• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Lezione Informatica Giuridica Avanzata del 18/3/2011
 

Lezione Informatica Giuridica Avanzata del 18/3/2011

on

  • 1,210 views

Lezione corso di Informatica Giuridica Avanzata dell'Università degli Studi di Milano del 18 marzo 2011

Lezione corso di Informatica Giuridica Avanzata dell'Università degli Studi di Milano del 18 marzo 2011

Statistics

Views

Total Views
1,210
Views on SlideShare
863
Embed Views
347

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 347

http://cyberspacelaw.wordpress.com 342
http://cyberspacelaw.wordpress.com. 5

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Lezione Informatica Giuridica Avanzata del 18/3/2011 Lezione Informatica Giuridica Avanzata del 18/3/2011 Presentation Transcript

    • Corre%o  u(lizzo  delle  risorse  informa(che  sul  luogo  di  lavoro       Avv.  Prof.  Pierluigi  Perri  –  Ca%edra  di  Informa(ca  Giuridica  Avanzata   Lezione  del  18/03/2011  
    • Le  fon(  rilevan(  •  Legisla(ve   –  Legge  300/70   –  D.Lgs.  196/03  •  Giurisprudenziali   –  Cass.  10  luglio  2009,  n.  16196   2  
    • Il  potere  di  controllo  •  Come  ricorda  la  Cassazione  (Sent.  16196/09  dep.  10  luglio  2009)   le   norme  poste  dagli  ar%.  2  e  3  della  legge  20  maggio  1970  n.  300,  a   tutela   della   libertà   e   dignità   del   lavoratore,   delimitano   la   sfera   d intervento  di  persone  preposte  dal  datore  di  lavoro  a  difesa  dei   suoi  interessi  […]  ma  non  escludono  il  potere  dell imprenditore  ai   sensi   degli   ar%.   2086   e   2104   c.c.,   di   controllare   dire%amente   o   mediante   la   propria   organizzazione   gerarchica   o   anche   a%raverso   personale   esterno   l adempimento   delle   prestazioni   lavora(ve,   e   ciò   indipendentemente   dalle   modalità   del   controllo,   che   può   avvenire  anche  occultamente  senza  che  vi  os(no  […]  il  divieto  di  cui   all art.  4  della  stessa  legge  n.  300  del  1970,  riferito  esclusivamente   all uso  di  apparecchiature  per  il  controllo  a  distanza .  
    • I  termini  del  problema  /1  •  Lo   Statuto   dei   lavoratori   prevede   in   termini   generali   ed   assolu(   un   divieto   di   u(lizzare   impian(   audiovisivi   e   altre   apparecchiature   o   tecnologie   per   finalità   di   controllo   a   distanza   dellaVvità  dei  lavoratori  (art.  4,  L.  300/1970)  
    • I  termini  del  problema  /2  •  Tu%avia   il   medesimo   ar(colo   prevede   che,   qualora   determinate  tecnologie  di  controllo  a  distanza  siano   richieste   da   esigenze   organizza(ve   e   produVve   ovvero   dalla   sicurezza   del   lavoro   (c.d.   controllo   preterintenzionale),  queste  possano  essere  u(lizzate   previo   accordo   con   le   RSA   o   con   la   commissione   interna,   ovvero,   in   dife%o   di   accordo,   su   istanza   del   datore  di  lavoro,  con  provvedimento  dellIspe%orato   del  lavoro.    
    • I  termini  del  problema  /3  •  Lesigenza,   in   ul(ma   analisi,   è   quella   di   riuscire   a   conseguire  un  adeguato  bilanciamento  tra:    •  le   legiVme   istanze   di   libertà,   autonomia   e   riservatezza   del   lavoratore   nello   svolgimento   delle   proprie  mansioni  •  le   necessità   di   controllo   del   datore   di   lavoro   finalizzate  ad  unefficiente  organizzazione  dellaVvità   produVva  
    • Tecnologie.  Controllo.  Rischi  •  Come   incidono   le   tecnologie   tecnologie   informa(che   e   telema(che  su  tale  bilanciamento?  •  Per   un   verso   esse   consentono   un   maggiore   controllo,   anche   indire%o,   da   parte   del   datore   di   lavoro,   sullaVvità   svolta   da   dipenden(  e  collaboratori  •  So%o  un  diverso  profilo,  daltra  parte,  esse  espongono  a  rischi   sempre   maggiori   lazienda   in   relazione   ad   u(lizzi   non   autorizza(,  illeci(  o  semplicemente  a  condo%e  impruden(  da   parte  del  lavoratore  
    • Tentazioni  tecnologiche…  •  Al  di  là  di  possibili  comportamen(  fraudolen(,  la   disponibilità   della   posta   ele%ronica   e,   magari,   di   un   collegamento   veloce   alla   Rete   possono   cos(tuire  per  dipenden(  e  personale  dell’azienda   una  forte  tentazione  a  prendersi  “una  pausa”  dal   lavoro   per   inviare,   ad   esempio,   un’e-­‐mail   di   cara%ere   privato,   per   chiacchierare   con   qualche   amico  tramite  programmi  di  instant  messaging  o   per  navigare  sui  propri  si(  preferi(.  
    • …e  rischi  connessi  •  alcune   di   queste   aVvità,   oltre   una   certa   misura,   possono   distrarre   il   dipendente   dal   proprio   lavoro   a   scapito   della   produVvità   aziendale   e   della   qualità   stessa   del   lavoro   prestato    •  altre,   ben   più   seriamente,   possono   comprome%ere   la   sicurezza   dei   sistemi   informa(ci   e   telema(ci   aziendali,   come   nel  caso  di  virus,  dialer  o  trojan  che  si  insinuino  in  tali  sistemi   a   causa   di   una   malaccorta   navigazione   su   si(   web   non   fida(   o   perché  veicola(  tramite  la  posta  ele%ronica    •  altre,   ancora,   possono   integrare   comportamen(   illeci(   la   cui   responsabilità  può  coinvolgere  anche  il  datore  di  lavoro  
    • Comportamen(   a  rischio  •  u(lizzo   della   posta   ele%ronica   aziendale   o   di   altri   strumen(   (e.g.   programmi   di   file   sharing,   blog,   etc.)   per  scopi  personali  o  comunque  extralavora(vi    •  installazione  non  autorizzata  di  sogware  •  d o w n l o a d i n g   o   u p l o a d i n g   d i   c o n t e n u (   (potenzialmente)  illeci(  •  navigazione  su  si(  estranei  allaVvità  lavora(va  •  diffusione  di  documen(  aziendali  riserva(  •  etc.    
    • I  rischi  per  l azienda  •  I   rischi   per   lazienda   sono   molteplici   e   si   possono   sostanzialmente  ricondurre  a  due  insiemi:  •   rischi  economici     –  compromissione  della  sicurezza  aziendale   –  perdita  (o  perdita  di  controllo)  sui  da(   –  danni  ai  sistemi  informa(ci  e  telema(ci   –  etc.  •   rischi  legali   –  responsabilità  civile  (2049  c.c.)   –  responsabilità  da  illecito  penale   –  Responsabilità  ex  D.Lgs.  231/01  
    • Il  conce%o  di   controllo  difensivo  •  Secondo  la  Cassazione  è  lecita  l aVvità  di  controllo  del   datore   di   lavoro   quando   rientri   nei   c.d.   controlli   difensivi ,   ossia   quei   controlli   dire5   ad   accertare   comportamen6   illeci6   dei   lavoratori   quando   tali   comportamen6   riguardino   […]   l esa;o   adempimento   delle   obbligazioni   discenden6   dal   rapporto   di   lavoro   e   non  la  tutela  di  beni  estranei  al  rapporto  stesso.   12  
    • E  gli  altri  controlli?  •  Secondo   l art.   4   legge   300/70   E   vietato   luso   di   impian6   audiovisivi   e   di   altre   apparecchiature   per   finalità   di   controllo   a   distanza   della5vità   dei   lavoratori   salvo   che   ques(   ul(mi   siano   richies6   da   esigenze   organizza6ve   e   produ5ve   ovvero   dalla   sicurezza   del   lavoro   nel   qual   caso   potranno   essere   installa(  soltanto  previo  accordo  con  le  rappresentanze   sindacali   aziendali,   oppure,   in   mancanza   di   queste,   con   la  commissione  interna.  In  dife;o  di  accordo,  su  istanza   del   datore   di   lavoro,   provvede   lIspe;orato   del   lavoro,   de;ando,   ove   occorra,   le   modalità   per   luso   di   tali   impian6.   13  
    • La  posizione  del  Garante  privacy  •  Nel  Provvedimento  denominato  “Linee  guida  del   Garante   per   posta   ele%ronica   e   internet”,   pubblicato   in   Gazze%a   Ufficiale   n.   58   del   10   marzo   2007,   si   è   formalizzata   l’esigenza   di   prescrivere   ai   datori   di   lavoro   alcune   misure,   necessarie   o   opportune,   per   conformare   alle   disposizioni   vigen(   il   tra%amento   di   da(   personali   effe%uato   per   verificare   il   corre%o   u(lizzo   nel   rapporto   di   lavoro   della   posta   ele%ronica  e  della  rete  Internet.  
    • Pun(  essenziali  del  Provvedimento  •   Spe%a  ai  datori  di  lavoro  assicurare  la  funzionalità  e  il   corre%o   impiego   degli   strumen(   informa(ci   da   parte   dei   lavoratori,   definendone   le   modalità   d’uso   nell’organizzazione   dell’aVvità   lavora(va,   tenendo   conto   della   disciplina   in   tema   di   diriV   e   relazioni   sindacali;  •    Spe%a   sempre   ai   datori   di   lavoro   ado%are   idonee   misure   di   sicurezza   per   assicurare   la   disponibilità   e   l’integrità   di   sistemi   informa(vi   e   di   da(,   nonché   per   prevenire   u(lizzi   indebi(   che   possono   essere   fonte   di   responsabilità;  
    • Pun(  essenziali  del  Provvedimento  /2  •   L’u(lizzo  di  Internet  da  parte  dei  lavoratori  può  formare  ogge%o   di   analisi,   profilazione   e   integrale   ricostruzione   della   navigazione   sul  Web.  I  servizi  di  posta  ele%ronica  sono  parimen(  susceVbili   di  controlli  che  possono  giungere  fino  alla  conoscenza  da  parte   del  datore  di  lavoro  del  contenuto  della  corrispondenza;  •    Le   informazioni   così   tra%ate   contengono   da(   personali   anche   sensibili  riguardan(  lavoratori  o  terzi,  iden(fica(  o  iden(ficabili;  •    Grava   sul   datore   di   lavoro   l’onere   di   indicare   in   ogni   caso,   chiaramente  e  in  modo  par(colareggiato,  quali  siano  le  modalità   di  u(lizzo  degli  strumen(  messi  a  disposizione  ritenute  corre%e   e   se,   in   che   misura   e   con   quali   modalità   vengano   effe%ua(   controlli.  
    • L importanza  dell informa(va  •    Allonere   del   datore   di   lavoro   di   prefigurare   e   pubblicizzare   una   policy   interna   rispe%o   al   corre%o   uso   dei   mezzi   e   agli   eventuali   controlli,   si   affianca  il  dovere  di  informare,  comunque,  gli  interessa(.  •   Rispe%o  a  eventuali  controlli  gli  interessa(  hanno  infaV  il  diri%o  di  essere   informa(   preven(vamente,   e   in   modo   chiaro,   sui   tra%amen(   di   da(   che   possono  riguardarli.  •    Le   finalità   da   indicare   possono   essere   connesse   a   specifiche   esigenze   organizza(ve,   produVve   e   di   sicurezza   del   lavoro,   quando   comportano   un   tra%amento   lecito   di   da(   (art.   4,   secondo   comma,   l.   n.   300/1970   );   possono  anche  riguardare  lesercizio  di  un  diri%o  in  sede  giudiziaria.  •    Devono   essere   tra   laltro   indicate   le   principali   cara%eris(che   dei   tra%amen(,  nonché  il  sogge%o  o  lunità  organizza(va  ai  quali  i  lavoratori   possono  rivolgersi  per  esercitare  i  propri  diriV.  
    • Redazione  di  una  policy  •   A  seconda  dei  casi,  andrebbe  ad  esempio  specificato:  •    se   determina(   comportamen(   non   sono   tollera(   rispe%o   alla   navigazione   in   Internet   (ad   es.,   l’u(lizzo   di   sogware   peer-­‐to-­‐peer),   oppure  rela(vamente  all’archiviazione,  stampa  e  copia  di  file  nella  rete   interna;  •    in   quale   misura   è   consen(to   u(lizzare,   anche   per   ragioni   personali,   servizi  di  posta  ele%ronica  o  di  rete,  anche  qualora  ciò  possa  avvenire   solo   da   determinate   postazioni   di   lavoro   o   caselle   oppure   ricorrendo   a   sistemi   di   webmail,   indicandone   le   modalità   e   l’arco   temporale   di   u(lizzo   (ad   es.,   fuori   dall’orario   di   lavoro   o   durante   le   pause,   o   consentendone  un  uso  moderato  anche  durante  l’orario  lavora(vo);  •   quali  informazioni  sono  memorizzate  temporaneamente  e  chi,  anche     tra  gli  eventuali  soggeV  esterni,  vi  può  accedere  legiVmamente;  
    • Redazione  di  una  policy  /2  •    se   e   quali   informazioni   sono   eventualmente   conservate   per   un   periodo  più  lungo,  in  forma  centralizzata  o  meno;  •    se,   e   in   quale   misura,   il   datore   di   lavoro   si   riserva   di   effe%uare   controlli   in   conformità   alla   legge,   anche   saltuari   o   occasionali,   indicando   le   ragioni   legiVme,   specifiche   e   non   generiche,   per   cui   verrebbero  effe%ua(  e  le  rela(ve  modalità,    precisando  anche  se,  in   caso   di   abusi   singoli   o   reitera(,   verranno   inoltra(   preven(vi   avvisi   colleVvi  o  individuali  ed  effe%ua(  controlli  nomina(vi  o  su  singoli   disposi(vi  e  postazioni;  •   quali  conseguenze,  anche  di  (po  disciplinare,  il  datore  di  lavoro  si   riserva   di   trarre   qualora   consta(   che   la   posta   ele%ronica   e   la   rete   Internet  sono  u(lizzate  indebitamente.  
    • Esempio  A  seconda  dei  casi,  andrebbe  ad  esempio  specificato:    1.  se  determina(  comportamen(  non  sono  tollera(  rispe%o  alla  navigazione   in   Internet   (ad   es.,   l u(lizzo   di   soFware   peer-­‐to-­‐peer),   oppure   rela(vamente  all archiviazione,  stampa  e  copia  di  file  nella  rete  interna;  2.  in   quale   misura   è   consen(to   u(lizzare,   anche   per   ragioni   personali,   servizi   di   posta   ele%ronica   o   di   rete,   anche   qualora   ciò   possa   avvenire   solo   da   determinate  postazioni  di  lavoro  o  caselle  oppure  ricorrendo  a  sistemi  di   webmail,   indicandone   le   modalità   e   l arco   temporale   di   u(lizzo   (ad   es.,   fuori   dall orario   di   lavoro   o   durante   le   pause,   o   consentendone   un   uso   moderato  anche  durante  l orario  lavora(vo);  3.  quali  informazioni  sono  memorizzate  temporaneamente  e  chi,  anche    tra   gli  eventuali  soggeV  esterni,  vi  può  accedere  legiVmamente;     20  
    • 4.  se   e   quali   informazioni   sono   eventualmente   conservate   per   un  periodo  più  lungo,  in  forma  centralizzata  o  meno;  5.  se,  e  in  quale  misura,  il  datore  di  lavoro  si  riserva  di  effe%uare   controlli  in  conformità  alla  legge,  anche  saltuari  o  occasionali,   indicando  le  ragioni  legiVme,  specifiche  e  non  generiche,  per   cui   verrebbero   effe%ua(   e   le   rela(ve   modalità,     precisando   anche  se,  in  caso  di  abusi  singoli  o  reitera(,  verranno  inoltra(   preven(vi   avvisi   colleVvi   o   individuali   ed   effe%ua(   controlli   nomina(vi  o  su  singoli  disposi(vi  e  postazioni;  6.  quali   conseguenze,   anche   di   (po   disciplinare,   il   datore   di   lavoro   si   riserva   di   trarre   qualora   consta(   che   la   posta   ele%ronica  e  la  rete  Internet  sono  u(lizzate  indebitamente.   21  
    • Controlli  non  consen((  •   Le  linee  guida  del  Garante  individuano  alcuni  controlli  che  non   sono   consen((,   in   quanto   mediante   ques(   si   potrebbe   ricostruire  minuziosamente  l’aVvità  dei  dipenden(.  Ad  esempio:  •    le%ura   e   registrazione   sistema(ca   dei   messaggi   di   posta   ele%ronica   ovvero   dei   rela(vi   da(   esteriori,   al   di   là   di   quanto   tecnicamente  necessario  per  ges(re  il  servizio  e-­‐mail;  •    riproduzione   ed   eventuale   memorizzazione   sistema(ca   degli   indirizzi  o  delle  pagine  web  visualizzate  dal  lavoratore;  •   le%ura  e  registrazione  dei  cara%eri  inseri(  tramite  la  tas(era  o   analogo  disposi(vo;  •   analisi  occulta  di  computer  porta(li  affida(  in  uso.  
    • Limi(  nei  controlli  •   Secondo  la  disciplina  del  Codice  privacy,  un  controllo  è  lecito  solo   qualora  vengano  rispe%a(  i  principi  di  per(nenza  e  non  eccedenza.  •    Il   datore   di   lavoro   può,   tu%avia,   ado%are   eventuali   misure   che   consentano  la  verifica  di  comportamen(  anomali,  ma  solo  nel  caso   in  cui  un  evento  dannoso  o  una  situazione  di  pericolo  non  sia  stata   impedita  mediante  la  preven(va  adozione  di  accorgimen(  tecnici.  •    Deve   inoltre   essere   sempre   preferito   un   controllo   preliminare   su   da(  aggrega(,  riferi(  all’intera  stru%ura  lavora(va  o  a  sue  aree,  in   modo  da  preservare  la  riservatezza  del  singolo  pur  consentendo  lo   svolgimento  di  un’aVvità  di  controllo.  •    In   nessun   caso,   infine,   si   potranno   esercitare   controlli   prolunga(,   costan(  o  indiscrimina(.  
    • Quanto  conservare  i  da(?  •  Le   linee   guida   del   Garante   contengono   previsioni   anche   in   merito   alla   conservazione   indiscriminata   (ovvero:   per   un   tempo   indefinito)   delle   informazioni   rela(ve   ai   comportamen(   “ele%ronici”   dei   dipenden(,   ritenendola  illegiVma  e  lesiva  della  privacy.  •  A  tal  fine,  i  sistemi  sogware  dovrebbero  essere  programma(  e  configura(  in   modo   da   cancellare   periodicamente   ed   automa(camente,   a%raverso   ad   esempio   procedure   di   sovrascri%ura   dei   file   di   log   (quei   file   che   tengono   il   diario   di   tu%e   le   aVvità   di   un   sistema   e   dei   suoi   uten(   e   servizi),   i   da(   personali   rela(vi   agli   accessi   ad   Internet   e   al   traffico   telema(co,   la   cui   conservazione  non  sia  necessaria.  •  In  par(colare,  secondo  il  Garante,  in  assenza  di  par(colari  esigenze  tecniche  o   di   sicurezza,   la   conservazione   temporanea   dei   da(   rela(vi   all’uso   degli   strumen(   ele%ronici   dovrebbe   essere   gius(ficata   da   una   finalità   specifica   e   comprovata  e  limitata  al  tempo  necessario,  e  predeterminato,  a  raggiungerla.