Molto spesso mi viene posta questa domanda: "posso, ed in che misura, legalmente monitorare le connessioni degli utenti?".
La legislazione Italiana è articolata e si divide tra il diritto del lavoratore a mantenere la propria privacy ed il diritto dell'imprenditore o dell'amministratore di rete ad impedire o limitare utilizzi impropri. Il tutto assorbendo le indicazioni del Data Protection Working Party, organo dell'UE preposto a consigliare gli stati membri su questo specifico argomento.
Proviamo a sintetizzare e semplificare il panorama attuale.
Affinchè un datore di lavoro o un amministratore di rete possano memorizzare e consultare informazioni sulle connessioni aziendali, è necessario ed imprescindibile che vengano rispettati i seguenti principi:
- Vi sia una reale e motivata necessità, ossia le attività di raccolta dati non siano di carattere generico e prive di un significativo scopo (volto a garantire la sicurezza, la continuità aziendale e a prevenire illeciti);
- Il lavoratore venga preventivamente ed accuratamente avvertito, garantendo sempre la trasparenza delle operazioni di verifica (Art. 4 Statuto dei Lavoratori);
- Chi esegue un controllo deve farlo proporzionalmente al fine, un controllo sproporzionato è esso stesso un illecito (se ad esempio si vuole appurare un'intrusione informatica su di un server pubblico e la raccolta dati sulla navigazione degli utenti non è necessaria, non va effettuata);
- I dati raccolti devono essere trattati in sicurezza e conservati per un periodo di tempo non superiore a quanto strettamente necessario.
Fatti salvi questi principi, dettati in appositi suggerimenti del Garante, ogni prova raccolta non in ottemperanza della Legge non è utilizzabile in sede giudiziaria e viene invalidata.
In relazione al principio di trasparenza, il Garante propone delle linee guida per la creazione delle Policy Aziendali, fondamentali affinchè il lavoratore venga adeguatamente informato. Eccone alcuni esempi:
- Indicare cosa è tollerato e cosa no (utilizzo di social network, ascolto di musica, visione di contenuti multimediali, etc.), ed in che fasce orarie;
- Indicare se è consentito l'utilizzo personale dei mezzi aziendali (posta elettronica, etc.), ed in che misura;
- Indicare quali informazioni sono memorizzate, per quanto tempo e con quali modalità verranno effettuati i controlli.
Il Garante, inoltre, consiglia l'adozione di strumenti atti a prevenire i controlli. Meglio (e lecito), quindi, bloccare i social network, piuttosto che analizzare i log alla ricerca di chi li usa.
Sono espressamente vietati dal Garante:
- I sistemi di ripresa audiovisiva in grado di risalire puntualmente alle attività svolte dai lavoratori, nello specifico è assolutamente vietato posizionare telecamere in grado di videoriprendere i monitor;
- I sistemi di memorizzazione immotivata di dati sensibili che possano dare indicazioni su orientamenti religiosi, politici e dati sensibili (quindi tutti i content filtering/proxy e logger delle pagine web);
- Keylogger ed ogni sistema in grado di memorizzare i caratteri digitati sul terminale;
- Programmi in grado di consentire l'analisi occulta delle macchine utilizzate dai lavoratori;