Il ruolo del regolamento informatico
aziendale
L’illecito utilizzo della strumentazione informatica
aziendale da parte dei dipendenti, può generare in capo all’azienda, una serie
di responsabilità sia penali che civili, qualora non dimostri di aver adoperato
tutte le precauzioni al fine di evitare il compimento delle stesse. Questo
quanto emerge da un recente orientamento dottrinale, secondo cui il datore di
lavoro può rispondere del reato di cui all’art. 40 del codice penale in caso di
illecito commesso all’interno dell’azienda da un proprio dipendente, in quanto
“non impedire un evento che si ha l’obbligo di impedire, equivale a
cagionarlo”. Ovvero: non attivarsi al fine di impedire l’evento illecito posto
in essere dal proprio dipendente, equivale a cagionare l’illecito stesso.
Facciamo degli esempi pratici.
Pensiamo ad un dipendente che utilizzi la connessione ad
internet al fine di scaricare mp3 illecitamente, o al fine di scambiare
fotografie pedo-pornografiche con terzi soggetti. Ebbene, pur essendo
percepibile una assenza di volontà contributiva nell’illecito del datore di
lavoro, si potrà configurare una responsabilità oggettiva laddove non si sia
adoperato al fine di evitare che l’utilizzo della rete non fosse prettamente
aziendale.
Come cautelarsi dunque? Uno “strumento” può essere
rappresentato dal regolamento informatico interno, ovvero da un documento
redatto secondo la struttura e le esigenze aziendali, in cui siano contenute le
specifiche relativamente all’utilizzo della strumentazione: dalla
regolamentazione dell’installazione del software, a quella relativa all’uso
della casella di posta elettronica.
Il regolamento può pertanto definirsi come quello
strumento di prevenzione in grado innanzi tutto di dimostrare l’attenzione e la
volontà di evitare eventi estranei all’attività lavorativa da parte
dell’azienda, e dall’altra come strumento di indicazione per i dipendenti su
come utilizzare le risorse informatiche aziendali senza per questo incorrere,
anche in buona fede, in illeciti. Non solo: il regolamento può rappresentare un
momento evolutivo per l’azienda, laddove intervenendo in modo puntuale,
consente di individuare quali limiti e quali diritti sono vigenti all’interno
dell’ambiente lavorativo.
In genere un regolamento lo si può strutturare partendo
dalla disciplina relativa all’utilizzo dell’hardware: interesse dell’azienda
potrà essere, ad esempio, proibire l’utilizzo di masterizzatori esterni,
qualora non espressamente autorizzati. Punto dolente appare poi indubbiamente
la questione inerente il software: la guerra alla pirateria non consente alle
aziende di abbassare la guardia, anzi al contrario, al di là delle ordinarie
operazioni di controllo di corrispondenza tra programmi in uso e licenze, è
doveroso un monitoraggio dei software scaricati dall’web o installati senza
autorizzazione: pensiamo al rischio di sequestro cui si può incorrere qualora
senza averne conoscenza, qualcuno all’interno dell’azienda, scarichi da
internet programmi non licenziati e protetti da copyright: nel caso di
intervento della Guardia di Finanza, ci saranno tutti gli estremi per la
configurabilità della violazione della legge sul diritto d’autore laddove
tutela la illecita riproduzione dei programmi (condotta costituente illecito).
Dunque, l’azienda dovrebbe monitorare i programmi in uso presso i propri
operatori. E parrebbe opportuno, qualora dovesse adottare un regolamento
informatico, allegare allo stesso la mappatura del software il cui utilizzo è
autorizzato sul singolo pc o presso i personal situati nei locali aziendali.
Altra questione riguarda internet e l’uso improprio che
può esserne fatto.
Le statistiche dimostrano come le navigazioni sui siti
pornografici siano particolarmente elevate durante gli orari diurni di lavoro:
va da sé che il motivo è ricollegabile alle navigazioni “non autorizzate”
conseguenti alla fornitura di connessione delle aziende ai propri operatori.
Ciò può costituire un furto di tempo lavoro per l’azienda (e quindi già un
danno) ma dall’altro può assumere forme più gravi, qualora la navigazione si
concretizzi in illeciti penali: accennavamo allo scambio di immagini
pedo-pornografiche: in caso di indagini la prima figura che emergerà nel
procedimento di rintracciabilità, sarà l’azienda, e solo secondariamente ed
eventualmente, la persona che materialmente ha posto in essere lo scambio
incriminato.
In relazione poi alla posta elettronica, occorre dire che
in gran parte dei casi la casella fornita dal datore di lavoro è concepita come
casella a doppia destinazione: personale ed aziendale. Eppure il datore di
lavoro o un delegato potrebbero necessitare di prendere visione della posta
elettronica aziendale: ma come farlo qualora siano presenti comunicazioni
personali protette dalla tutela apprestata alla corrispondenza? Se non si vogliono
rischiare pronunce negative del Garante per la privacy o querele per violazione
della segretezza della corrispondenza, altro non resta che attendere la
supervisione del dipendente per accedere alla posta aziendale.
La questione si presenta totalmente ribaltata nel caso in
cui sia adottato dall’azienda un regolamento informatico interno.
Questo andrà ad individuare in modo specifico la esatta
destinazione della strumentazione informatica, evitando a priori che possano
nascere equivoci relativamente al duplice utilizzo della stessa (aziendale e
personale). Ecco che per la casella di posta elettronica data in dotazione
dall’azienda, potrà essere indicato un uso esclusivamente di tipo aziendale, in
quanto bene aziendale; e così per le navigazioni (salvo il rispetto di un generico principio di tollerabilità
secondo cui saranno limitatamente ammesse le navigazioni di breve durata anche
se non attinenti la materia lavorativa) e per altri aspetti che chiariranno la
posizione aziendale andando a definire esattamente l’ambito di interoperabilità
tra dipendente e strumenti informatici. Per il datore di lavoro sarà così
possibile accedere liberamente alla posta presumendosi questa di solo interesse
aziendale, senza calpestare in alcun modo diritti dei proprio dipendenti; sarà
possibile poi controllare i log di connessione per prevenire eventuali
navigazioni che comportino commissioni di illeciti, provvedendo a depennare
quella responsabilità originariamente descritta, di mancato impedimento
dell’illecito. Il regolamento perché valido occorre però che sia sottoscritto
da ciascun dipendente, previa consenso delle rappresentanze sindacali interne o
in assenza, dell’Ispettorato del lavoro.
Difatti, le questioni attinenti in particolare il
controllo della posta elettronica o dei log di connessione potrebbero
comportare una violazione dello Statuto dei lavoratori laddove non attuate nel
pieno rispetto dell’iter previsto dall’art. 4 il quale dispone: <<È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità
di controllo a distanza dell'attività dei lavoratori.
Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze
organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali
derivi anche la possibilità di controllo a distanza dell'attività dei
lavoratori, possono essere installati soltanto previo accordo con le
rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la
commissione interna. In difetto di accordo, su istanza del datore di lavoro,
provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso
di tali impianti.>>
Addentriamoci brevemente nella
potenziale struttura del regolamento: alla già accennata disciplina relativa
all’uso della strumentazione, del software, della posta elettronica e di
internet, appare ragionevole – nell’occasione della distribuzione del
regolamento – affrontare anche altri temi sensibili per l’azienda: si pensi
come con l’entrata in vigore dal primo gennaio 2004 del nuovo Codice in materia
di protezione dei dati personali, emerga essenziale impartire istruzioni agli
operatori circa le modalità e le precauzioni da adottare in occasione del
trattamento dati: dalla segretezza, alla riservatezza di taluni, alle modalità
di back-up. Centrale inoltre l’indicazione relativamente alla custodia,
conservazione e controllo dei dati informatici, o del divieto relativo
all’utilizzo di supporti informatici estranei all’ambito aziendale (fonte
primaria di virus). Insomma, il regolamento può rappresentare uno strumento in
grado di arginare problematiche anche funzionali dell’azienda. Non resta dunque
che redigere il regolamento nel pieno rispetto dei diritti dei lavoratori e
seguendo il principio della prevenzione, che nell’ambito informatico sta
acquistando sempre più valore laddove un’azienda intenda crescere nell’era
dell’informatizzazione.
Dott.ssa Valentina
Frediani
www.consulentelegaleinformatico.it