Non esiste ormai un posto di lavoro dove non vi siano dei sistemi informatici il cui utilizzo è necessario per svolgere le nostre mansioni lavorative: ma quando questi si considerano “abusivi”?
Anche in quelle professioni e ruoli dove sono meno utilizzati, sono tanti gli strumenti informatici affidati ai dipendenti, compreso il PC, strumenti di lavoro a tutti gli effetti.
È quindi sempre più necessario che ogni dipendente, qualsiasi sia il ruolo che esso ricopre nella struttura aziendale ed il livello nel quale è posizionato, sia consapevole che gli strumenti forniti sono di proprietà dell’Ente o azienda e devono essere utilizzati esclusivamente per finalizzare la propria prestazione lavorativa. Ogni utilizzo non strettamente connesso all’attività lavorativa può innescare disservizi, creare problemi di costi e di manutenzione e, soprattutto, rappresentare una minaccia alla sicurezza dell’intera rete aziendale.
Regolamento per l’utilizzo dei sistemi informatici
Sono questi i principali motivi che hanno spinto sempre più realtà aziendali ad adottare un Regolamento sull’uso degli strumenti informatici aziendali, la cui adozione è raccomandata anche il Garante per la protezione dei dati personali.
Questo regolamento interno è bene sia definito con il coinvolgimento delle rappresentanze sindacali e nel rispetto della Legge 20.05.1970, n. 300 dello Statuto dei lavoratori, del Regolamento (UE) n. 2016/679 (GDPR) e del Decreto Legislativo 30.06.2003, n. 196 del Codice in materia di protezione dei dati personali.
Ragioni di servizio
Innanzitutto nell’utilizzare gli strumenti informatici messi a disposizione dall’azienda il dipendente è tenuto al rispetto degli obblighi di cui agli articoli 2104 e 2105 del codice civile, utilizzandoli esclusivamente per ragioni di servizio. Ogni comportamento difforme può causare gravi rischi alla sicurezza ed all’integrità dei sistemi aziendali e proprio per questo è essere oggetto di valutazione da un punto di vista disciplinare oltre che da un punto di vista penale. Esistono delle “Linee guida del Garante per posta elettronica e internet” in Gazzetta Ufficiale n. 58 del 10 marzo 2007.
Formazione sul trattamento dei dati
L’azienda è tenuta a garantire a tutti i soggetti autorizzati a trattare i dati un’adeguata e continuativa formazione in merito ai rischi e alle problematiche relative alla sicurezza in materia di trattamento dei dati tramite l’utilizzo degli strumenti informatici. Il Regolamento Europeo 679/16 “General Data Protection Regulation” garantisce al singolo lavoratore il totale controllo sui propri dati personali in base a quanto previsto dagli articoli 15-16-17-18-20-21-77 del Reg. 2016/679.
Protezione con password e username
È importante che l’accesso a tutti gli strumenti sia protetto da password e username assegnate dall’Amministratore di Sistema. Dati strettamente personali che l’utente è tenuto a conservare nella massima segretezza. È importante porre massima attenzione alla cura con cui vengono custoditi questi dati e responsabilizzare i dipendenti, certamente non con post-it attaccati al PC. Proprio in merito all’utilizzo delle proprie credenziali la Corte di Cassazione ha recentemente stabilito che il reato di accesso abusivo a sistemi informativi si configuri anche nel caso in cui le credenziali di accesso vengano utilizzate da parte di un collega superiore in gerarchia, se non direttamente autorizzato.
Quando sono abusivi gli accessi ai sistemi informatici?
La Suprema Corte ha riconosciuto come la decisione del datore di lavoro di proteggere la banca dati aziendale con credenziali di accesso assegnate solo a specifici soggetti autorizzati rappresentasse una chiara manifestazione della sua volontà di limitare l’accesso a quei dati. Il limite all’accesso includeva specificamente anche coloro che, pur avendo un ruolo gerarchico rilevante all’interno dell’organizzazione, non erano stati autorizzati personalmente e direttamente a utilizzare tali credenziali.
La sentenza della Corte di Cassazione n. 40295, depositata il 31 ottobre scorso fa riferimento alla vicenda di un impiegato in un albergo toscano era solito richiedere ad una collega l’utilizzo delle di lei user e password per accedere al sistema informatico aziendale, un database di circa 90.000 clienti, che poi utilizzava per scopi non autorizzati.
La sentenza richiama l’art. 615 ter, comma 1, del Codice Penale e ribadisce il concetto ed i limiti dell’accesso a sistemi informatici, di proprietà aziendale che recita “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”
A nulla è valsa la posizione dell’impiegato che di fatto occupava un ruolo gerarchico superiore, nella sentenza, anzi, poteva essere anche un dato a discapito, fornendo motivi di pressione, anche psicologica sulla dipendente al fine di lasciargli usare le proprie password.
Il Legislatore con l’art. 615 ter, comma 1, del Codice Penale alla base della sentenza, ha quindi voluto garantire una protezione rafforzata al “domicilio informatico” dell’utente, sia che esso sia persona fisica che persona giuridica, considerandolo come uno spazio privato e riservato. L’obiettivo della norma è quello di garantire che i dati e le informazioni digitali siano protetti e accessibili solo a chi è il vero titolare del diritto di accedervi.
