a disposizione dei lavoratori per lo svolgimento della loro attività, è legittimo l’accesso da parte del datore di lavoro ai dati informatici professionali ivi contenuti. Resta invece vietato a quest’ultimo l’accesso ai file o alle cartelle nominate personali.
Questa pronuncia ha fissato dei limiti alle prerogative assegnate ai lavoratori da una serie di pronunce giurisprudenziale precedenti. Infatti, con una sentenza del 2001, la Corte di Cassazione aveva stabilito che «il lavoratore ha diritto al rispetto della sua vita privata, anche nell’orario e nel luogo di lavoro». Nel 2005, la Corte aveva ribadito che il datore di lavoro non può «indagare» nei cassetti dell’ufficio del lavoratore e accedere ai suoi file o cartelle elettroniche in assenza di quest’ultimo, senza che ciò sia giustificato da un rischio o un evento particolare.
Con questa sentenza, invece, i giudici di Cassazione hanno attribuito ai datori di lavoro maggiori poteri, affermando che «le cartelle e i file creati da un lavoratore attraverso l’uso del computer messo a disposizione dal proprio datore di lavoro per svolgere la loro attività si presumono avere un carattere professionale, a meno che il lavoratore li identifichi come personali, e perciò il datore di lavoro può accedervi senza la presenza del dipendente».
Questa pronuncia ha fissato dei limiti alle prerogative assegnate ai lavoratori da una serie di pronunce giurisprudenziale precedenti. Infatti, con una sentenza del 2001, la Corte di Cassazione aveva stabilito che «il lavoratore ha diritto al rispetto della sua vita privata, anche nell’orario e nel luogo di lavoro». Nel 2005, la Corte aveva ribadito che il datore di lavoro non può «indagare» nei cassetti dell’ufficio del lavoratore e accedere ai suoi file o cartelle elettroniche in assenza di quest’ultimo, senza che ciò sia giustificato da un rischio o un evento particolare.
Con questa sentenza, invece, i giudici di Cassazione hanno attribuito ai datori di lavoro maggiori poteri, affermando che «le cartelle e i file creati da un lavoratore attraverso l’uso del computer messo a disposizione dal proprio datore di lavoro per svolgere la loro attività si presumono avere un carattere professionale, a meno che il lavoratore li identifichi come personali, e perciò il datore di lavoro può accedervi senza la presenza del dipendente».
I datori di lavoro possono controllare le attività on-line dei dipendenti ?
Il datore di lavoro si può nascondere dietro lo schermo del pc aziendale. E da lì può visionare ogni mail inviata, ogni file audio ascoltato e ogni sito visitato dal proprio dipendente. Il tutto nel pieno rispetto della legalità. Le risorse di comunicazione aziendali sono infatti concesse in mero uso agli impiegati dal principale, che quindi ha il diritto di controllare l’uso che ne viene fatto.
Nell’era di Internet, la lotta all’assenteismo continua in rete. Poco importano le pause caffé prolungate o le ripetute visite alla toilette. La nuova frontiera del controllo sui dipendenti parte proprio dalla postazione di lavoro. Se, navigando in rete per scopi professionali, un impiegato naufraga accidentalmente in siti poco utili a svolgere i propri compiti, il padrone lo verrà a sapere.
I controlli attuabili dal datore di lavoro sulle attività in rete dei propri dipendenti sono regolati dalla legge 300/70, Statuto dei lavoratori, dal decreto legislativo 196/03 (Codice in materia di dati personali) e dalla sentenza della Corte di Cassazione n. 4746/2002. L’articolo 4 del testo 300/70 prevede che “gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive possono essere installati soltanto previo accordo con le rappresentanze sindacali”. Il punto è capire quali siano le “esigenze organizzative e produttive”.
Nel caso in cui l’obiettivo dei controlli sia solo la gestione della sicurezza, il consenso al trattamento dei dati personali non è richiesto. A confermare la correttezza di questo approccio, la sentenza della Corte di Cassazione n. 4746/2002, che pone al di fuori dell’ambito di applicazione della legge 300/70 i controlli difensivi diretti ad accertare condotte illecite del lavoratore. Anche il Garante dei dati personali, nel 2006, si è allineato a questa impostazione.
In sostanza, la liceità dei controlli sui dipendenti è una questione di obiettivi. Se lo scopo è scovare un impiegato che opera contro gli interessi dell’azienda – e quindi garantire la sicurezza – il datore di lavoro può indagare senza rispettare le prescrizioni dello Statuto dei lavoratori e, almeno parzialmente, il Codice dei dati personali. Agli impiegati resta il diritto di essere preventivamente informati della possibilità che qualcuno li osservi.
Nell’era di Internet, la lotta all’assenteismo continua in rete. Poco importano le pause caffé prolungate o le ripetute visite alla toilette. La nuova frontiera del controllo sui dipendenti parte proprio dalla postazione di lavoro. Se, navigando in rete per scopi professionali, un impiegato naufraga accidentalmente in siti poco utili a svolgere i propri compiti, il padrone lo verrà a sapere.
I controlli attuabili dal datore di lavoro sulle attività in rete dei propri dipendenti sono regolati dalla legge 300/70, Statuto dei lavoratori, dal decreto legislativo 196/03 (Codice in materia di dati personali) e dalla sentenza della Corte di Cassazione n. 4746/2002. L’articolo 4 del testo 300/70 prevede che “gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive possono essere installati soltanto previo accordo con le rappresentanze sindacali”. Il punto è capire quali siano le “esigenze organizzative e produttive”.
Nel caso in cui l’obiettivo dei controlli sia solo la gestione della sicurezza, il consenso al trattamento dei dati personali non è richiesto. A confermare la correttezza di questo approccio, la sentenza della Corte di Cassazione n. 4746/2002, che pone al di fuori dell’ambito di applicazione della legge 300/70 i controlli difensivi diretti ad accertare condotte illecite del lavoratore. Anche il Garante dei dati personali, nel 2006, si è allineato a questa impostazione.
In sostanza, la liceità dei controlli sui dipendenti è una questione di obiettivi. Se lo scopo è scovare un impiegato che opera contro gli interessi dell’azienda – e quindi garantire la sicurezza – il datore di lavoro può indagare senza rispettare le prescrizioni dello Statuto dei lavoratori e, almeno parzialmente, il Codice dei dati personali. Agli impiegati resta il diritto di essere preventivamente informati della possibilità che qualcuno li osservi.
Iscriviti a:
Post (Atom)