Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

lunedì 10 febbraio 2014

Monitoraggio delle connessioni, controllo dei lavoratori e giurisprudenza Italiana

Molto spesso mi viene posta questa domanda: "posso, ed in che misura, legalmente monitorare le connessioni degli utenti?".

La legislazione Italiana è articolata e si divide tra il diritto del lavoratore a mantenere la propria privacy ed il diritto dell'imprenditore o dell'amministratore di rete ad impedire o limitare utilizzi impropri. Il tutto assorbendo le indicazioni del Data Protection Working Party, organo dell'UE preposto a consigliare gli stati membri su questo specifico argomento.

Proviamo a sintetizzare e semplificare il panorama attuale.

Affinchè un datore di lavoro o un amministratore di rete possano memorizzare e consultare informazioni sulle connessioni aziendali, è necessario ed imprescindibile che vengano rispettati i seguenti principi:
  • Vi sia una reale e motivata necessità, ossia le attività di raccolta dati non siano di carattere generico e prive di un significativo scopo (volto a garantire la sicurezza, la continuità aziendale e a prevenire illeciti);
  • Il lavoratore venga preventivamente ed accuratamente avvertito, garantendo sempre la trasparenza delle operazioni di verifica (Art. 4 Statuto dei Lavoratori);
  • Chi esegue un controllo deve farlo proporzionalmente al fine, un controllo sproporzionato è esso stesso un illecito (se ad esempio si vuole appurare un'intrusione informatica su di un server pubblico e la raccolta dati sulla navigazione degli utenti non è necessaria, non va effettuata);
  • I dati raccolti devono essere trattati in sicurezza e conservati per un periodo di tempo non superiore a quanto strettamente necessario.
Fatti salvi questi principi, dettati in appositi suggerimenti del Garante, ogni prova raccolta non in ottemperanza della Legge non è utilizzabile in sede giudiziaria e viene invalidata.


In relazione al principio di trasparenza, il Garante propone delle linee guida per la creazione delle Policy Aziendali, fondamentali affinchè il lavoratore venga adeguatamente informato. Eccone alcuni esempi:
  • Indicare cosa è tollerato e cosa no (utilizzo di social network, ascolto di musica, visione di contenuti multimediali, etc.), ed in che fasce orarie;
  • Indicare se è consentito l'utilizzo personale dei mezzi aziendali (posta elettronica, etc.), ed in che misura;
  • Indicare quali informazioni sono memorizzate, per quanto tempo e con quali modalità verranno effettuati i controlli.
Il Garante, inoltre, consiglia l'adozione di strumenti atti a prevenire i controlli. Meglio (e lecito), quindi, bloccare i social network, piuttosto che analizzare i log alla ricerca di chi li usa.


Sono espressamente vietati dal Garante:
  • I sistemi di ripresa audiovisiva in grado di risalire puntualmente alle attività svolte dai lavoratori, nello specifico è assolutamente vietato posizionare telecamere in grado di videoriprendere i monitor;
  • I sistemi di memorizzazione immotivata di dati sensibili che possano dare indicazioni su orientamenti religiosi, politici e dati sensibili (quindi tutti i content filtering/proxy e logger delle pagine web);
  • Keylogger ed ogni sistema in grado di memorizzare i caratteri digitati sul terminale;
  • Programmi in grado di consentire l'analisi occulta delle macchine utilizzate dai lavoratori;

Pubblicato da
Etichette:
Iscriviti a: Post (Atom)