"La casistica insegna che le maggiori vulnerabilità in materia di sicurezza dei dati aziendali non emergono a causa di soggetti esterni all´azienda. Troppo spesso avvengono

"La casistica insegna che le maggiori vulnerabilità in materia di sicurezza dei dati aziendali non emergono a causa di soggetti esterni all´azienda. Troppo spesso avvengono per motivi riconducibili a soggetti interni che con dolo, o più semplicemente con imprudenza, comunicano all´esterno dati, progetti, informazioni facendo un cattivo uso della strumentazione informatica aziendale. L´inoltro per posta elettronica di allegati contenenti documenti che non dovrebbero circolare in chiaro, l´utilizzo di supporti esterni non protetti, le connessioni a siti contenenti programmi che catturano informazioni sono esempi che si ripetono di frequente e sono pessime consuetudini che possono abbassare le difese aziendali". A parlare è Valentina Frediani, titolare dello Studio Legale Frediani specializzato in diritto informatico e privacy e uno dei consulenti attivati da Microsoft per il progetto MxP. A lei il Sole24ore.com ha chiesto di approfondire la questione "giuridica" della relazione fra privacy e tecnologie in azienda. Se pochissimi in azienda rispettano le disposizioni in materia di sicurezza puà essere esponenziale il fatto che le aziende stesse operino controlli che vanno a ledere la privacy dei dipendenti? A seguito del provvedimento emesso dall´Autorità Garante in materia di protezione dati personali, è stato chiarito come il datore di lavoro non possa attivare in modo permanente un controllo finalizzato a verificare le connessioni di ciascun singolo dipendente. Cià che puà fare e deve prevedere un datore di lavoro nel regolamento aziendale sono due livelli di controllo della navigazione in Rete. Il primo è di tipo generale, finalizzato a controllare tutte le operazioni effettuate dalla rete aziendale sia per un monitoraggio di tipo tecnico sia per l´obbligo giuridico di controllo conferito proprio al datore di lavoro. Il secondo è specifico sulle singole postazioni ma puà essere attuato solo dopo preventivo avviso ai destinatari del controllo e per un tempo strettamente necessario alla verifica di eventuali anomalie riscontrate. Qualora dal controllo emergano violazioni del regolamento o della normativa vigente, il datore di lavoro potrà effettuare richiami o segnalazioni alle autorità competenti. Qual è, se esiste, il compromesso ideale fra quadro normativo, policy aziendali e diritti del dipendente utente? Il concetto è chiaro: nessun controllo finalizzato a verificare il lavoro di un dipendente, ma controlli effettuabili per fini tecnici e per verificare l´attinenza al regolamento stesso, per non compromettere l´utilizzo delle risorse informatiche nè il clima di reciproca fiducia che deve essere presente nel rapporto lavorativo. Che sanzioni vengono normalmente applicate a un dipendente che fa un uso improprio e imprudente delle risorse informatiche aziendali in presenza di una policy di sicurezza definita e trasparente? Le sanzioni derivanti da una violazione del regolamento informatico sono di natura disciplinare, ma devono essere previste già all´atto di redazione del regolamento e varieranno a seconda della gravità tenuta nella condotta. Si pensi ad esempio, ad un uso improprio della posta elettronica aziendale per scopi personali, in violazione del regolamento che ne prevede una destinazione prettamente lavorativa: la sanzione sarà certamente da inasprirsi qualora oltre alla violazione del predetto divieto, il dipendente utilizzi quella casella di posta elettronica per diffamare qualcuno, o per attuare una condotta sleale nei confronti del titolare stesso. Quando si entra in implicazioni di tipo penale? Talune violazioni del regolamento informatico possono comportare anche conseguenze di tipo penale e in tal caso puà scattare la denuncia da parte del titolare. Quando per esempio sussiste l´obbligo di utilizzare Internet per scopi lavorativi, l´eventuale violazione posta in essere da un dipendente porta a conseguenze di questo tipo qualora lo stesso utilizzi la rete aziendale per effettuare truffe o scambiare materiale pedopornografico. FONTE: ilsole24ore

Condividi