Impiegati infedeli: scopriamo i limiti per accertare la loro fedeltà in azienda

Stefano Gazzella : 18 Agosto 2022 08:00

Autore: Stefano Gazzella

Quando si analizza il rischio derivante dal comportamento degli operatori, una delle fonti da computare riguarda comportamenti sleali o dolosi e per l’effetto conduce alle necessità di dare definizione a dei sistemi deputati al monitoraggio dei “comportamenti a rischio” come misura preventiva.

Ovviamente, nell’ipotesi di violazione di sicurezza tali sistemi possono agevolare l’attività di analisi e l’individuazione degli eventuali responsabili interni o esterni all’organizzazione.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ma fino a che punto è possibile svolgere queste attività, e soprattutto quali sono i limiti legali di cui si deve tenere conto per queste attività di prevenzione e rilevazione di comportamenti non conformi ai disciplinari d’impiego o – più in generale – per accertare la fedeltà dei dipendenti?

Secondo una falsa narrazione, la privacy del lavoratore sarebbe un ostacolo a qualsiasi attività di controllo soprattutto se svolta attraverso dei sistemi Nex-Gen.

In realtà, ogni attività che possa comportare il controllo a distanza del lavoratore deve seguire le prescrizioni di cui all’art. 4 L. 300/1970 (Statuto dei lavoratori), svolgersi secondo il criterio di proporzionalità e rispettare la disciplina in materia di protezione dei dati personali.

Ciò comporta pertanto non un divieto o un impedimento, bensì una condizione affinché tali controlli possano svolgersi evitando ad esempio che assumano un carattere eccessivo ed illimitato per profondità, estensione o persistenza.

L’obbligo che comunemente ricorre è lo svolgimento di una valutazione d’impatto privacy, dal momento che si riscontra l’ipotesi richiamata dall’elenco di trattamenti di cui all’art. 35.4 GDPR:

Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti

Ed è proprio in sede di svolgimento di valutazione d’impatto che possono essere verificate – anche attraverso consultazione del DPO, se presente – adeguatezza, proporzionalità e venire rendicontato il raggiungimento di quell’equilibrio fra tutela del lavoratore e tutela del patrimonio aziendale richiesto dalla normativa.

Inoltre, non solo è possibile verificare l’utilizzo accettabile delle strumentazioni informatiche senza trovare alcun ostacolo nella privacy ma al più una regolamentazione circa le modalità operative, ma è lo stesso principio di integrità e riservatezza del GDPR a prevedere che il titolare del trattamento debba adottare misure tali da:

“garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. 

E dunque, la mancata previsione di un sistema per il monitoraggio delle anomalie e dei comportamenti a rischio può costituire – come spesso costituisce – un inadempimento sul profilo della sicurezza dei trattamenti (art. 32 GDPR).

Ritenere che l’impiegato infedele possa farsi scudo con la privacy e per l’effetto rinunciare all’adozione di misure coerenti con l’analisi delle minacce e lo stato dell’arte significa – in pratica – accettare di esporre gli interessati a determinati rischi pur in presenza di misure di trattamento possibili. Con tutte le conseguenze legali di carattere risarcitorio e sanzionatorio, soprattutto in caso di data breach.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore