Home / Blog / Il regolamento informatico aziendale

Il regolamento informatico aziendale

Inserito da Valentina Frediani 24 Aprile 2004 in Diritto delle nuove tecnologie

Pubblicato su Pm@business – Aprile 2004

dirittoinf_19798682_xxlL’illecito utilizzo della strumentazione informatica aziendale da parte dei dipendenti, può generare in capo all’azienda, una serie di responsabilità sia penali che civili, qualora non dimostri di aver adoperato tutte le precauzioni al fine di evitare il compimento delle stesse. Questo quanto emerge da un recente orientamento dottrinale, secondo cui il datore di lavoro può rispondere del reato di cui all’art. 40 del codice penale in caso di illecito commesso all’interno dell’azienda da un proprio dipendente, in quanto “non impedire un evento che si ha l’obbligo di impedire, equivale a cagionarlo”. Ovvero: non attivarsi al fine di impedire l’evento illecito posto in essere dal proprio dipendente, equivale a cagionare l’illecito stesso.

Facciamo degli esempi pratici. Pensiamo ad un dipendente che utilizzi la connessione ad internet al fine di scaricare mp3 illecitamente, o al fine di scambiare fotografie pedo-pornografiche con terzi soggetti. Ebbene, pur essendo percepibile una assenza di volontà contributiva nell’illecito del datore di lavoro, si potrà configurare una responsabilità oggettiva laddove non si sia adoperato al fine di evitare che l’utilizzo della rete non fosse prettamente aziendale.

Come cautelarsi dunque? Uno “strumento” può essere rappresentato dal regolamento informatico interno, ovvero da un documento redatto secondo la struttura e le esigenze aziendali, in cui siano contenute le specifiche relativamente all’utilizzo della strumentazione: dalla regolamentazione dell’installazione del software, a quella relativa all’uso della casella di posta elettronica. Il regolamento può pertanto definirsi come quello strumento di prevenzione in grado innanzi tutto di dimostrare l’attenzione e la volontà di evitare eventi estranei all’attività lavorativa da parte dell’azienda, e dall’altra come strumento di indicazione per i dipendenti su come utilizzare le risorse informatiche aziendali senza per questo incorrere, anche in buona fede, in illeciti. Non solo: il regolamento può rappresentare un momento evolutivo per l’azienda, laddove intervenendo in modo puntuale, consente di individuare quali limiti e quali diritti sono vigenti all’interno dell’ambiente lavorativo. In genere un regolamento lo si può strutturare partendo dalla disciplina relativa all’utilizzo dell’hardware: interesse dell’azienda potrà essere, ad esempio, proibire l’utilizzo di masterizzatori esterni, qualora non espressamente autorizzati.

Punto dolente appare poi indubbiamente la questione inerente il software: la guerra alla pirateria non consente alle aziende di abbassare la guardia, anzi al contrario, al di là delle ordinarie operazioni di controllo di corrispondenza tra programmi in uso e licenze, è doveroso un monitoraggio dei software scaricati dall’web o installati senza autorizzazione: pensiamo al rischio di sequestro cui si può incorrere qualora senza averne conoscenza, qualcuno all’interno dell’azienda, scarichi da internet programmi non licenziati e protetti da copyright: nel caso di intervento della Guardia di Finanza, ci saranno tutti gli estremi per la configurabilità della violazione della legge sul diritto d’autore laddove tutela la illecita riproduzione dei programmi (condotta costituente illecito). Dunque, l’azienda dovrebbe monitorare i programmi in uso presso i propri operatori. E parrebbe opportuno, qualora dovesse adottare un regolamento informatico, allegare allo stesso la mappatura del software il cui utilizzo è autorizzato sul singolo pc o presso i personal situati nei locali aziendali.

Altra questione riguarda internet e l’uso improprio che può esserne fatto.  Le statistiche dimostrano come le navigazioni sui siti pornografici siano particolarmente elevate durante gli orari diurni di lavoro: va da sé che il motivo è ricollegabile alle navigazioni “non autorizzate” conseguenti alla fornitura di connessione delle aziende ai propri operatori. Ciò può costituire un furto di tempo lavoro per l’azienda (e quindi già un danno) ma dall’altro può assumere forme più gravi, qualora la navigazione si concretizzi in illeciti penali: accennavamo allo scambio di immagini pedo-pornografiche: in caso di indagini la prima figura che emergerà nel procedimento di rintracciabilità, sarà l’azienda, e solo secondariamente ed eventualmente, la persona che materialmente ha posto in essere lo scambio incriminato. In relazione poi alla posta elettronica, occorre dire che in gran parte dei casi la casella fornita dal datore di lavoro è concepita come casella a doppia destinazione: personale ed aziendale. Eppure il datore di lavoro o un delegato potrebbero necessitare di prendere visione della posta elettronica aziendale: ma come farlo qualora siano presenti comunicazioni personali protette dalla tutela apprestata alla corrispondenza? Se non si vogliono rischiare pronunce negative del Garante per la privacy o querele per violazione della segretezza della corrispondenza, altro non resta che attendere la supervisione del dipendente per accedere alla posta aziendale.

La questione si presenta totalmente ribaltata nel caso in cui sia adottato dall’azienda un regolamento informatico interno. Questo andrà ad individuare in modo specifico la esatta destinazione della strumentazione informatica, evitando a priori che possano nascere equivoci relativamente al duplice utilizzo della stessa (aziendale e personale). Ecco che per la casella di posta elettronica data in dotazione dall’azienda, potrà essere indicato un uso esclusivamente di tipo aziendale, in quanto bene aziendale; e così per le navigazioni  (salvo il rispetto di un generico principio di tollerabilità secondo cui saranno limitatamente ammesse le navigazioni di breve durata anche se non attinenti la materia lavorativa) e per altri aspetti che chiariranno la posizione aziendale andando a definire esattamente l’ambito di interoperabilità tra dipendente e strumenti informatici. Per il datore di lavoro sarà così possibile accedere liberamente alla posta presumendosi questa di solo interesse aziendale, senza calpestare in alcun modo diritti dei proprio dipendenti; sarà possibile poi controllare i log di connessione per prevenire eventuali navigazioni che comportino commissioni di illeciti, provvedendo a depennare quella responsabilità originariamente descritta, di mancato impedimento dell’illecito. Il regolamento perché valido occorre però che sia sottoscritto da ciascun dipendente, previa consenso delle rappresentanze sindacali interne o in assenza, dell’Ispettorato del lavoro. Difatti, le questioni attinenti in particolare il controllo della posta elettronica o dei log di connessione potrebbero comportare una violazione dello Statuto dei lavoratori laddove non attuate nel pieno rispetto dell’iter previsto dall’art. 4 il quale dispone:  <<È vietato l´uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell´attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell´attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l´Ispettorato del lavoro, dettando, ove occorra, le modalità per l´uso di tali impianti>>.

Addentriamoci brevemente nella potenziale struttura del regolamento: alla già accennata disciplina relativa all’uso della strumentazione, del software, della posta elettronica e di internet, appare ragionevole – nell’occasione della distribuzione del regolamento – affrontare anche altri temi sensibili per l’azienda: si pensi come con l’entrata in vigore dal primo gennaio 2004 del nuovo Codice in materia di protezione dei dati personali, emerga essenziale impartire istruzioni agli operatori circa le modalità e le precauzioni da adottare in occasione del trattamento dati: dalla segretezza, alla riservatezza di taluni, alle modalità di back-up. Centrale inoltre l’indicazione relativamente alla custodia, conservazione e controllo dei dati informatici, o del divieto relativo all’utilizzo di supporti informatici estranei all’ambito aziendale (fonte primaria di virus). Insomma, il regolamento può rappresentare uno strumento in grado di arginare problematiche anche funzionali dell’azienda. Non resta dunque che redigere il regolamento nel pieno rispetto dei diritti dei lavoratori e seguendo il principio della prevenzione, che nell’ambito informatico sta acquistando sempre più valore laddove un’azienda intenda crescere nell’era dell’informatizzazione.

Don`t copy text!