Linee guida del rapporto "Titolare/dipendente" relativamente all'uso di strumenti informatici aziendali
di Edo Berti (Studio Impresa srl)
Giugno 2007
A completamento di articoli precedenti riguardanti il delicato tema del rapporto di lavoro
"Titolare/dipendente", molto caro al Garante e agli organi demandati ai controlli relativi
(vedi provvedimento n. 53 del 23 novembre e provvedimento generale dell'01/03/2007 disponibile
sul sito
www.garanteprivacy.it
e ripreso dal nostro approfondimento dal titolo
Rapporti di lavoro: posta elettronica ed Internet), proponiamo uno spunto che potrebbe fare da base ad un documento interno che serva da guida nella
fattispecie in oggetto.
Questo in ottemperanza ai desideri del Garante, che predica la massima trasparenza tra le parti
in modo che i "problemi" possano essere affrontati in anticipo (si devono prevenire usi arbitrari
degli strumenti informatici onde non dover incorrere in pericolose ed arbitrarie lesioni della
riservatezza dei lavoratori).
Rossi spa
In aggiunta e a completamento di istruzioni operative ricevute all'atto della nomina ad incaricato
del trattamento dati.
Norme generali. Utilizzo dei sistemi informatici aziendali
Sono qui definite le modalità di utilizzo degli strumenti e delle tecnologie informatiche in
azienda.
Si è fatto riferimento alla normativa introdotta dal codice della privacy (D.Lgs. n. 196/2003) e a
quella dello statuto dei lavoratori (Legge n. 300/70).
L'obiettivo e quello di conciliare l'esigenza di tutela della privacy del lavoratore e il
diritto/dovere dei datori di lavoro di assicurare la funzionalità e il corretto impiego degli
strumenti informatici, nonché l'obbligo di adottare le misure minime di sicurezza imposte dal codice
della privacy, per garantire la disponibilità e l'integrità dei sistemi informativi e dei dati.
a) Norme generiche di gestione dei sistemi informatici
I personal computer, gli accessi Internet e le caselle di posta elettronica, i software concessi in
dotazione ai dipendenti, sono beni dell'azienda che, in quanto tali, devono essere utilizzati
esclusivamente per finalità aziendali e mai per ragioni private.
Detti strumenti sono affidati al personale dipendente che deve custodirli in modo appropriato e
che dovrà tempestivamente informare l'azienda di un eventuale furto o del loro danneggiamento o
smarrimento.
I dipendenti non potranno installare, se non autorizzati, programmi provenienti dall'esterno o non
distribuiti ufficialmente. Non è inoltre consentito utilizzare strumenti software e/o hardware atti
ad intercettare, falsificare, alterare il contenuto di documenti informatici.
E' assolutamente vietato riprodurre, scaricare o installare software se non esplicitamente e
formalmente autorizzati. Chi venisse a conoscenza di qualunque uso improprio del software o della
relativa documentazione, deve informare la direzione. Secondo la legge sul copyright, le persone
coinvolte nella riproduzione illegale del software sono responsabili sia civilmente che penalmente.
L'azienda non transige sulla duplicazione illegale del software e i dipendenti che fanno,
acquisiscono o usano copie non autorizzate del software per i computer subiranno sanzioni
disciplinari da stabilirsi caso per caso. [Sarebbe preferibile precisare le eventuali sanzioni
previste].
Non potranno essere modificate le impostazioni dei personal computer attribuiti in dotazione; i
dipendenti non potranno installarvi né mezzi di comunicazione propri (modem), né componenti hardware,
né programmi non autorizzati (come, ad esempio, software per l'ascolto di file musicali,
videogiochi, ecc.).
Dato che la rete aziendale, che è peraltro sottoposta a periodica attività di manutenzione, è un
bene della medesima, i lavoratori non potranno utilizzarla per fini privati. Ogni file o
applicazione che l'azienda riterrà pericoloso sarà automaticamente eliminato.
L'azienda procederà periodicamente, nel pieno rispetto delle normative vigenti, anche ad un
controllo quantitativo dell'utilizzo della rete, dei personal computer e della posta elettronica
per verificarne un uso equilibrato e coerente con l'attività aziendale. Tale controlli saranno
basati su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree, dunque anonimo
(ad esempio, il controllo eventuale della posta elettronica sarà limitato ai dati riguardanti
l'entità dello scambio di corrispondenza e la durata delle comunicazioni, piuttosto che interessare
anche il contenuto di quest'ultime); eventuali anomalie percepite potrebbe portare ad un avviso
generalizzato relativo all'utilizzo non corretto degli strumenti aziendali; il ripetersi eventuale
dell'anomalia potrebbe portare ad esami maggiormente mirati.
Tali controlli saranno programmati dal Titolare e/o dal Responsabile del trattamento con l'ausilio
dell'amministratore di sistema.
Non è prevista comunque la lettura sistematica della posta ed il monitoraggio delle pagine web
visitate dal personale dipendente.
Qualora dovesse emergere un utilizzo non coerente con l'attività assegnata e le disposizioni
aziendali, la società si riserva la facoltà di applicare commisurate sanzioni disciplinari,
impregiudicata la tutela giudiziaria nelle fattispecie più gravi.
L'azienda potrà sospendere a suo esclusivo giudizio il servizio in qualsiasi momento.
b) Norme di utilizzo della posta elettronica
La posta elettronica è assegnata ai dipendenti per finalità esclusivamente lavorative.
Non è, nello specifico, consentito utilizzare la casella di posta elettronica per motivi non
attinenti all'esecuzione delle mansioni affidate.
La posta elettronica è un utile strumento deputato alla trasmissione di informazioni di interesse
aziendale (vedi, ad esempio, dati di natura commerciale, o produttiva).
Per quanto attiene ai possibili destinatari, è necessario che la mail sia indirizzata solo alle
persone direttamente interessate dall'informazione trasmessa, evitando di coinvolgere, in copia
per conoscenza, personale solo indirettamente coinvolto ed il cui coinvolgimento non sia
strettamente necessario.
In accordo con l'azienda, con la cooperazione del lavoratore, si deve garantire la continuità
dell'attività lavorativa in caso di assenza del lavoratore
stesso
(1).
E' espressamente vietato l'utilizzo di posta elettronica per la partecipazione a dibattiti, forum,
mail-list e chat, salvo diversa ed esplicita autorizzazione, così come i dipendenti sono inibiti
dall'utilizzare caselle postali personali tramite gli accessi derivanti dai personal computer
aziendali.
c) Norme di utilizzo di Internet
In relazione ad un razionale utilizzo di Internet, l'azienda comunica che Internet è uno strumento
di produttività professionale in quanto mette a disposizione informazioni importanti per lo
svolgimento del proprio lavoro. Pertanto, l'utilizzo corretto è limitato alle sole necessità
lavorative.
Esiste poi una giurisprudenza che ritiene almeno parzialmente responsabile i fornitori di servizi
in caso di utilizzo contrario alla legge (ad esempio, accesso a siti attinenti alla pedofilia).
Occorre inoltre considerare che l'utilizzo di Internet comporta conseguenze immediate come:
1) un costo connesso al traffico in entrata/uscita generato (presente dipendentemente dal tipo di
contratto);
2) una occupazione di banda di comunicazione che ha la capacità forzatamente limitata e deve essere
condivisa con gli altri utenti e per altri servizi.
Alla luce di quanto sopra detto e nell'ottica sia di ottimizzare l'uso delle risorse, sia di
renderle disponibili ed efficaci per l'utilizzo lavorativo potranno essere implementati dei filtri
di accesso; questo anche in considerazione del fatto che la politica aziendale vuole assolutamente
privilegiare la prevenzione piuttosto che intraprendere antipatiche procedure di controllo atte ad
individuare eventuali abusi.
E' previsto un monitoraggio periodico dell'occupazione di banda delle connessioni che consentono
l'accesso alla rete esterna, compresa Internet.
Durante l'analisi dell'occupazione di banda, il personale preposto verrà inevitabilmente a
conoscenza dei siti visitati dai singoli dipendenti, presenti nei log dei servizi di accesso.
Tali dati non verranno diffusi, ma potranno servire ad informare il dipendente che il proprio
comportamento ha causato problemi all'azienda e pertanto potrà configurare potenziale oggetto
di provvedimenti disciplinari secondo le norme del vigente CCNL. Occorre inoltre tenere presente
che i servizi di accesso alla rete Internet devono per forza di cose mantenere traccia evidente e
nominale degli accessi effettuati, eventualmente da fornire alle autorità giudiziarie in caso di
richiesta.
Sulla base dei dati raccolti potranno essere disabilitati gli accessi a siti che non risultano
attinenti ad attività lavorative. Questa selezione non dovrebbe impattare sulla navigazione che
gli utenti svolgono normalmente nell'ambito delle proprie attività professionali. E' tuttavia
possibile che per errore possa venir oscurato un sito di interesse professionale: in tal caso sarà
sufficiente riferirlo al proprio responsabile che provvederà, in considerazione dei tempi tecnici
necessari, a far togliere i vincoli.
E' tassativamente vietata l'effettuazione di ogni genere di transazione finanziaria ivi comprese
le operazioni di remote banking, acquisti on-line e simili salvo i casi direttamente
autorizzati dalla Direzione e con il rispetto delle normali procedure di acquisto.
Analogamente a quanto fin qui precisato non potranno essere effettuate operazioni di scarico di
software, anche se gratuito, salvo che non vi sia una preventiva autorizzazione in tal senso.
Inoltre, non è possibile registrarsi in siti non legati all'attività lavorativa, finalizzati per
esempio alla partecipazione a chat, forum, bacheche elettroniche, neppure utilizzando pseudonimi.
Si prega, infine, di prestare attenzione all'occupazione di spazio nei PC e server aziendali; gli
utenti non devono vedere come un diritto la possibilità di immagazzinare i propri dati nella rete
aziendale; si richiede una esplicita autorizzazione dell'azienda stessa, che supporta spese
sensibili per la gestione e l'implementazione dello spazio disponibile.
Firmato
La Direzione
Nota: la comunicazione/discussione di queste linee guida deve essere "comprovata" con
riunioni "verbalizzate" e/o metodi di comunicazioni che comunque assicurino la "lettura" da parte
degli interessati. Da inserire anche nella "procedura" per le nuove assunzioni.
* * *
Note:
(1): Prevedere eventualmente un accordo tra le parti per l'attribuzione
di account personali e/o per funzioni/uffici, con conseguenti procedure da seguire per assicurare
la continuità del servizio in caso di assenza dell'intestatario dell'indirizzo
(torna su).
Nota: il contenuto del documento deve essere interpretato in relazione al periodo
in cui è stato redatto.
|
 |
|
