Dispositivi Digitali e Risorse Informatiche Aziendali : cosa è consentito al dipendente e cosa è vietato all’azienda

---

Dispositivi Digitali e Risorse Informatiche Aziendali : cosa è consentito al dipendente e cosa è vietato all’azienda


Viviamo in un mondo digitale con confini sempre più labili tra dispositivi personali e dispositivi aziendali. Così come si amplificano la richieste di competenze da parte degli utilizzatori delle tecnologie così aumentano i possibili comportamenti non corretti da parte di aziende e dipendenti, comportamenti che incidono non solo sulla sicurezza e la privacy ma che possono coinvolgere entrambe le parti in azioni legali. In questo articolo sull’utilizzo dei dispositivi digitali e risorse informatiche aziendali vedremo cosa è consentito fare al dipendente e cosa è vietato all’azienda.

Ricordiamo prima di proseguire che il lavoratore al momento della sottoscrizione del contratto di lavoro ha il diritto di verificare come e da chi i dati relativi alla sua attività saranno raccolti e trattati, in modo tale da prestare un consenso effettivamente informato. La dichiarazione di consenso può prevedere, ad esempio, specifiche autorizzazioni che saranno proprie di una policy sulla sicurezza aziendale personalizzata, che deve essere letta con cura e molta attenzione. Policy che se ben strutturata dovrebbe indicare al momento della cessazione del rapporto anche tutti gli obblighi a carico del datore di lavoro in merito alla restituzione al dipendente dei dati raccolti che formano il suo profilo e la sua identità digitale.

Ricordiamo ancora una volta l'importanza di una Policy sulla Sicurezza Informatica [ click qui ], documento nel quale sono contenute tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici. La definizione di poche e semplici regole è utile per due motivi:

  1. Rende edotto il dipendente del rischio di coinvolgere l’Azienda, qualora tramite tali strumenti vengano commessi dei reati;
  2. Pone le basi giuridiche per poter infliggere sanzioni disciplinari, quali l’ammonimento o la sospensione dal lavoro, sino al licenziamento.

Volendo fornire un testo di facile consultazione vi elencheremo in modo sintetico i vari punti di divieto per l’azienda e quelli consentiti al dipendente per ciascuno dei dispositivi digitali e risorse informatiche aziendali che trovate di seguito presentati :

Utilizzo del Cellulare Aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda

Lista dei divieti per l’azienda sull’uso del telefono cellulare da parte dei suoi dipendenti :

  • E’ vietato all’azienda fornire ai propri dipendenti un telefono aziendale senza un’informativa contenente la policy di utilizzo e la nomina del responsabile del trattamento.
  • E’ vietato all’azienda effettuare controlli sulle SIM aziendali per contestazioni disciplinari. Le informazioni sul traffico telefonico possono essere analizzate solo se necessarie, pertinenti e non eccedenti gli scopi dichiarati (provvedimento del garante n.3 del 11.01.2018). In presenza di “consumi anomali“, la società provvederà a rilevarne le cause e, ove necessario, evidenzierà al proprio interno l’esigenza di contenere i costi aziendali, ma i dati dei dipendenti non potranno essere trattati a fini disciplinari.
  • E’ vietato all’azienda effettuare controlli sulle SIM aziendali oltre un periodo di 6 mesi ( tempo massimo per la conservazione dei dati ). Viene parimenti affermato un principio di necessità del trattamento in base al quale le informazioni sul traffico telefonico possono essere analizzate solo se necessarie, pertinenti e non eccedenti gli scopi dichiarati. Tali requisiti ricorrono nel caso delle chiamate in uscita ma sono da escludersi per le chiamate in entrata senza specifici addebiti e in caso di tariffe flat.
  • In caso di realtà medio/grandi per effettuare qualsiasi tipo di controllo sui telefoni aziendali è vietato all’azienda definire una policy unilaterale ma dovrà prima aver stipulato uno specifico accordo sindacale nel rispetto della disciplina di settore.
  • Non è lecito per l’azienda conoscere il numero telefonico completo della persona che chiama il suo dipendente, i dettagli della chiamata in entrata ed i paese di provenienza della chiamata. C’è, ovviamente, un’eccezione che può giustificare la richiesta di queste informazioni e riguarda il caso in cui comportino una spesa eccessiva per l’azienda, documentata in bolletta. Ad ogni modo, i dati andrebbero trattati solo per questioni legate all’organizzazione e alla tutela del patrimonio aziendale, escludendo qualsiasi altra possibile finalità di utilizzo.
  • Anche se l’azienda ha messo a punto un sistema di addebito e di tariffazione separata per le chiamate effettuate dal cellulare aziendale per uso privato, su queste ultime è vietato all’azienda raccogliere i dati relativi ai numeri di telefono in entrata o in uscita.
  • Non è lecito all’azienda effettuare backup del dispositivo in cloud senza definire modalità e tipologia dei dati salvati. Relativamente alla conservazione dei dati contenuti nel singolo dispositivo ed in backup occorre che gli stessi, se conservati in cloud, rispettino quanto stabilito dalla legge in merito al trasferimento dei dati verso paesi UE e Extra-UE. Inoltre è vietato il trattamento di dati personali del dipendente ricavati da file e documenti acquisiti nell'ambito di operazioni di backup. Relativamente alla tipologia dei dati salvati, il datore di lavoro può avere accesso alle applicazioni installate sul device, ma non è permesso nessun accesso al contenuto delle applicazioni stesse.

Lista di ciò che è consentito al dipendente a cui è stato assegnato un telefono aziendale :

  • E’ lecito effettuare chiamate personali mantenendo tuttavia un uso equilibrato del telefono. L’uso eccessivo del telefono aziendale per scopi privati può comportare il licenziamento (l’onere della prova ricordiamo che spetta al datore di lavoro e non al dipendente).
  • E’ lecito installare applicazioni non aziendali sul telefono solo se dichiarato nel regolamento interno o nella policy aziendale consegnata al momento del ritiro del telefono. Ricordarsi sempre che il telefono aziendale è uno strumento di lavoro e che tutti i log dell'attività svolta con l'utilizzo di strumenti informatici aziendali potrebbero essere oggetto di indagine degli organi di polizia. Tutte le applicazioni installate in modo autonomo possono essere soggette a vulnerabilità dirette o indirette ed essere di nocumento alle risorse aziendali messe a disposizione del dipendente, per cui potrebbe essere chiamato a risponderne.

Computer / Tablet Aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda

Lista dei divieti per l’azienda :

  • L'azienda non può accedere ai file del dipendente ( * ), ma può conservarli per un periodo massimo 6 mesi per far valere i suoi diritti. Il diritto alla riservatezza dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell'ambito di eventuali procedimenti penali. (*) i datori di lavoro possono soltanto aprire archivi identificati dai dipendenti come personali purchè alla presenza del dipendente o dopo che questi siano stati informati. Tuttavia, la Corte di Strasburgo ha aggiunto che gli archivi creati da un dipendente si presumono essere “aziendali” (dunque contenenti dati da utilizzare per finalità lavorative) a meno che il dipendente non li abbia identificati come “personali” ( ad esempio il lavoratore dovrebbe creare una cartella sul suo computer dal nome “nome e cognome + mie file privati” ), così da impedire al datore di lavoro di accedervi in assenza del dipendente medesimo.
  • L’azienda può monitorare il corretto svolgimento dei compiti assegnati e il regolare utilizzo degli strumenti dati in dotazione, ma deve sempre essere salvaguardata “la libertà e la dignità” del lavoratore (come indicato dal Garante per la Privacy).
  • Il datore di lavoro può controllare il contenuto dei pc aziendali, anche senza il permesso dei dipendenti che li utilizzano per lavorare, purché ciò non sia finalizzato al mero controllo a distanza della sua attività lavorativa e solo se il lavoratore è stato informato della possibilità di un controllo.
  • La condotta del dipendente che mette in cattiva luce l’azienda o i colleghi sui social, deve essere contestata nell’immediato (entro 3 mesi), diversamente non giustifica il licenziamento ed è illecita. E’ legittimo il licenziamento basato su un uso improprio dei social network, come postare fotografie scattate durante l’orario di lavoro accompagnate da commenti offensivi nei confronti dell’azienda. Se interessati ad approfondire l’argomento “Contenziosi tra Aziende e Dipendenti per l'utilizzo improprio del computer e degli strumenti informatici aziendali” [ click qui ]

Lista di ciò che è consentito al dipendente :

  • Se le policy aziendali lo consentono, il dipendente può tenere sul computer aziendale anche materiale privato ( per garantire che sia visto come tale il lavoratore dovrebbe creare una cartella sul suo computer dal nome “nome e cognome + mie file privati” ),  senza tuttavia che questo occupi la maggioranza della memoria disponibile del dispositivo. Naturalmente, trattandosi di uno strumento aziendale e non personale, il datore di lavoro, nell’effettuare eventuali controlli sul computer, potrebbe accedere anche al materiale privato dei propri dipendenti. Si tratta di una condotta del tutto legittima se il dipendente era stato preventivamente informato di tale possibilità, fermo restando l’obbligo per il datore di lavoro di rispettare i principi propri della normativa sulla privacy.
  • Se le policy aziendali lo consentono curare l’osservanza di backup periodici del suo materiale privato e non quello dell'azienda. Pertanto, il lavoratore che copi dei file aziendali, con modalità idonee a farli fuoriuscire dalla "sfera di controllo" del datore di lavoro commette certamente un illecito disciplinarmente, rilevante a prescindere dal successivo utilizzo di tali dati e dalla dimostrazione di una specifica finalità illecita. La violazione dei dati aziendali, e dunque l’inadempimento del dipendente ai suoi obblighi fondamentali, si configura indipendentemente dal fatto che gli stessi siano protetti da password o meno e, quindi, espressamente considerati come riservati da parte dell’azienda. Pertanto, la circostanza che il lavoratore abbia libero accesso a determinati dati aziendali è del tutto irrilevante, e non lo autorizza a copiarli nè a trasferirli in qualunque modo.

Email Aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda

Lista dei divieti per l’azienda :

  • E’ vietato all’azienda raccogliere i dati contenuti nelle e-mail inviate dall'account aziendale di un proprio dipendente, senza aver preventivamente fornito adeguata informativa al dipendente stesso circa modalità e finalità di tale attività di raccolta e conservazione dati ; ad esempio è stato ritenuto illecito, e conseguentemente vietato, il trattamento effettuato da una società mediante la raccolta e la successiva produzione in giudizio di alcune e-mail scambiate tra determinati dipendenti e tra questi e terze persone, senza aver previamente adottato un disciplinare o strumento analogo sull’utilizzo della posta elettronica aziendale e senza aver fornito una specifica informativa ai dipendenti.
  • E’ vietato all’azienda continuare a mantenere attive le caselle e-mail dei dipendenti licenziati oltre i sei mesi dopo la cessazione del contratto e comunque senza dare agli ex dipendenti la possibilità di consultarle o in alternativa informare i mittenti che le lettere non saranno più visionate dai legittimi destinatari ma da altri soggetti. L’Autorità Garante ha chiarito che gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione e contestuale adozione di messaggi automatici che informino i terzi mittenti che quell’indirizzo non è più attivo (provv. n. 456 del 30.7.2015 e n. 136 del 5.3.2015).

Lista di ciò che è consentito al dipendente :

  • Il dipendente può scaricare la propria memoria digitale relativa alle sue email e conservarla su un supporto esterno. L’accesso ai propri dati attraverso il sistema è consentito in costanza di rapporto di lavoro con la conseguenza che non potrà essere ritenuta abusiva né illecita la conservazione di copia. Attenzione però a non eseguire un backup sulla propria pennetta usb dei dati appartenenti alla società, anche se precedentemente trattati, utilizzati e, anzi, creati per suo conto. Questo è vietato e considerato come accesso abusivo a sistema informatico.

Geolocalizzazione GPS sull’auto aziendale : cosa è consentito al dipendente e cosa è vietato all’azienda

Lista dei divieti per l’azienda :

  • È vietata l’installazione di un sistema di geolocalizzazione sulle automobili aziendali se determina un monitoraggio continuo e il conducente è identificabile. Se non determina un monitoraggio continuo e non identifica il conducente viene richiesto comunque all’azienda di posizionare sul dispositivo di localizzazione un’icona che dovrà indicare quando e se la localizzazione è attiva ed  il sistema dovrà infine essere configurato in modo tale da oscurare la posizione geografica dei dipendenti dopo un periodo di inattività dell’operatore sul monitor della centrale operativa. A maggiore tutela dei lavoratori inoltre i dati raccolti dal sistema potranno essere consultati solo dal personale autorizzato (centrale operativa e sviluppo software) tramite apposite credenziali di accesso, soprattutto relativamente all’estrazione dei predetti dati. A tutela dei lavoratori dipendenti questi dati non potranno essere usati per il controllo dei lavoratori o per scopi disciplinari.
  • Se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per massimo cinque anni. I dati trattati in caso di sinistri, saranno conservati per il termine ritenuto necessario per la ricezione e la valutazione della denuncia di sinistro da parte del personale. I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione. Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.
  • “l’attività di indagine volta a seguire i movimenti di un soggetto ed a localizzarlo, controllando a distanza la sua presenza in un dato luogo ed in un determinato momento attraverso il sistema di rilevamento satellitare (GPS) , costituisce una forma di pedinamento eseguita con strumenti tecnologici, NON ASSIMILABILE ad ATTIVITÁ DI INTERCETTAZIONE” (cfr. Cass. Pen., 27 novembre 2012, n. 48279)

Lista di ciò che è consentito al dipendente :

  • Il dipendente ha il diritto di essere informato preventivamente sul sistema di raccolta dati e assicurarsi che siano predisposte dall’azienda tutte le misure che consentano ai lavoratori di accedere ai dati trattati per la visione o l’eventuale modifica se non corretti.

 

Richiedi Subito
il documento
POLICY SULLA SICUREZZA
INFORMATICA
per la tua azienda
Acquista Online
il documento
POLICY SULLA SICUREZZA
INFORMATICA
per la tua azienda

Consulenze o domande ?

Se avete domande saremo lieti di potervi rispondere :

Contattateci