Meno libertà di azione in fase di identificazione dei comportamenti scorretti e più spazio alla programmazione nell’accesso a Internet sui luoghi di lavoro. La sterzata imposta pochi giorni fa dal Garante per la Privacy è destinata a cambiare la strategie di molte aziende italiane. Con un vincitore indiscusso: le società specializzate in sistemi di sicurezza informatica, che da tempo predicavano il cambio di atteggiamento nelle abitudini aziendali e che nel frattempo si sono organizzate per fornire soluzioni di programmazione degli interventi.
“La posizione del Garante allinea l’Italia alla maggior parte degli altri paesi occidentali e aiuta le aziende a definire una strategia basata sulla programmazione, più che sull’emergenza del momento”, sottolinea a Punto Informatico Maurizio Garavello, country manager di Websense per l’Italia.
In particolare, l’Autorità garante per la privacy stabilisce che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Resta, comunque, intatta per il datore di lavoro la possibilità di definire un disciplinare interno per regolamentare l’accesso al Web e di utilizzare apparecchiature per il controllo a distanza nei casi tassativamente previsti. Ad esempio, sarà possibile monitorare i dati della navigazione e organizzarli per categorie in forma anonima, ma non memorizzare le pagine Web visitate dal singolo lavoratore.
Un difficile equilibrio tra opposte esigenze (produttività e diritto alla riservatezza), di non facile applicazione nella pratica: “L’intento del Garante è palese: impedire gli abusi da entrambe le parti”, aggiunge Garavello.
Più difficile da decifrare in maniera univoca la parte del provvedimento relativa ai controlli: il Garante parla di “non eccedenza dei controlli” e di fatto impedisce solo i controlli costanti o indiscriminati. Inoltre non fissa limiti temporali alla conservazione del materiale raccolto.
Le possibili controversie tra aziende e lavoratori possono essere evitate, secondo Garavello, attraverso un disciplinare che sposti l’attenzione dall’emergenza a quello di security. “Le minacce informatiche sono oggi molto diverse rispetto a pochi anni fa”, commenta il country manager di Websense. “I cracker ormai operano soprattutto via Internet, per cui è proprio la navigazione uno dei momenti più delicati per le difese aziendali. Se i controlli sono organizzati in maniera tale da difendere l’organizzazione dalle minacce dei pirati e non per ledere la libertà dei singoli, non vi sono motivi per temere tensioni sindacali”.
La soluzione anti-abusi, suggerisce Garavello, è nell’innovazione tecnologica: “Sul mercato ci sono alcuni database dinamici in grado di filtrare la navigazione in modo intelligente: anziché limitarsi a impedire intere categorie di siti, evidenziano la presenza di rischi nelle singole pagine Web nell’arco dell’intera giornata. Così ad esempio si può evitare la visita di siti Web che presentano elementi di rischio in alcune ore o giorni della settimana, lasciando campo libero in altri. In questo modo si consegue l’obiettivo comune della sicurezza”.
Una visione condivisa anche da Computer Associates secondo cui occorre “rassicurare le aziende sulla possibilità di rispettare le norme sulla privacy salvaguardando nel contempo il proprio business”. A detta degli esperti di CA, infatti, “grazie a politiche di prevenzione dedicate, che utilizzano semplici strumenti tecnologici quali il web filtering, le blacklist e il controllo dei download, le imprese di ogni dimensione possono infatti evitare l’uso improprio delle risorse aziendali, senza alcun impatto sulla privacy del personale”.
Luigi dell’Olio