Una cosa è certa: «Chiarito che la sicurezza al 100% è un’utopia, bisogna cercare di gestire al meglio i rischi cosa che è possibile solamente dopo aver eseguito un’attenta analisi delle caratteristiche e del business di ciascuna azienda» ha affermato Elio Molteni, executive security advisor di Ca Italy.
Come sottolinea Valeria Genesio, direttore affari legali e societari del gruppo Norman, le aziende destinano il 20% delle risorse dedicate alle innovazioni tecnologiche, in software e corsi su privacy e sicurezza cui sottoporre i dipendenti.
La tendenza aziendale è quella di impedire che i propri dipendenti possano collegarsi a siti extra-lavoro non conosciuti, non garantiti e che possano creare, per questo, falle nei sistemi di sicurezza informatici. Si pensi ai siti turistici, pornografici, pedopornografici, di trading ecc. cui si tenta di porre argine con sistemi Trust Secure Content Manager con caratteristiche antivirus, antispamming e Url filtering.
Il comportamento poco corretto dei dipendenti, dunque, è un aspetto fondamentale per la sicurezza dei sistemi informatici: «Su 100 reati, 60 sono compiuti da dipendenti» secondo Paola Guerra docente di Risk and crisis management del centro di ricerca Space della Bocconi.
Le aziende predispongono: propri sistemi, firewall a mo di filtri tra l’approccio informatico ed internet sul posto di lavoro affiancando a questi, procedure policy continuamente aggiornate. Per esempio, il cambio periodico delle credenziali di ciascun utente.
I corsi di preparazione aziendale, vertono anche a scongiurare comportamenti che inconsapevolmente possono condurre i dipendenti a causare danni in maniera involontaria. Tutte queste attività devono garantire l’inviolabilità della privacy e la produttività dei dipendenti permesso che questi ultimi debbano agire e lavorare nel rispetto delle regole etiche e di fedeltà alle linee aziendali.
La “distrazione” dei mezzi di lavoro, il peculato ad uso e consumo privato del dipendente, il collegamento ad internet per necessità che esulano dal mansionario, sono di per sé stesse, punite e disciplinate dal codice penale. Ma il rispetto della privacy, tra sistemi antivirus, liste nere di siti e programmi pericolosi, newsletter che insegnano ad usare senza rischi l’e-mail, software, policy, riduzioni di password ecc., è necessario tenere presente il codice deontologico che il garante impone al datore di lavoro di indagare su quali siti internet il dipendente si sia collegato: «E’ stato dichiarato illegittimo – in una decisione del Garante del 2 febbraio – il comportamento del datore di lavoro in quanto l’azienda è andata a vedere quali siti il dipendente aveva visitato e l’analisi di questi ultimi ha costituito un trattamento dei dati sensibili del lavoratore».
In questo caso, il datore di lavoro aveva scoperto che il lavoratore si era connesso a siti internet di fattura politica-religiosa e pornografica, cioè siti caratterizzanti le sue tendenze religiose ed i suoi gusti sessuali qualificabili quali dati sensibili.
Il comportamento del datore di lavoro è stato riconosciuto scorretto dal Garante che gli ha imposto il pagamento di 500 euro a titolo di risarcimento e non perché non avesse diritto al controllo di un uso corretto delle tecnologie conforme alle mansioni del proprio dipendente, comunque, sempre previo preavviso, ma per aver invaso sfere privatissime del lavoratore non utili e neanche indispensabili a scoprire le sue manchevolezze.
Il Garante, con questa decisione, stabilisce un principio, cioè: seppur legittimo ed importante per la sicurezza dei sistemi informatici, il controllo da parte del datore di lavoro sull’operato dei suoi dipendenti, deve avvenire nel rispetto rigoroso della privacy.
