Dipendenti e Internet, il controllo è possibile

di Luca Giacopuzzi (www.lucagiacopuzzi.it) - Datore di lavoro, dipendente e controllo della navigazione su Internet: luci ed ombre del recente comunicato stampa del Garante. Il quadro in cui si inserisce la decisione dell'Autorità

Roma - E' illecito spiare il contenuto della navigazione in internet del dipendente. Questo il titolo di un comunicato stampa reso noto il 14 febbraio scorso dal Garante per la protezione dei dati personali. Che così prosegue: L'uso indebito del computer può essere contestato senza indagare sui siti visitati.

Affermazioni del genere - riportate in questi termini dai molti media che hanno dato voce alla notizia - sono a mio avviso fuorvianti, perché assolutizzano principi che, viceversa, devono essere letti ed interpretati in uno con la vicenda cui accedono.

Deve essere perciò chiaro - anzitutto - che il provvedimento del Garante del 2 febbraio (al quale il comunicato stampa si riferisce, riprendendone contenuti e conclusioni) è emesso a decisione di un ricorso, e dunque esso deve necessariamente essere "ancorato" al caso preso in esame. E così una semplice disamina del provvedimento schiude scenari differenti da quelli che ci saremmo potuti attendere dalla mera lettura del titolo. Si evince, infatti, che la decisione del Garante non vieta in termini assoluti al datore di lavoro di controllare la navigazione web del proprio dipendente.
Nel caso sottoposto alla sua attenzione, l'Authority deduce l'illegittimità del controllo dal fatto che la società resistente l'abbia operato in assenza di una previa informativa all'interessato nonché - circostanza, quest'ultima, ancor più importante - dal fatto che il controllo nel caso specifico abbia comportato un trattamento di dati personali eccedente rispetto alle finalità perseguite; in spregio, cioè, del principio di proporzionalità, enunciato dall'art.11 D.Lgs.196/03.

"Non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni", si legge nella decisione, che - nella sua parte più significativa - così prosegue: "La resistente avrebbe potuto quindi dimostrare l'illiceità del comportamento del dipendente, in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro, limitandosi a provare in altro modo l'esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento anche degli specifici "contenuti" dei singoli siti web visitati, operando (per questa via, n.d.a.) un trattamento di dati eccedente rispetto alle finalità perseguite".

Il Garante - lo si ripete - prende in esame un'ipotesi specifica sulla quale è chiamato a pronunciarsi, ragion per cui sarebbe un errore estrapolare dalla decisione principi generali, valevoli per ogni ipotesi di controllo.

Di che tenore sarebbe stato il provvedimento del Garante se, ad esempio, il dipendente fosse stato autorizzato a consultare siti web, con espresso divieto, tuttavia, di accedere a siti non attinenti a tematiche correlate all'attività lavorativa? Potrebbe in tal caso il datore di lavoro controllare la navigazione, al fine di verificare il rispetto delle prescrizioni impartite? Io credo di sì, e ciò con buona pace anche dell'art.11 D.Lgs.196/03, specie se - come da indicazioni dell'Authority svizzera per la protezione dei dati - l'analisi nominativa delle registrazioni a giornale sia preceduta da un'analisi anonima o attraverso uno pseudonimo (e cioè per campionatura casuale).
Si deve peraltro rilevare che i dati eventualmente raccolti - molti dei quali di natura sensibile - non potrebbero essere tuttavia utilizzati per comminare sanzioni per fatti diversi né, a maggior ragione, per una "profilazione" del dipendente, vietata ai sensi dell'art. 8 St. Lav.

Avv. Luca Giacopuzzi (*)
www.lucagiacopuzzi.it


(*) coautore del libro Sicurezza e privacy: dalla carta ai bit, a cura di Gerardo Costabile
TAG: italia
20 Commenti alla Notizia Dipendenti e Internet, il controllo è possibile
Ordina
  • ho scoperto che la mia azienda ha installato un software che serve per monitorare la rete (dicono) ma in realtà, monitorizza l'uso del pc da parte del dipendente, gnerando una serie di files editabili con il notepad di windows ed altri crittografati che Dio solo conosce il contenuto.
    Sui files editabili è riportata la data e tutta una serie di operazioni quali accesso alla rete ed ai vari software installati, riporta anche gli accessi ai siti internet.
    su altri files prodotti giornalmente, sono riportate le caratteristiche del pc, il nome e la matricola dell'operatore ee in chiaro tutti i software installati sulla macchina.
    Questa cosa come può essere definita?
    grazie
    pio
    non+autenticato
  • ...esistono tutti gli strumenti necessari per fare sì che il dipendente possa raggiungere (o non raggiungere) solo determinati siti web o siti che trattano determinati argomenti.
    Io condannerei l'azienda che, invece di adottare questi strumenti che sono poco costosi, preferisce investire nella raccolta, archiviazione e disamina di log di accesso...

    Mah...

    Triste

    Ciao.

    Mario
    non+autenticato

  • - Scritto da: Anonimo
    > ...esistono tutti gli strumenti necessari per
    > fare sì che il dipendente possa raggiungere (o
    > non raggiungere) solo determinati siti web o siti
    > che trattano determinati argomenti.
    > Io condannerei l'azienda che, invece di adottare
    > questi strumenti che sono poco costosi,
    > preferisce investire nella raccolta,
    > archiviazione e disamina di log di accesso...

    e' giusto , facciamo un esempio pratico:

    tu spari ad una persona, il governo italiano
    va in galera, perche' ti ha permesso camminare
    incontrare questa persona e ucciderla con l'arma
    che hai comprato


    Come ragionamento fila: secondo me e' il
    caso che il governo prenda provvedimenti
    subito e spari prima a te, prima che tu spari
    ad altri.
    non+autenticato
  • Ma veramente riesci a pensare certe cose?
    I tuoi sono paragoni della mazza.
    Il suo concetto e' giustissimo, hai la possibilità di darmi uno strumento mirato a fare quello che vuoi e basta, invece te ne freghi e poi mi vieni a dire " pero' li non ci dovevi andare!"
    Se nei log vedi un sito che non deve essere visitato, lo filtri e nessuno ci riesce ad andare piu'. Finito li!
    Invece no, vai a cercare chi era che l'ha visitato e lasci la possibilità ad altri di fare lo stesso errore. Bel pirla.
    Il problema e' che a molti fa comodo licenziare i dipendenti, altro che " impedire abusi".
    non+autenticato
  • Lavoro = lavorare
    Casa = cazzi propi
    Pc al lavoro =/= Pc casa
    non+autenticato

  • - Scritto da: Anonimo
    > Ma veramente riesci a pensare certe cose?
    > I tuoi sono paragoni della mazza.
    > Il suo concetto e' giustissimo, hai la
    > possibilità di darmi uno strumento mirato a fare
    > quello che vuoi e basta, invece te ne freghi e
    > poi mi vieni a dire " pero' li non ci dovevi
    > andare!"
    [..]

    ad un certo punto della tua vita diventi maggiorenne:
    da allora SEI RESPONSABILE DI QUELLO CHE FAI.
    quando non sei responsabile, CIOE' PRIMA della
    maggiore eta', capita che IN PARTE lo siano gli
    altri per te.


    tu sei maggiorenne vero?
    ALLORA PIANTALA DI CAMPAR SCUSE
    non+autenticato
  • Quindi se un datore di lavoro ha il consenso dal dipendente a loggare siti, etc. e lo informa sul fatto che uno strumento aziendale non può essere usato per fini diversi da quelli lavorativi è tutto regolare.
    non+autenticato

  • - Scritto da: Anonimo
    > Quindi se un datore di lavoro ha il consenso dal
    > dipendente a loggare siti, etc. e lo informa sul
    > fatto che uno strumento aziendale non può essere
    > usato per fini diversi da quelli lavorativi è
    > tutto regolare.

    No hai capito male : io del tuo consenso non me ne
    faccio niente.

    Un informativa e' solo quando ti chiamo
    e ti avviso che io controllo quello che mi pare.

    Il consenso invece e' quando tu mi autorizzi.

    Pero' il finale vedo che l'hai capito.
    non+autenticato
  • La soluzione e' impedire l'accesso al web ed altre risorse abilitando solo i servizi strettamente necessari per l'attività lavorativa (come l'email interna).

    Questa e' la soluzione adottata dalla mia azienda (settore bancario) per i dipendenti che non hanno necessità di accedere al web (impiegati generici, contabili, ...).

    Per legge il log degli accessi (con destinazione, orario e codice dipendente) devono essere conservati e sono analizzabili solo dal dipartimento IT di competenza per intervenire e prevenire nelle situazioni di abuso o violazioni.

    Questo è necessario per garantire la sicurezza di una rete collegata ad internet, questi dati non devono essere accessibili da chiunque se non dalle autorità competenti (polizia di stato, etc...).
    non+autenticato

  • - Scritto da: Anonimo
    > La soluzione e' impedire l'accesso al web ed
    > altre risorse abilitando solo i servizi
    > strettamente necessari per l'attività lavorativa
    > (come l'email interna).

    la soluzione e' che non usi internet se e' vietato

    la soluzione in generale quando hai un divieto
    e' quella di non violarlo

    la presenza della polizia quando si tratta di
    verificare chi viola la legge non ha lo scopo
    di giustificare i coglioni che la violano: se
    no, quando un ritardato tira un sasso da un
    ponte sull'autostrada, finisce che fanno le
    reti di due metri fino alla svizzera, mentre
    nel resto del PIANETA TERRA, proprio
    non ci sono reti.

    ma si vede che quando ti vietano qualcosa
    tu passi il tempo a sbattertene, e ti aspetti
    che qualcuno ti controlli dalla mattina alla
    sera
    non+autenticato
  • quello che è successo è la ennesima pratica prova che troppi ignoranti si spacciano per it manager o responsabili di sistemi informativi.
    Gestire un sistema informativo è come gestire una nave, un aereo. Il comandante conosce tutto , ogni singola vibrazione , ogni singolo bit che viaggia. Non deve conoscere il dettaglio ma sa quando una ocsa funziona o meno , non deve avere in mano il motore o vederlo dentro per capire se funziona, ha altri strumenti per comprendere cosa capita.
    Nel fatto specifcio il tecnico ha operato da ignorante perchè invece di usare sistemi quantitativi ha usato sistemi qualitativi , invece di occuparsi del contenitore si è occupato del contenuto violando anche una regola deontologica fondamentale.
    Sapere se esisotono fenomeni in rete "anormali" è molto semplice e non necessita di alcuna violazione dei diritti fondamentali , basta essere realmente dei capi informatici e non programmatori o speudo analisiti.
    Io fossi nel titolare dell'azienda licenzierei il tecnico per incapacità professionale.

    non+autenticato
  • mahh, ionon sono d'accordo con te...
    il tecnico può semplicemente aver ricevuto un ordine, magari non consapevole di tutta la legislazione in materia di privacy può aver commesso questo errore... ma essere a conoscenza di una legge è difficile, io sto cercando di documentarmi il piu che posso per evitare spiacevoli conseguenze.... ma non tutti se la cavano con il "legalese".... sto provando a contattare la questura per avere maggiori info... ma trovarli al telefono è un terno al lottoSorride

    se sei così informato, ti chiederei di aiutarmi a risolvere un dubbio che ho a questo link

    http://punto-informatico.it/forum/pol.asp?mid=1319...

    grazie
    non+autenticato

  • - Scritto da: Anonimo
    > mahh, ionon sono d'accordo con te...
    > il tecnico può semplicemente aver ricevuto un
    > ordine, magari non consapevole di tutta la
    > legislazione in materia di privacy può aver
    > commesso questo errore... ma essere a conoscenza
    > di una legge è difficile, io sto cercando di
    > documentarmi il piu che posso per evitare
    > spiacevoli conseguenze....

    non è in discussione la conoscenza della legge quanto della gestione di un sistema informativo. da altri articoli ho appreso che il fantomatico controllo è avvenuto tramite cookies e files temporanei. non è triste dover accedere fisicamente ad un PC per sapere cosa passa dal tuo router?

  • - Scritto da: AlexBravo
    >
    > - Scritto da: Anonimo
    > > mahh, ionon sono d'accordo con te...
    > > il tecnico può semplicemente aver ricevuto un
    > > ordine, magari non consapevole di tutta la
    > > legislazione in materia di privacy può aver
    > > commesso questo errore... ma essere a conoscenza
    > > di una legge è difficile, io sto cercando di
    > > documentarmi il piu che posso per evitare
    > > spiacevoli conseguenze....
    >
    > non è in discussione la conoscenza della legge
    > quanto della gestione di un sistema informativo.
    > da altri articoli ho appreso che il fantomatico
    > controllo è avvenuto tramite cookies e files
    > temporanei. non è triste dover accedere
    > fisicamente ad un PC per sapere cosa passa dal
    > tuo router?

    allora chiedo veniaSorride ho interpretato male io...
    in effeti, dover andare su un pc alla ricerca di biscotti, briciole etc etc... è assai triste.... se fatto da un tecnico....Sorride
    non+autenticato
  • > Nel fatto specifcio il tecnico ha operato da
    > ignorante perchè invece di usare sistemi
    > quantitativi ha usato sistemi qualitativi ,
    > invece di occuparsi del contenitore si è occupato
    > del contenuto violando anche una regola
    > deontologica fondamentale.

    ok, mi pare di capire che ancora non ti hanno
    licenziato perche' cazzeggi su internet

    Pero' vedo che conosci il diritto fondamentale
    dell'uomo della pietra di non fare un cazzo
    e di passarla franca.


    Per me sei scemo, ma e' un parere personale,
    pero' se da qualche parte hai pubblicato la
    lista di questi diritti fondamentali di fare quello
    che ti pare quando ti pare, dimmelo che ho
    voglia di ridere leggendo fesserie

    Grazie.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)