Le normative sulla privacy consentono alle imprese di intervenire sull’utilizzo delle risorse It da parte dei dipendenti
Le sentenze e i pronunciamenti del Garante sul tema della privacy in azienda si susseguono, le tecnologie sono sempre più evolute e i responsabili sempre più preparati, ma le problematiche delle imprese italiane rimangono sempre le stesse. Nei nostri ambienti di lavoro non è raro, infatti, imbattersi in post-it attaccati sui monitor dei pc aziendali che rivelano le (troppe) password di sicurezza. Addirittura in molti casi più utenti accedono a un solo pc utilizzando un unico set di credenziali. Sono poi pochissimi i dipendenti che conoscono e rispettano le disposizioni in materia, e ancora troppo rare le aziende che controllano le navigazioni Web degli utenti. I rischi di questi comportamenti “sbagliati” sono molteplici, con conseguenze che vanno dal semplice danno economico sino alle responsabilità in ambito penale. È questa la situazione tratteggiata in occasione del convegno “Privacy in azienda”, organizzato da Microsoft Italia, che si è poi focalizzato soprattutto sul tema della sicurezza aziendale.
La recente presa di posizione del Garante
Questi temi sono tornati di stretta attualità in seguito alla recente decisione del Garante della privacy, che ha prorogato al 30 giugno 2009 i termini per l’adozione da parte di enti, amministrazioni pubbliche, società private, delle misure tecniche e organizzative che riguardano la figura degli “amministratori di sistema”. Ma tale decisione, ha spiegato l’avvocato Valentina Frediani «È solo l’ultimo pronunciamento in materia dell’Autorità per la protezione dei dati personali, che in questi anni ha cercato di far diventare la privacy un vero valore aggiunto per le aziende».
L’importanza del regolamento informatico
Troppo spesso, invece, si sottolineano soltanto gli aspetti punitivi per il dipendente e per le aziende: «Le aziende devono formalizzare – ha puntualizzato il legale – le procedure di controllo sulle attività Internet dei propri dipendenti. Questo non significa però decidere dalla sera alla mattina di spiare sistematicamente la cronologia di navigazione di un singolo dipendente. Le leggi sulla privacy, tra l’altro, non lo consentono (il controllo individuale è possibile solo se dall’analisi generale si evidenzia qualcosa di anomalo). Si tratta invece di adottare anche nelle Pmi un regolamento informatico che stabilisca in maniera chiara e univoca quali sono i limiti dei dipendenti in relazione alle risorse informatiche. Queste regole, ovviamente, devono essere accompagnate da un’intensa attività di formazione».
L’accesso al Web
Un regolamento informatico, ad esempio, può servire a stabilire se la mail aziendale debba avere un utilizzo esclusivamente professionale oppure ne consenta anche un uso privato. Nel primo caso l’azienda, in caso di assenza del dipendente, è autorizzata ad aprire la sua posta elettronica, nella seconda fattispecie non lo è. Sul tema privacy-sicurezza è intervenuto anche il consulente informatico Fabrizio Grossi, che ha sottolineato come «Da un punto di vista tecnico è davvero molto semplice, oltreché del tutto sensato, impedire l’accesso dei dipendenti a siti Internet che non hanno attinenza con l’ambito lavorativo (come ad esempio Facebook)». « Più difficile – ha concluso l’esperto – è invece la questione delle password aziendali. Se sono troppo complesse, solitamente l’utente tende a scriverle da qualche parte. La soluzione ideale sarebbe quella di legare l’accesso al pc aziendale a una smart card dotata di Pin. Si tratta di una tecnologia sicura e poco costosa, che però sinora in Italia ha incontrato molte resistenze».
