Il Regolamento informatico aziendale
Feb 23, 2023
Il regolamento informatico aziendale.
Uno degli strumenti di gestione più importanti di cui le aziende devono dotarsi è il Regolamento per l'utilizzo della strumentazione informatica, della rete internet e della posta elettronica aziendale, ed è, probabilmente, anche fra i più sottovalutati.
Il regolamento informatico ha lo scopo di definire le modalità di utilizzo della strumentazione informatica aziendale, da parte de dipendenti o dei collaboratori dell'azienda, al fine di prevenire ed evitare, che comportamenti anche inconsapevoli di questi ultimi, possano minacciare o compromettere la sicurezza nel trattamento dei dati o che comportamenti scorretti distolgano le risorse aziendali dall’uso cui sono destinate.
Si perché la diffusione delle tecnologie informatiche e dispositivi aziendali costantemente connessi a internet espongono di continuo le società ad ogni genere di rischi, non solo di carattere patrimoniale, ma anche a responsabilità civili e penali con conseguenti ricadute, per l'azienda, in termini di sicurezza e reputazionali.
Di uno di questi rischi si è occupata anche la Cassazione che si è pronunciata, con la sentenza n. 25732/2021, sul licenziamento di una lavoratrice, avvenuto in seguito all'accertamento, da parte dell'amministratore di sistema della società in cui questa era impiegata, della presenza di un virus nella rete aziendale.
Nella cartella di download del disco fisso del computer della lavoratrice era presente il file che lo aveva propagato, scaricato probabilmente da un sito visitato non per ragioni lavorative ma private. In seguito alla diffusione del virus, i file all'interno di vari dischi di rete erano stati criptati e quindi resi inutilizzabili.
A prescindere dall'epilogo della causa, l'irrimediabile perdita di dati aziendali può avere effetti deflagranti su qualunque impresa ed è per questo che è necessario dotarsi di un buon regolamento, utile sia per formare e sensibilizzare il personale sul tema della sicurezza delle informazioni, sia per tutelare la società dai danni correlati ad un uso scorretto della tecnologia aziendale.
Indice degli argomenti
- le fonti normative coinvolte nella stesura del regolamento
- il contenuto del regolamento
- l'utilizzo della posta elettronica aziendale
- cosa succede se non si adotta il regolamento informatico?
-
Le fonti normative coinvolte nella stesura del regolamento
Nella stesura del regolamento per la gestione degli strumenti informatici e della posta elettronica aziendali vanno tenute in considerazione sia le norme civilistiche, sia la normativa in materia di protezione dei dati personali.
La necessaria premessa è che i dipendenti/collaboratori dovrebbero utilizzare gli strumenti informatici aziendali messi a disposizione dal datore di lavoro esclusivamente per lo svolgimento delle attività lavorative e con modalità adeguate rispetto ai compiti assegnati e alle responsabilità assunte e nel rispetto dei principi di correttezza e diligenza di cui agli artt. 2104 e 2105 del Codice civile, e delle direttive aziendali in tema di sicurezza dei sistemi informatici e dei dati.
In questo contesto si inserisce l'art. 4 dello Statuto dei lavoratori che disciplina la gestione della strumentazione lavorativa fornita al personale dipendente e prevede che tutte le informazioni raccolte tramite strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori (che devono formare oggetto di accordo con le Rappresentanze Sindacali Aziendali o, in mancanza, di autorizzazione dell’Ispettorato Nazionale del Lavoro) e quelli utilizzati dal lavoratore per rendere la prestazione lavorativa (non soggetti ad alcun accordo o autorizzazione) siano utilizzabili a tutti i fini connessi al rapporto di lavoro (anche disciplinari!) a due condizioni: che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice in materia di protezione dei dati personali.
Nel 2007 poi, il Garante privacy ha fornito ai datori di lavoro/titolari del trattamento delle linee guida per redigere un “disciplinare interno” avente ad oggetto l'utilizzo e la gestione della posta elettronica e di internet considerato che «compete ai datori di lavoro assicurare la funzionalità e il corretto impiego» degli strumenti aziendali e della posta elettronica da parte dei lavoratori e «adottare idonee misure di sicurezza per assicurare la disponibilità e l´integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità)».
Nello specifico, il Garante per la protezione dei dati personali ha stabilito che è onere del datore di lavoro/titolare del trattamento indicare:
- oltre alle modalità di utilizzo degli strumenti aziendali messi a disposizioni del dipendente
- anche se e in quale misura lo stesso si riserva di effettuare controlli, anche saltuari o occasionali, indicando le ragioni legittime per cui questi verrebbero effettuati (comprese le verifiche sulla funzionalità e sicurezza dei sistemi) e le relative modalità
- quali ripercussioni o conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di attivare qualora rilevi che la posta elettronica e la rete internet sono utilizzate indebitamente.
Il Garante, infine, ha ribadito che «nell'effettuare controlli sull'uso degli strumenti elettronici deve essere evitata un´interferenza ingiustificata sui diritti e sulle libertà fondamentali dei lavoratori».
Questi controlli dovranno essere
- progressivi: i controlli su base individuale dovranno essere preceduti da controlli generali e basati su dati aggregati.
- rispettosi del principio di liceità, pertinenza e non eccedenza, quindi dovranno essere connessi alla finalità perseguita e non protratti ingiustificatamente nel tempo.
Anche la Corte Europea dei diritti dell'Uomo può dare qualche spunto a riguardo.
In una pronuncia nell'ambito di un ricorso promosso da un cittadino, il licenziamento del quale, avvenuto sulla base del controllo delle sue comunicazioni, era stato ritenuto legittimo dai giudici nazionali, la Corte EDU ha ritenuto, invece, essenziale la predisposizione di un regolamento aziendale, in difetto del quale nessun controllo da parte del datore di lavoro, può considerarsi legittimo.
-
Il contenuto del regolamento informatico
Il regolamento informatico va reso noto a tutto il personale e reso disponibile alla consultazione. Non deve intendersi come documento “statico” ma va periodicamente aggiornato in modo da renderlo sempre più aderente al contesto aziendale, agli aggiornamenti, alle evoluzioni tecnologiche ma anche alla normativa in continua evoluzione e ai provvedimenti delle Autorità di controllo.
Veniamo alle regole che dovrebbero essere specificate nel regolamento, senza pretesa di esaustività e sempre ricordando che difficilmente si potrà redigere un documento adatto ad ogni tipo di organizzazione. Ogni ente dovrà predisporre un regolamento contenente tutti gli elementi previsti dalle diverse normative coinvolte, ma dovrà adattarlo alle proprie esigenze organizzative e operative e ponderarlo sul livello di rischio connesso ai trattamenti di dati effettivamente svolti.
- Tutti gli strumenti informatici aziendali affidati ai dipendenti, compresi laptop/tablet/pc/smartphone sono di proprietà dell'ente e sono strumenti di lavoro che devono essere utilizzati esclusivamente per rendere la prestazione lavorativa. Ogni utilizzo per fini privati o comunque estranei all’attività lavorativa, infatti, può minacciare la sicurezza dell'ente, provocare disservizi e generare costi (di manutenzione e ripristino, come nel caso esaminato in apertura, o relativi a sanzioni amministrative laddove si verificasse un data breach).
- Vanno specificate le modalità d'uso, conservazione e restituzione di tutti i dispositivi (ad es. lo spegnimento dei device in orario non lavorativo) e le procedure di creazione e custodia o di assegnazione da parte dell'amministratore di sistema delle credenziali necessarie per accedere ai sistemi dell'ente, utili ad evitare accessi abusivi non autorizzati. User ID e pass devono essere strettamente personali e conservati in maniera sicura (non su un post-it attaccato al monitor del pc!)
- Va specificato quali comportamenti sono obbligatori (ad esempio come archiviare o distruggere documenti) e quali invece sono vietati (ad esempio la navigazione su siti internet non sicuri o l’utilizzo di dispositivi di memorizzazione).
- Una volta autenticati al sistema, non lasciare incustodita e accessibile la propria postazione. Non usare credenziali altrui.
- Deve essere espressamente specificato che i file di log relativi all’utilizzo di tutti i dispositivi, sia reperibili nella memoria “locale” sia sui server, sono registrati e possono essere oggetto di controllo da parte del datore di lavoro/titolare del trattamento per esigenze organizzative e produttive e per la sicurezza del lavoro e la tutela del patrimonio aziendale. Deve essere indicato anche il periodo di conservazione di questi file.
- Salvo espressa autorizzazione dell'ente, non deve essere consentito installare programmi e software esterni all'azienda o diversi da quelli già distribuiti e installati. Questo per cercare di evitare di scaricare virus, minimizzare i rischi per la sicurezza delle infrastrutture informatiche dell'azienda e per non esporre la stessa a responsabilità in caso di violazione di licenze o della normativa a tutela del diritto d'autore.
- Salvo espressa autorizzazione dell'ente, non deve essere consentita l’installazione sui device aziendali di nessun dispositivo di memorizzazione/comunicazione (come ad esempio pendrive o programmi di messaggistica non autorizzati) al fine di evitare fughe o perdite accidentali di dati. Non sono rari, infatti, casi di sanzioni dovute allo smarrimento di chiavi usb.
- Anche la navigazione su internet deve essere regolamentata e limitata, mediante appositi filtri, ai soli scopi professionali, vietando espressamente l'accesso a contenuti inopportuni, violenti, discriminatori.
- Solitamente l'uso di stampanti e fotocopiatrici è molto sottovalutato quando in realtà il loro uso può essere fonte di rischi per cui occorre stabilire che si possono stampare/fotocopiare documenti e atti solo se strettamente necessari per lo svolgimento delle proprie funzioni lavorative e monitorando l'apparecchio. Non si devono lasciare incustoditi documenti contenenti dati riservati o informazioni aziendali.
-
L'utilizzo della posta elettronica aziendale
Va scrupolosamente regolamentato anche l'uso della casella di posta elettronica aziendale.
- Anche la casella di posta elettronica, al pari di tutti i device forniti dall'ente, è uno strumento di lavoro e deve essere utilizzata esclusivamente per scopi lavorativi. Ogni utente è responsabile del corretto utilizzo e manutenzione della casella di posta a lui assegnata.
- Prima ancora di fornire indirizzi di posta elettronica nominativi, l'ente dovrebbe assegnare una casella alle unità operative interne ([email protected] oppure [email protected])
- Le caselle di posta elettronica nominative, sono comunque di proprietà aziendale e messe a disposizione del personale al fine di rendere la prestazione lavorativa.
- Non si devono aprire i messaggi che appaiono palesemente come spam e occorre cancellarli tempestivamente dalla inbox.
- Tutti gli allegati devono essere controllati e scansionati prima di essere scaricati.
- Può essere consentita l'iscrizione, con l'indirizzo di posta assegnato, a newsletter estranee all'ente solo per scopi professionali ma si deve evitare di diffondere il proprio indirizzo e-mail aziendale attraverso siti, social network, forum, chat, o quanto altro non attinente all’attività lavorativa.
- È importante prevedere una procedura di cifratura nel caso in cui fosse necessario inviare a destinatari esterni messaggi contenenti allegati con dati personali.
- Non deve essere consentito l’inoltro automatico di e-mail ad un indirizzo e-mail privato, anche nei periodi di assenza del personale, piuttosto occorrerà impostare una risposta automatica con i recapiti alternativi da contattare in caso di necessità.
- In caso di assenza improvvisa o prolungata di un dipendente, per garantire la continuità nell'attività lavorativa occorre prevedere una procedura di emergenza per l'accesso al suo account di posta elettronica, la presa visione dei messaggi, il salvataggio o la cancellazione di file. Occorre anche indicare le ipotesi e le modalità con cui l’Azienda può legittimamente accedere alle comunicazioni e, eventualmente, salvarle sui propri sistemi (ad esempio per adempiere ad un obbligo di legge).
- in caso di cessazione del rapporto lavorativo, la casella di posta elettronica assegnata deve essere disattivata indicando il termine entro il quale questo avverrà o indicando una procedura da seguire.
-
Cosa succede se non si adotta il regolamento informatico?
Ma cosa succede se l'ente non si dota di regolamentazione per l'utilizzo della strumentazione informatica, della rete internet e della posta elettronica aziendale?
- In assenza di regolamento, il potere disciplinare dell'ente verrà compromesso: non potrà contestare ai dipendenti o ai collaboratori l'uso abusivo dei dispositivi e non potrà quindi prevenire tutti quei comportamenti scorretti che rischiano di danneggiare i beni e le infrastrutture aziendali e la propria attività.
- Tutte le informazioni raccolte nell’ambito dei normali controlli saranno inutilizzabili a fini disciplinari, perché raccolte in violazione dell’art. 4 dello Statuto dei Lavoratori sopra esaminato. Certo, l'ente potrà svolgere “controlli difensivi” non volti a verificare l’esecuzione della prestazione lavorativa, ma solo eventuali comportamenti illeciti come il furto di beni aziendali, ma si tratta di “armi spuntate” rispetto alla tutela fornita dal Regolamento.
– La Redazione di CyberAcademy
La prima Academy per diventare Cyber Legali
I Corsi e Master di CyberAcademy affrontano tutti i temi legati all'era digitale e alla sicurezza aziendale con i maggiori esperti del settore.
Iscriviti alla newsletter dei Cyber Legali
Riceverai la nostra newsletter settimanale con tutti i nostri nuovi articoli e webinar gratuiti.