Licenziamento illegittimo se il datore di lavoro utilizza sistemi informatici di controllo a distanza

marzo 28, 2010

Pronunciandosi per la prima volta sul tema, la S.C. ha affermato che i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet dei dipendenti sono necessariamente apparecchiature di controllo, soggette alle condizioni di cui all’art. 4 dello Statuto dei lavoratori. Con Sentenza depositata il 23 febbraio 2010 la Suprema Corte ha avuto modo di esaminare il caso di una dipendente che è stata licenziata per aver navigato su siti web non pertinenti all’attività lavorativa. Il datore di lavoro aveva effettuato in due momenti diversi dei controlli mediante l’utilizzo di un software apposito (Super Scout) dai quali è emersa una condotta difforme dal Regolamento aziendale che discpilina l’utilizzo di Internet e della posta elettronica. Rimandando alla Sentenza (n° 4375 del 23.2.2010 Sez. lavoro) per l’esposizione completa dei fatti, ciò che merita attenzione in questa sede è il costume diffuso in ambito aziendale privato (ma anche nel settore pubblico) di impiegare strumenti per il monitoraggio della rete ritenendoli legittimi alla stregua dei cd. “controlli difensivi”. In verità, come andiamo dicendo da anni, siamo nell’ambito dell’art. 4 dello Statuto dei Lavoratori e ciò comporta necessariamente il rispetto dei presupposti ivi previsti in tema di utilizzabilità di sistemi di controllo a distanza, ossia particolari esigenze organizzative, produttive o di sicurezza e comunque previo accordo con le rappresentanze sindacali oppure l’autorizzazione del competente Ispettorato provinciale del Lavoro.

La Cassazione, confermando quanto affermato dalla Corte di Appello, ha sostenuto che “i programmi informatici che consentono il monitoraggio della posta elettronica e degi accessi internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione, l’attività lavorativa e se la stessa sia svolta in termini di diligenza e corretto adempimento (nel caso de quo, delle direttive aziendali)“.

La stessa Corte di Appello aveva avuto modo di evidenziare che “ciò è evidente laddove nella lettera di licenziamento i fatti accertati mediante il software sono utilizzati per contestare alla lavoratrice la violazione dell’obbligo di diligenza sub specie di aver utilizzato tempo lavorativo per scopi personali (e non si motiva invece su una particolare pericolosità dell’attività di collegamento in rete rispetto all’esigenza di protezione del patrimonio aziendale)“.

In quest’ultima frase ritengo risieda la chiave di lettura della Sentenza in esame.

Infine va rilevato che i fatti contestati risalgono a diversi anni fa, prima dell’entrata in vigore del D.Lgs. 196/2003 e prima dei numerosi provvedimenti del Garante Privacy, in particolare quello sull’utilizzo di Internet e Posta elettronica nei luoghi di lavoro (doc. web n° 1387522) e sugli Amministratori di Sistema (doc. web n° 1577499).

Viene da chiedersi se attualmente le politiche di sicurezza aziendali siano rispettose della dignità e della riservatezza dei lavoratori, ma soprattutto se questi ultimi ne siano al corrente.


Privacy e Amministratori di Sistema: un aiuto per la gestione dei log (2^ parte)

marzo 22, 2010

Riprendiamo il discorso iniziato la settimana scorsa relativo al Provvedimento sugli Ammministratori di Sistema. Dopo aver brevemente accennato ai punti essenziali dell’intervento del Garante, torniamo all’argomento che mi interessava maggiormente approfondire dato che in rete non si trovano molte notizie.

Esistono, infatti, alcuni sistemi/software che possono aiutare il Titolare a essere in regola con il provvedimento del 27 novembre 2008 senza dover avvalersi della “scappatoia” introdotta dall’authority con le “integrazioni” al provvedimento stesso.

E’ del tutto evidente, infatti, che gli strumenti presenti nei sistemi operativi, checchè ne dica il Garante, non consentono una gestione dei log ottimale. In particolare dalla mia esperienza emerge una quasi impossibilità di trattare separatamente i dati relativi agli accessi (tentati o meno, è bene ricordarlo) degli AdS rispetto a quelli degli altri utenti.

Inoltre è ugualmente difficile poter garantire la conservazione dei log per il periodo richiesto dal Provvedimento, dato che usualmente per i log viene fissata una dimensione massima, che una volta raggiunta comporta la riscrittura di quelli più risalenti. Risulta quindi difficile poter garantire la conservazione per i sei mesi richiesti.

Non occorre neanche ribadire, poi, che i sistemi integrati nei sistemi operativi nulla possono garantire in relazione all’inalterabilità e alla integrità degli stessi.

Vediamo, ora, alcune delle soluzioni che ho potuto esaminare nel corso della mia attività. Premetto che questa elencazione non ha pretesa di essere esauriente e di ricomprendere tutte le possibili soluzioni esistenti sul mercato. Si tratta solo delle possibilità che un mio cliente (un ente formativo di grandi dimensioni) ha preso in considerazione per cercare di adempiere al meglio alle prescrizioni del Garante.

Le soluzioni prese in considerazioni (sono state escluse direttamente quelle che, pur ottimali, comportavano esborsi eccessivi) sono le seguenti:

Legal Logger

Soluzione pensata appositamente per risolvere le problematiche relative al Provvedimento a carattere generale del 27 novembre 2008 (e questo forse è un limite).

Legal Logger è costituito da un sistema hardware /software, permette di poter registrare e conservare i log delle attività degli Amministratori di Sistema e di marcarli con firma digitale e marca temporale.

Il sistema garantisce:

1) raccolta giornaliera dei log di autenticazione utente

2) inserimento di una firma digitale e di una marca temporale

3) trasferimento dei log in un archivio centralizzato dove vengono mantenuti sicuri (backup) per il tempo richiesto dal provvedimento

Per maggiori dettagli si veda il sito www.legallogger.com

Corner Bowl Log Manager

Si tratta di una soluzione nata per la gestione dei log, e non per venire incontro alle richieste del Garante. A differenza di Legal Logger non prevede un sistema di firma digitale, di contro non richiede un apposito hardware per funzionare.

Schermata principale di Corner Bowl


Altro aspetto positivo è quello di essere in grado di registrare gli accessi che gli AdS effettuano non solo sui server, ma anche sui singoli terminali e sui dispositivi di rete, senza che sia necessario installare agent sui terminali.

Per maggiori informazioni potete consultare il sito internet www.diskmonitor.com/Log-Manager


Privacy e Amministratori di Sistema: un aiuto per la gestione dei log (1^ parte)

marzo 18, 2010

Con l’avvicinarsi della fatidica data del 30 marzo torna prepotentemente d’attualità la privacy.

Quello di cui mi voglio brevemente occupare riguarda gli adempiment richiesti dal Provvedimento a carattere generale del 27 novembre 2008, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema“.

Come è noto questo provvedimento (su cui ritorneremo in un altro intervento) ha reitrodotto la mai troppo rimpianta figura dell’amministratore di sistema (di seguito AdS). Pur partendo da  considerazioni condivisibili,(l’ammministratore di sistema ha pieni poteri sui dati trattati dal titolare), il risultato non è stato quello sperato.

Partendo dal fatto che nel provvedimento non viene data una definizione precisa di chi è questo soggetto (cosa che, pur ammettendo le difficoltà, stride comunque quando si pensa alle definizioni precise contenute nel D.Lgs. 196/03) le misure proposte spaziano dalla (almeno formale…) utilità alla palese inapplicabilità.

Sintetizzando il Provvedimento introduce cinque nuovi adempimenti:

  1. Valutazione delle caratteristiche soggettive degli AdS;
  2. Designazioni individuali degli AdS;
  3. Tenuta di un aggiornato elenco degli AdS;
  4. Verifica delle attività degli AdS;
  5. Registrazione degli accessi.

Qui mi voglio concentrare solo sul punto 5), che, alla luce della mia esperienza, è quello che ha fatto sorgere i problemi maggiori. Il provvedimento stabilisce che:

“Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.”

Come si può ben capire, introdurre l’obbligatorietà di un sistema che registri gli accessi (riusciti  o solo tentati) ai sistemi (sia ai server che ai terminali!) e che conservi tali registrazioni per almeno 6 mesi garantendone la completezza, l’integrità e l’inalterabilità non è questione di poco conto. Anzi, in sincerità, ben poche delle realtà che ho avuto modo di assistere erano in grado (o avevano voglia) di investire le risorse necessarie per mettersi in regola con il Provvedimento. Anche perchè quando si parla di immodificabilità e integrità all’informatico e al giurista cominciano a tremare le gambe, pensando a tutte le problematiche connesse all’uso della firma digitale (che nel nostro ordinamento è lo strumento in grado di garantire quelle caratteristiche) in un sistema di gestione dei log.

Il risultato? Il Garante è dovuto correre ai ripari, “mitigando” questa misura che, diversamente, rischiava di rimanere lettera morta. Tralasciando la forma “curiosa” che è stata utilizzata (il provvedimento non è stato modificato, ma sono state aggiunte in calce delle FAQ contenenti una sorta di “interpretazione autentica” delle disposizioni…), la misura è stata sostanzialmente svuotata del suo contenuto dirompente.

L’integrità, spiega il Garante nella FAQ n° 12, ben può essere garantita dagli strumenti già presenti nei principali sistemi  operativi(!), e lo stesso dicasi per l’inalterabilità (!!!). Si consiglia, eventualmente, la periodica esportazione dei dati di log su supporti di memorizzazione non riscrivibili. Solo nei casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

Risulta quindi evidente che almeno formalmente tutti i titolari saranno in grado di mettersi in regola in vista di un ipotetico controllo. Quello che è certo, ad ogni modo, è che si è passati da un estremo all’altro: prima un rigore eccessivo, poi, uno svuotamento sostanziale della misura.

Una buona via di mezzo è costituita da quei sistemi che si occupano di gestire i log: senza arrivare all’estremo dei server log certificati, questi strumenti consentono, ad un prezzo ragionevole, una gestione dei log certamente in regola con la ratio del provvedimento e che può anche rivelarsi utile nell’amministrazione delle risorse aziendali.

Di questo mi occuperò nella seconda parte dell’intervento…