Su PMI.it abbiamo recentemente affrontato il tema dei controlli informatici sui dipendenti da parte dei datori di lavoro.
Molti sono stati i commenti di imprenditori che reputano lecito il controllo continuato e puntuale delle attività dei loro dipendenti, anche se apertamente in contrasto con la normativa vigente.
La posizione dei datori di lavoro sembra essere riassumibile in “io fornisco gli strumenti di lavoro, pretendo che siano usati solo per le mie attività aziendali e voglio poterlo controllare puntualmente”. Questa assunzione presuppone una sfiducia preventiva verso il lavoratore, una forma di preconcetto che, a priori, dovrebbe essere giustificato.
D'altronde è purtroppo diffuso, da parte dei lavoratori, un certo malcostume relativo alla “perdita di tempo” perpetrato mediante navigazione su siti web estranei all'attività lavorativa o attraverso l'utilizzo di social network per comunicare con i propri amici.
Ovviamente, non stamo parlando di azioni dolose di furto o diffusione di dati aziendali riconducibili allo spionaggio industriale, che sono ovviamente illecite!
Come può, quindi, un datore di lavoro difendersi senza ledere i diritti dei lavoratori? La risposta è nei mezzi preventivi, ossia nellistituzione di una serie di regole, processi e strumenti che aiutino a limitare l’uso del Web, della posta elettronica o di altri strumenti ritenuti di lavoro, senza la necessità di dover controllare costantemente l'operato del dipendente.
Inizialmente devono essere istituite delle regole, una sorta di “codice etico” interno che stabilisce le modalità di lavoro e identifica i comportamenti incongrui, inadatti o illeciti per lo svolgimento della mansione.
L'istituzione di questa sorta di decalogo costituisce una modalità di avviso per i dipendenti a cui può seguire una verifica periodica di controllo. Tuttavia il controllo non può e non deve essere continuato nel tempo, altrimenti lede la dignità del lavoratore e come tale è vietato per legge. A tal fine infatti i video controlli e quelli effettuati mediante memorizzazione continuata dei log dei sistemi informatici che supportano il lavoro dei dipendenti sono espressamente vietati. Licenziamenti su tali basi sono stati giudicati illeciti e annullati con reintegro immediato del dipendente.
È necessario, quindi, istituire delle forme di prevenzione. In ambito navigazione web è possibile limitare l'accesso ad alcuni siti raggruppati nella medesima categoria (porno, social networks) o mediante parole chiave (facebook, sex, chat.
Le regole devono essere inserite a livello di proxy server o di firewall, in modo che qualsiasi sito web che rientri in queste categorie sia bloccato.
Sui firewall esistono dei servizi attivabili di DLP(Data Loss Prevention) l'approccio grazie al quale è possibile controllare i dati in base ai contenuti indipendentemente da dove il dato risieda o transiti. Attivare questo servizio significa proteggere i dati riservati o giudicati critici prevenendo manipolazioni non autorizzata, perdita accidentale o da furto.
All'interno del sistema di posta agendo sulle impostazioni, si possono limitare le dimensioni degli allegati o vietarne completamente la gestione, per evitare l'invio verso l'esterno di materiale aziendale. Inoltre si possono creare account aziendali non nominativi ma legati all'attività svolta dal dipendente (acquisti, magazzino, fatturazione ecc.) si ottiene così un duplice vantaggio: in assenza del dipendente che lo impiega abitualmente, l'account è utilizzabile per esigenze di lavoro da un altro dipendente in modo interscambiabile senza che vengano violate le credenziali di accesso del singolo.
Sull'account aziendale è possibile istituire controlli perché non è in carico ad un singolo e chi lo utilizza in modo personale o a fini di spionaggio industriale compie un illecito a tutti gli effetti.