Impiegati infedeli: scopriamo i limiti per accertare la loro fedeltà in azienda

Stefano Gazzella : 18 Agosto 2022 08:00

Autore: Stefano Gazzella

Quando si analizza il rischio derivante dal comportamento degli operatori, una delle fonti da computare riguarda comportamenti sleali o dolosi e per l’effetto conduce alle necessità di dare definizione a dei sistemi deputati al monitoraggio dei “comportamenti a rischio” come misura preventiva.

Ovviamente, nell’ipotesi di violazione di sicurezza tali sistemi possono agevolare l’attività di analisi e l’individuazione degli eventuali responsabili interni o esterni all’organizzazione.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Ma fino a che punto è possibile svolgere queste attività, e soprattutto quali sono i limiti legali di cui si deve tenere conto per queste attività di prevenzione e rilevazione di comportamenti non conformi ai disciplinari d’impiego o – più in generale – per accertare la fedeltà dei dipendenti?

Secondo una falsa narrazione, la privacy del lavoratore sarebbe un ostacolo a qualsiasi attività di controllo soprattutto se svolta attraverso dei sistemi Nex-Gen.

In realtà, ogni attività che possa comportare il controllo a distanza del lavoratore deve seguire le prescrizioni di cui all’art. 4 L. 300/1970 (Statuto dei lavoratori), svolgersi secondo il criterio di proporzionalità e rispettare la disciplina in materia di protezione dei dati personali.

Ciò comporta pertanto non un divieto o un impedimento, bensì una condizione affinché tali controlli possano svolgersi evitando ad esempio che assumano un carattere eccessivo ed illimitato per profondità, estensione o persistenza.

L’obbligo che comunemente ricorre è lo svolgimento di una valutazione d’impatto privacy, dal momento che si riscontra l’ipotesi richiamata dall’elenco di trattamenti di cui all’art. 35.4 GDPR:

Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti

Ed è proprio in sede di svolgimento di valutazione d’impatto che possono essere verificate – anche attraverso consultazione del DPO, se presente – adeguatezza, proporzionalità e venire rendicontato il raggiungimento di quell’equilibrio fra tutela del lavoratore e tutela del patrimonio aziendale richiesto dalla normativa.

Inoltre, non solo è possibile verificare l’utilizzo accettabile delle strumentazioni informatiche senza trovare alcun ostacolo nella privacy ma al più una regolamentazione circa le modalità operative, ma è lo stesso principio di integrità e riservatezza del GDPR a prevedere che il titolare del trattamento debba adottare misure tali da:

“garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. 

E dunque, la mancata previsione di un sistema per il monitoraggio delle anomalie e dei comportamenti a rischio può costituire – come spesso costituisce – un inadempimento sul profilo della sicurezza dei trattamenti (art. 32 GDPR).

Ritenere che l’impiegato infedele possa farsi scudo con la privacy e per l’effetto rinunciare all’adozione di misure coerenti con l’analisi delle minacce e lo stato dell’arte significa – in pratica – accettare di esporre gli interessati a determinati rischi pur in presenza di misure di trattamento possibili. Con tutte le conseguenze legali di carattere risarcitorio e sanzionatorio, soprattutto in caso di data breach.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore