di Diego Meucci
La progressiva diffusione di nuove tecnologie e di apparati informatici, anche nell’ambito lavorativo, ha imposto alle aziende l’adempimento di una serie di specifici obblighi normativi e regolamentari.
Si ricorda, infatti, che già l’art. 4 dello Statuto dei Lavoratori impone al datore di lavoro l’adozione di un regolamento (o policy) contente adeguata informazione sulle modalità d’uso degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e sulle finalità di raccolta ed utilizzo dei dati trattati tramite detti apparati aziendali.
I datori di lavoro devono riportare nel regolamento anche i comportamenti vietati, al fine di evitare ogni possibile pregiudizio alla sicurezza dell’infrastruttura informatica, informando gli interessati dell’eventuale potere di controllo e/o disciplinare qualora venissero accertate, nel rispetto delle procedure e garanzie previste, condotte che integrino un uso improprio e non autorizzato degli strumenti.
Inoltre, il regolamento deve recepire e dare attuazione alle disposizioni normative ed ai principi previsti dal regolamento UE 2016/679, nonché ai provvedimenti emanati dal Garante per la protezione dei dati.
Il regolamento deve essere vincolante per tutti i lavoratori subordinati (anche in distacco, somministrazione, lavoro agile, telelavoro, ecc., senza distinzione di ruolo, qualifica e livello), nonché per i collaboratori (anche esterni) che operano su eventuali apparati aziendali.
Entrando nel merito del relativo contenuto, è necessario che il regolamento preveda, preliminarmente, un’esatta definizione di parole e termini tecnici che assumono, nell’ambito dello stesso, una precisa valenza sostanziale (quindi, esatta definizione dei termini quali antivirus, backup, data breach, file di Log, hardware, laptop, malware, software, titolare del trattamento, user ID, virus, wireless, ecc.).
Attraverso il regolamento, i dipendenti devono essere informati sulle modalità di impiego, custodia e restituzione degli apparati, ovvero sul divieto di effettuare download di software non autorizzati dall’azienda. Parimenti, il regolamento dovrà prevedere apposite procedure inerenti la creazione, custodia e rinnovo delle credenziali di accesso (userID e password) necessarie per il riconoscimento dell’utilizzatore, in modo da evitare accessi impropri e non autorizzati, con piena responsabilità del titolare di dette credenziali.
Sempre il regolamento dovrà contenere una disciplina per il corretto utilizzo di internet, la cui navigazione potrà essere limitata a soli scopi lavorativi e/o per la formazione e informazione professionale, inibendo l’accesso a contenuti vietati (relativi a siti di natura oltraggiosa, violenta o discriminatoria) mediante appositi filtri applicati direttamente sui server.
Anche con riferimento alla posta elettronica aziendale debbono essere introdotte norme per garantire la riservatezza delle credenziali di accesso al servizio, nonché sul corretto utilizzo dell’account aziendale, con la prescrizione che detto strumento deve essere impiegato per lo svolgimento dell’attività lavorativa e ferma la proprietà aziendale degli indirizzi di posta elettronica.
Risulta, altresì, fondamentale l’inserimento di una disciplina che preveda la possibilità di controlli da parte dell’azienda, sempre nel rispetto dei principi di liceità, pertinenza e non eccedenza, come disposto dal Garante. Oltre alle verifiche sulla funzionalità e sulla sicurezza degli strumenti, i controlli potranno essere finalizzati anche alla protezione del patrimonio dell’azienda, istituendo dei limiti alle dimensioni e formati dei file che possono essere trasmessi dagli account di posta.
Sempre nel regolamento dovranno essere previste informazioni riguardanti i periodi di conservazione dei file di Log e altre particolari disposizioni, relative all’accesso ai dati ed alla casella di posta, in caso di cessazione del rapporto di lavoro.
Sotto il profilo operativo è fondamentale che il regolamento sia comunicato e reso disponibile ai dipendenti all’atto dell’assunzione e poi conservato sulla intranet aziendale. Per i lavoratori già assunti, la comunicazione e accettazione può essere più difficoltosa, specie nelle aziende di notevoli dimensioni, per le quali si può pensare ad un invio via posta elettronica che contenga all’interno della mail una procedura da seguire per la registrazione su un server certificato dell’accettazione del regolamento da parte di ciascun dipendente, così da evitare possibili contestazioni in un eventuale giudizio.
Infine, è bene prevedere periodici aggiornamenti del regolamento, in modo da renderlo sempre più confacente al contesto aziendale di riferimento, alle evoluzioni tecnologiche ed alle linee guida del Garante privacy.
In assenza di regolamento, il datore di lavoro rischierà di veder pregiudicato il proprio potere disciplinare non potendo contestare al lavoratore l’illegittimità di determinate condotte senza un precedente ed espresso divieto.