Per prevenire un incidente relativo alla sicurezza informatica o un data breach (quindi un incidente di sicurezza che ha un impatto sulla privacy degli interessati), o più in generale comportamenti illeciti o scorretti da parte dei dipendenti, è opportuno che l’azienda si doti di un regolamento che disciplini l’utilizzo degli strumenti informatici.
Anche il Garante per la protezione dei dati personali si è pronunciato favorevolmente in proposito raccomandando l’adozione di tale strumento da parte dei datori di lavoro pubblici e privati.
Chiaramente un tale documento non ha un contenuto uniforme ma può essere personalizzato a seconda delle necessità dell’organizzazione che lo adotta.
A prescindere dal contenuto del regolamento, il dipendente è tenuto ad utilizzare gli strumenti messi a disposizione dall’azienda con la massima diligenza, nel rispetto di quanto stabilito dagli articoli 2104 e 2105 del codice civile.
Comportamenti difformi possono causare gravi rischi alla sicurezza ed all’integrità dei sistemi aziendali e possono avere ripercussioni dal punto di vista penale e disciplinare.
Il contenuto del regolamento
E’ opportuno specificare nel testo del regolamento che gli strumenti informatici messi a disposizione dall’azienda (ad es. pc, smartphone, e-mail) sono strumenti di lavoro forniti al solo fine di svolgere l’attività lavorativa.
Questo comporta il divieto di utilizzarli per scopi personali. Ogni utilizzo non conforme può infatti creare problematiche legate alla sicurezza e disservizi a tutta l’organizzazione aziendale.
E’ poi il caso di spiegare al lavoratore in maniera più dettagliata come devono essere utilizzati gli strumenti messi a disposizione dall’azienda, specificando i comportamenti vietati e quelli obbligatori.
Ad esempio può essere prevista una procedura per la creazione e la gestione di username e password di accesso ai dispositivi e alle mail, che devono soddisfare determinati requisiti di complessità e devono essere conservate con modalità che ne garantiscano la riservatezza.
Inoltre, per prevenire virus e rischi per la sicurezza informatica, può essere vietata la navigazione su siti non sicuri.
E’ consigliabile anche prevedere il divieto di installare e utilizzare programmi senza l’autorizzazione dell’amministratore di sistema. Infatti l’utilizzo indiscriminato di software può comportare rischi per la sicurezza e, in caso violazione di licenze, può esporre l’azienda a gravi responsabilità legali.
E’ opportuno anche stabilire il divieto di trasferire la documentazione e il materiale digitale di proprietà dell’azienda alla e-mail personale del dipendente o su device esterni senza previa autorizzazione.
L’utilizzo dell’e-mail
Come qualsiasi altro strumento elettronico, anche l’e-mail assegnata al dipendente deve essere utilizzata in conformità alle direttive del datore di lavoro.
Solitamente ad ogni dipendente viene fornito un account e-mail nominativo. Tale account deve essere utilizzato esclusivamente per scopi lavorativi, ed è assolutamente vietato ogni utilizzo di tipo privato.
Anche l’iscrizione a mailing-list o newsletter esterne con l’indirizzo aziendale è normalmente concessa solo per motivi lavorativi.
Nei messaggi inviati tramite e-mail aziendale è opportuno prevedere l’aggiunta in calce di un testo che spiega che il messaggio ha carattere confidenziale e che se è stato ricevuto per errore deve essere eliminato.
Nei regolamenti aziendali è solitamente vietato inviare catene di Sant’Antonio o aprire documenti allegati a messaggi di questo tipo.
Durante i periodi di assenza è consigliabile prevedere l’adozione di un messaggio “out of office” che contenga un indirizzo alternativo al quale poter inoltrare la comunicazione.
I controlli
Il regolamento può anche contenere le motivazioni, le tempistiche e le modalità di svolgimento di eventuali controlli, che in ogni caso dovranno essere limitati nel tempo e strettamente connessi alla finalità perseguita.
Il lavoratore inoltre dovrà essere informato in modo preciso sulle conseguenze, anche di tipo disciplinare, applicabili in caso di violazione del regolamento.
Come mettere i dipendenti a conoscenza del regolamento
E’ importante che il regolamento venga effettivamente messo a conoscenza dei dipendenti. A tal fine una buona soluzione è quella di inviarlo via e-mail o consegnarlo ai dipendenti, farlo firmare per accettazione e se possibile, renderlo disponibile sulla bacheca aziendale.
Bisogna poi spiegare il contenuto ai dipendenti e vigilare sull’effettivo rispetto di quanto contenuto nel documento.
Se avete bisogno di supporto nella predisposizione del vostro regolamento potete contattarci. RUP Legal and Consulting è a vostra disposizione.
Commenti